A propos d'attaques DoS
Le
Jean-Luc
Bonjour,
Mon modem (Netgear DGN 3500) m'informe régulièrement d'événements
tels que ceux-là :
- Début -
UDP Packet - Source:62.35.15.5,25266 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:62.35.15.5,53875 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:82.243.94.209,10592 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:88.178.244.109,57148 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:92.155.202.106,31813 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:89.159.58.180,45158 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:90.33.34.169,64522 Destination:80.9.197.52,54692 - [DOS]
UDP Packet - Source:82.226.137.132,49082 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:94.245.121.253,3544 Destination:80.9.197.52,54692 - [DOS]
UDP Packet - Source:82.243.94.209,10592 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:90.61.194.212,25305 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:79.89.30.170,57382 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:89.158.172.17,60361 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:62.35.15.5,53875 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:58.218.204.110,12200 Destination:90.29.222.254,80 - [DOS]
-- Fin --
En cherchant sur la toile à quoi pouvaient bien correspondre les trois
lettres entre crochets, [DOS], j'ai trouvé qu'il s'agissait d'attaques
perpétrées par une plusieurs machines envers un réseau pour le ralentir
et/ou lui interdire l'accès à des ressources internet.
En tout cas, c'est ce qu'il m'a semblé comprendre - corrigez-moi en cas
de fausse route de ma part -.
Toujours si j'ai bien compris, ce genre d'attaque vise généralement des
entreprises en vue de les rançonner.
Là où je m'interroge, si ce sont bien les entreprises qui sont la cible
des pirates, c'est sur l'opportunité de ces mêmes pirates de s'en
prendre à un particulier.
Ensuite, j'aimerais bien connaître l'attitude à adopter : n'en faire
aucun cas et laisser voguer, ou bien m'en inquiéter et, là encore, que
faire (porter plainte et auprès de qui) pour que cela cesse.
Enfin, troisième interrogation qui pourrait en fait être la première :
suis-je réellement l'objet des attaques, ou bien tente-t-on de se
servir de ma propre machine pour attaquer quelqu'un d'autre ?
Avec mes remerciements anticipés,
Jean-Luc
--
Attention : «From» invalide! pour m'écrire directement :
Monprenom= Jean-Luc ; Monnom= Ceccoli ; monfai=wanadoo.fr
Mon modem (Netgear DGN 3500) m'informe régulièrement d'événements
tels que ceux-là :
- Début -
UDP Packet - Source:62.35.15.5,25266 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:62.35.15.5,53875 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:82.243.94.209,10592 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:88.178.244.109,57148 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:92.155.202.106,31813 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:89.159.58.180,45158 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:90.33.34.169,64522 Destination:80.9.197.52,54692 - [DOS]
UDP Packet - Source:82.226.137.132,49082 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:94.245.121.253,3544 Destination:80.9.197.52,54692 - [DOS]
UDP Packet - Source:82.243.94.209,10592 Destination:80.9.197.52,34583 - [DOS]
UDP Packet - Source:90.61.194.212,25305 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:79.89.30.170,57382 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:89.158.172.17,60361 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:62.35.15.5,53875 Destination:80.9.197.52,34583 - [DOS]
TCP Packet - Source:58.218.204.110,12200 Destination:90.29.222.254,80 - [DOS]
-- Fin --
En cherchant sur la toile à quoi pouvaient bien correspondre les trois
lettres entre crochets, [DOS], j'ai trouvé qu'il s'agissait d'attaques
perpétrées par une plusieurs machines envers un réseau pour le ralentir
et/ou lui interdire l'accès à des ressources internet.
En tout cas, c'est ce qu'il m'a semblé comprendre - corrigez-moi en cas
de fausse route de ma part -.
Toujours si j'ai bien compris, ce genre d'attaque vise généralement des
entreprises en vue de les rançonner.
Là où je m'interroge, si ce sont bien les entreprises qui sont la cible
des pirates, c'est sur l'opportunité de ces mêmes pirates de s'en
prendre à un particulier.
