DDoS : que faire ?

Le
alex mendy
bonjour,

nous subissons depuis 3 semaines un DDoS (60 Mbps avec des pointes à 80
Mpbs),
le site web est sur un serveur dédié linux 2.4.20 (tcp_syncookies=1) et
serveur web apache
les ip sources viennent du monde entier donc probablement forgées.

un premier hebergeur a déclaré forfait et nous a "viré".
un deuxième est sur le point de déclaré aussi forfait et a mis le service
web en indisponibilé, son réseau étant mis en danger par cette attaque.

le BEFTI a été contacté.

que pouvons nous faire pour que le service soit à nouveau accessible ?
où trouver une doc explicite proposant des solutions au pb ?

merci d'avance

Alex Mendy

  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Manu
Le #233033
alex mendy wrote:

que pouvons nous faire pour que le service soit à nouveau accessible ?


Passer par Akamaï par exemple mais ça ne doit pas être donné.

où trouver une doc explicite proposant des solutions au pb ?


Vu que c'est au niveau de la bande passante que se situe le problème, je
ne vois pas trop quoi faire. Xname.org avait eu un problème similaire
récemment, et je crois qu'ils n'ont rien pu faire, même s'ils semblaient
avoir trouvé d'où venait les attaques. Mais je ne sais pas comment ils
ont fait (s'ils l'ont trouvé de façon technique :) ).

Par curiosité, c'est quel type de site pour avoir une attaque de cette
ampleur ?

alex mendy
Le #232977
merci pour la réponse,

Par curiosité, c'est quel type de site pour avoir une attaque de cette
ampleur ?


ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire
davantage ... vous comprendrez

Alex Mendy

db
Le #232934
alex mendy wrote:

bonjour,

nous subissons depuis 3 semaines un DDoS (60 Mbps avec des pointes à 80
Mpbs),
le site web est sur un serveur dédié linux 2.4.20 (tcp_syncookies=1) et
serveur web apache
les ip sources viennent du monde entier donc probablement forgées.
Vous n'êtes pas suffisamment précis.

Votre serveur est-il le seul à être ainsi plombé ou y a-t-il d'autres
serveurs physiques, sur le même plan d'adressage soumis à ce genre
d'attaque ?
un premier hebergeur a déclaré forfait et nous a "viré".
un deuxième est sur le point de déclaré aussi forfait et a mis le service
web en indisponibilé, son réseau étant mis en danger par cette attaque.

le BEFTI a été contacté.
Au moins c'est fait. A eux de contacter le FBI si nécessaire ;-)



que pouvons nous faire pour que le service soit à nouveau accessible ?
Relocaliser le ou les serveurs sur un autre plan d'adressage et mettre à

jour les DNS en conséquence. Si vous êtes hébergé dans un centre important
(Complétel, Verio, TeleHouse, Ovh [chez Telehouse du reste], LDCOM) cela ne
devrait pas poser de problème.
Demander à vos différents fournisseurs ou au NOC de votre centre
d'hébergement de filtrer TOUT ce qui vous concerne sauf le DNS le temps que
ça se calme.

où trouver une doc explicite proposant des solutions au pb ?

merci d'avance

Alex Mendy


--
email : (vous comprendrez qu'avec le contexte géopolitique actuel je ne puis
la faire figurer)

T0t0
Le #233828
"Manu" news:40af3f46$0$19652$
Passer par Akamaï par exemple mais ça ne doit pas être donné.


Oui, du moins leur demander de faire des tests qui devraient être
gratuits, voir le résultat (qui ne pourra à mon avis que être bon,
c'est comme ca que Microsoft a absorbé la charge de blaster estimée
à 40Go/s)
Et selon les test, voir si le jeu en vaut la chandelle.

Perso, je ne connais aucun parade aux DDOS si ce n'est le cache
distribué à la Akamaï.


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Manu
Le #233791
T0t0 wrote:

Perso, je ne connais aucun parade aux DDOS si ce n'est le cache
distribué à la Akamaï.


Dans ce document, ils proposent entre autre l'attaque en envoyant des
commandes d'arrêt au logiciel installé sur les machines participants au
DDOS (voire d'utiliser une faille du même logiciel pour le faire
planter) :) :
http://documents.iss.net/whitepapers/ddos.pdf

Mais cela suppose que l'IP source ne soit pas spoofées.
Une autre méthode proposée est de toujours ignorer la première tentative
de connexion. Cela se base sur le fait que lors d'une connexion TCP
normale, le client réessayera. Mais cela ne résoud pas le problème de
bande passante.
D'autres idées interessantes sont proposées mais le texte semble daté de
2000...

Sinon en cherchant il m'a semblé voir des outils de détection de DDOS
capables de déterminer l'outils de DDOS utiliser.

En tout cas, il est possible de jouer avec le DNS pour voir la
réactivité du système de DDOS face à un changement d'adresse et
déterminer les IPs des sources du DDOS. Cela dit rien n'interdit de
noyer une requète DNS légitime parmi des requètes dont l'adresse source
serait spoofée et ensuite propager l'adresse IP à DDOSer à tout les
esclaves.
D'ailleurs existe-t-il un moyen d'empecher ce spoofing (en montant un
serveur DNS qui forcerait le client à utiliser TCP) ?

- Manu

PS: un autre document sympa mais en français:
http://www.lifl.fr/~boulet/formation/syst-dist/exposes2003-2004/ddos

Nicob
Le #233758
On Sat, 22 May 2004 14:48:30 +0000, alex mendy wrote:

Par curiosité, c'est quel type de site pour avoir une attaque de cette
ampleur ?


ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire
davantage ...


Je viens de voir dans Libération un article sur un site qui semble avoir
exactement les mêmes problèmes. Serait-ce de celui-là dont on parle ici ?


Nicob


T0t0
Le #233716
"Manu" news:40b241f3$0$13927$
http://documents.iss.net/whitepapers/ddos.pdf
Mais cela suppose que l'IP source ne soit pas spoofées.
Une autre méthode proposée est de toujours ignorer la première tentative
de connexion. Cela se base sur le fait que lors d'une connexion TCP
normale, le client réessayera. Mais cela ne résoud pas le problème de
bande passante.


D'après le doc, ils proposent Akamaï ou Sandpiper (connais pô)
Je n'y vois pas d'autre alternative.


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Poster une réponse
Anonyme