A propos d'attaques DoS

Le
Jean-Luc
Bonjour,

Mon modem (Netgear DGN 3500) m'informe régulièrement d'événements
tels que ceux-là :
- Début -
UDP Packet - Source:62.35.15.5,25266 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:62.35.15.5,53875 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:82.243.94.209,10592 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:88.178.244.109,57148 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:92.155.202.106,31813 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:89.159.58.180,45158 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:90.33.34.169,64522 Destination:80.9.197.52,54692 - [DOS]
UDP Packet - Source:82.226.137.132,49082 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:94.245.121.253,3544 Destination:80.9.197.52,54692 - [DOS]
UDP Packet - Source:82.243.94.209,10592 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:90.61.194.212,25305 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:79.89.30.170,57382 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:89.158.172.17,60361 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:62.35.15.5,53875 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:58.218.204.110,12200 Destination:90.29.222.254,80 - [DOS]
-- Fin --
En cherchant sur la toile à quoi pouvaient bien correspondre les trois
lettres entre crochets, [DOS], j'ai trouvé qu'il s'agissait d'attaques
perpétrées par une plusieurs machines envers un réseau pour le ralentir
et/ou lui interdire l'accès à des ressources internet.
En tout cas, c'est ce qu'il m'a semblé comprendre - corrigez-moi en cas
de fausse route de ma part -.
Toujours si j'ai bien compris, ce genre d'attaque vise généralement des
entreprises en vue de les rançonner.
Là où je m'interroge, si ce sont bien les entreprises qui sont la cible
des pirates, c'est sur l'opportunité de ces mêmes pirates de s'en
prendre à un particulier.
Ensuite, j'aimerais bien connaître l'attitude à adopter : n'en faire
aucun cas et laisser voguer, ou bien m'en inquiéter et, là encore, que
faire (porter plainte et auprès de qui) pour que cela cesse.
Enfin, troisième interrogation qui pourrait en fait être la première :
suis-je réellement l'objet des attaques, ou bien tente-t-on de se
servir de ma propre machine pour attaquer quelqu'un d'autre ?

Avec mes remerciements anticipés,

Jean-Luc
--
Attention : «From» invalide! pour m'écrire directement :
Monprenom= Jean-Luc ; Monnom= Ceccoli ; monfai=wanadoo.fr
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Az Sam
Le #22618101
"Jean-Luc" news:4c9f8b98$0$5431$
Bonjour,

Mon modem (Netgear DGN 3500) m'informe régulièrement d'événements
tels que ceux-là :
----------------------------------
Début ----------------------------------
UDP Packet - Source:62.35.15.5,25266 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:62.35.15.5,53875 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:82.243.94.209,10592 Destination:80.9.197.52,34583 -
[DOS]
UDP Packet - Source:88.178.244.109,57148 Destination:80.9.197.52,34583 -
[DOS]
UDP Packet - Source:92.155.202.106,31813 Destination:80.9.197.52,34583 -
[DOS]
UDP Packet - Source:89.159.58.180,45158 Destination:80.9.197.52,34583 -
[DOS]
UDP Packet - Source:90.33.34.169,64522 Destination:80.9.197.52,54692 -
[DOS]
UDP Packet - Source:82.226.137.132,49082 Destination:80.9.197.52,34583 -
[DOS]
UDP Packet - Source:94.245.121.253,3544 Destination:80.9.197.52,54692 -
[DOS]
UDP Packet - Source:82.243.94.209,10592 Destination:80.9.197.52,34583 -
[DOS]
UDP Packet - Source:90.61.194.212,25305 Destination:80.9.197.52,34583 -
[DOS]
TCP Packet - Source:79.89.30.170,57382 Destination:80.9.197.52,34583 -
[DOS]
TCP Packet - Source:89.158.172.17,60361 Destination:80.9.197.52,34583 -
[DOS]
TCP Packet - Source:62.35.15.5,53875 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:58.218.204.110,12200 Destination:90.29.222.254,80 -
[DOS]
-----------------------------------
Fin -----------------------------------
En cherchant sur la toile à quoi pouvaient bien correspondre les trois
lettres entre crochets, [DOS], j'ai trouvé qu'il s'agissait d'attaques
perpétrées par une plusieurs machines envers un réseau pour le ralentir
et/ou lui interdire l'accès à des ressources internet.
En tout cas, c'est ce qu'il m'a semblé comprendre - corrigez-moi en cas
de fausse route de ma part -.
Toujours si j'ai bien compris, ce genre d'attaque vise généralement des
entreprises en vue de les rançonner.
Là où je m'interroge, si ce sont bien les entreprises qui sont la cible
des pirates, c'est sur l'opportunité de ces mêmes pirates de s'en
prendre à un particulier.
Ensuite, j'aimerais bien connaître l'attitude à adopter : n'en faire
aucun cas et laisser voguer, ou bien m'en inquiéter et, là encore, que
faire (porter plainte et auprès de qui) pour que cela cesse.
Enfin, troisième interrogation qui pourrait en fait être la première :
suis-je réellement l'objet des attaques, ou bien tente-t-on de se
servir de ma propre machine pour attaquer quelqu'un d'autre ?