Ensuite, j'aimerais bien connaître l'attitude à adopter : n'en faire
aucun cas et laisser voguer, ou bien m'en inquiéter et, là encore, que
faire (porter plainte et auprès de qui) pour que cela cesse.
Enfin, troisième interrogation qui pourrait en fait être la première :
suis-je réellement l'objet des attaques, ou bien tente-t-on de se
servir de ma propre machine pour attaquer quelqu'un d'autre ?
Avec mes remerciements anticipés,
Jean-Luc
--
Attention : «From» invalide! pour m'écrire directement :
Monprenom= Jean-Luc ; Monnom= Ceccoli ; monfai=wanadoo.fr
Poser une question
80.9.0.0/24 et 90.29.0.0/24 appartiennent a Orange, donc ca doit être toi a
priori (90.15.94.183), plus précisément ton modem/routeur en fonction des IP
qui t'ont été attribuées dynamiquement. c'est d'ailleurs ce qu'indique ton
routeur.
Les autres, sont majoritairement des IP de FAI français (free, Darty,
Orange...) mais il y a du chinois aussi.
Donc j'aurais tendance a penser que ce puisse être des Pc infectés qui
cherchent des victimes en scannant le Net.
Par contre l'indication DOS de Netgear n'est pas forcement un réel DoS
réalisé a l'aide de plusieurs milliers de machines comme l'attaque que tu
relates.
Ca dépend de la "sensibilité" du routeur (son paramétrage), peut être
considère t il comme un tentative de DoS une succession de 6 Ping
seulement... Faudrait voir avec Netgear (ou sur la doc ?)
Pour les IP françaises, tu peux éventuellement contacter le service abuse du
FAI concerne pour l'avertir qu'un de ses utilisateurs "décorne".
Mais a moins de faire une demande dument documentée avec nuisance avérée et
répétée, tu as peu de chance d'être entendu.
Si les FAI se mettaient a prévenir tout ceux qui sont infectes ou tout ceux
qui s'amusent avec des scanner IP, ils n'auraient plus beaucoup de
clients...
--
Cordialement,
Az Sam.
Plus précisément, une attaque qui utilise des milliers de machines,
c'est un DDoS. (Noter le premier D, qui signifie "distribué".)
- 90% du bruit est consttué de tentatives pitoyables d'envoi à
"" (Quand je vois que ça surcharge un serveur
de cuisine^Wcave, je n'ose imaginer ce que ça représente pour un FAI)
- 5% est fait par des tenatives sur ssh
- 4% de bruit divers, dont le spam/virus adressé à un user valide.
- 1% est du signal utile.
Enfin, chez moi, et dans les boulots que j'ai fait, c'est comme ça que
ça se répartit. Je précise : en nombre de hits. Pour ce qui est de la
charge, ça peut différer.
Entre les câblés/fibré à 100Mbs, et ceux comme moi, qui près du DSLAM
disposent de 20Mbs, beaucoup de gens ont des tuyaux de moyen-gros à
moyen. Et d'ailleurs, c'est pas les entreprises les mieux loties, la
plupart se contentent (et elles font bien) de SDSL 8Mbs qui est l'offre
la plus vendue d'Orange Business.
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Pour le coup, en débit, ça ne doit pas être énorme.
220 mail.mondomaine.tld ESMTP MonDomaine
HELO un_truc_bidon
250 mail.mondomaine.tld
MAIL FROM: 250 2.1.0 Ok
RCPT TO: 550 5.1.1 rejected: User unknown in virtual mailbox table
-> 300 octets environ, plus deux ou trois requêtes dans la base de
données.
Il doit falloir un sacré paquets de ces tentatives pour mettre un
serveur sur les genoux.
[snip]
Pour les FAI ce n'est pas le débit qui importe mais le nombre de
tentatives simultanées. Qu'importe que la machine tienne la charge ou
non, lorsque tous les slots sont occupés il faut rajouter un serveur.