Avec mes remerciements anticipés,






80.9.0.0/24 et 90.29.0.0/24 appartiennent a Orange, donc ca doit être toi a
priori (90.15.94.183), plus précisément ton modem/routeur en fonction des IP
qui t'ont été attribuées dynamiquement. c'est d'ailleurs ce qu'indique ton
routeur.
Les autres, sont majoritairement des IP de FAI français (free, Darty,
Orange...) mais il y a du chinois aussi.

Donc j'aurais tendance a penser que ce puisse être des Pc infectés qui
cherchent des victimes en scannant le Net.

Par contre l'indication DOS de Netgear n'est pas forcement un réel DoS
réalisé a l'aide de plusieurs milliers de machines comme l'attaque que tu
relates.
Ca dépend de la "sensibilité" du routeur (son paramétrage), peut être
considère t il comme un tentative de DoS une succession de 6 Ping
seulement... Faudrait voir avec Netgear (ou sur la doc ?)

Pour les IP françaises, tu peux éventuellement contacter le service abuse du
FAI concerne pour l'avertir qu'un de ses utilisateurs "décorne".
Mais a moins de faire une demande dument documentée avec nuisance avérée et
répétée, tu as peu de chance d'être entendu.
Si les FAI se mettaient a prévenir tout ceux qui sont infectes ou tout ceux
qui s'amusent avec des scanner IP, ils n'auraient plus beaucoup de
clients...

--
Cordialement,
Az Sam.
Fabien LE LEZ
Le #22618801
On Sun, 26 Sep 2010 20:47:33 +0200, "Az Sam"
Par contre l'indication DOS de Netgear n'est pas forcement un réel DoS
réalisé a l'aide de plusieurs milliers de machines comme l'attaque que tu
relates.



Plus précisément, une attaque qui utilise des milliers de machines,
c'est un DDoS. (Noter le premier D, qui signifie "distribué".)
xavier
Le #22621381
Stephane Catteau
Je n'irais pas jusqu'à cette comparaison là, mais la réponse me semble
oui. N'importe quel personne disposant de statistiques sur les refus de
son filtre IP et jetant un oeil dessus depuis trois ans ou plus, peut
constater que le bruit de fond ne fait que croitre.



- 90% du bruit est consttué de tentatives pitoyables d'envoi à
"" (Quand je vois que ça surcharge un serveur
de cuisine^Wcave, je n'ose imaginer ce que ça représente pour un FAI)
- 5% est fait par des tenatives sur ssh
- 4% de bruit divers, dont le spam/virus adressé à un user valide.
- 1% est du signal utile.

Enfin, chez moi, et dans les boulots que j'ai fait, c'est comme ça que
ça se répartit. Je précise : en nombre de hits. Pour ce qui est de la
charge, ça peut différer.

[1]
Toutes personnes ayant de gros tuyaux, donc aussi bien les FAI que les
sociétés/organisme gérant les backbones.



Entre les câblés/fibré à 100Mbs, et ceux comme moi, qui près du DSLAM
disposent de 20Mbs, beaucoup de gens ont des tuyaux de moyen-gros à
moyen. Et d'ailleurs, c'est pas les entreprises les mieux loties, la
plupart se contentent (et elles font bien) de SDSL 8Mbs qui est l'offre
la plus vendue d'Orange Business.

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Fabien LE LEZ
Le #22622261
On Mon, 27 Sep 2010 19:37:41 +0200, (Xavier):

90% du bruit est consttué de tentatives pitoyables d'envoi à
""



Pour le coup, en débit, ça ne doit pas être énorme.

220 mail.mondomaine.tld ESMTP MonDomaine
HELO un_truc_bidon
250 mail.mondomaine.tld
MAIL FROM: 250 2.1.0 Ok
RCPT TO: 550 5.1.1 rejected: User unknown in virtual mailbox table

-> 300 octets environ, plus deux ou trois requêtes dans la base de
données.
Il doit falloir un sacré paquets de ces tentatives pour mettre un
serveur sur les genoux.
Stephane Catteau
Le #22622531
Fabien LE LEZ devait dire quelque chose comme ceci :

90% du bruit est consttué de tentatives pitoyables d'envoi à
""



Pour le coup, en débit, ça ne doit pas être énorme.


[snip]
Il doit falloir un sacré paquets de ces tentatives pour mettre un
serveur sur les genoux.



Pour les FAI ce n'est pas le débit qui importe mais le nombre de
tentatives simultanées. Qu'importe que la machine tienne la charge ou
non, lorsque tous les slots sont occupés il faut rajouter un serveur.
xavier
Le #22623551
Fabien LE LEZ
-> 300 octets environ, plus deux ou trois requêtes dans la base de
données.
Il doit falloir un sacré paquets de ces tentatives pour mettre un
serveur sur les genoux.



C'est surtout que quand ces tentatives atteignent maxproc, il faut que
les clients légitimes attendent. Et ce paramètre n'est pas extensible à
l'infini (une instance de smtpd pour chaque)

--
Xav
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Fabien LE LEZ
Le #22624001
On Tue, 28 Sep 2010 13:32:34 +0200, (Xavier):

C'est surtout que quand ces tentatives atteignent maxproc, il faut que
les clients légitimes attendent. Et ce paramètre n'est pas extensible à
l'infini (une instance de smtpd pour chaque)



Ne serait-il pas possible d'avoir un serveur SMTP événementiel
(façon node.js) ?
Publicité
Poster une réponse
Anonyme