nous subissons depuis 3 semaines un DDoS (60 Mbps avec des pointes à 80
Mpbs),
le site web est sur un serveur dédié linux 2.4.20 (tcp_syncookies=1) et
serveur web apache
les ip sources viennent du monde entier donc probablement forgées.
un premier hebergeur a déclaré forfait et nous a "viré".
un deuxième est sur le point de déclaré aussi forfait et a mis le service
web en indisponibilé, son réseau étant mis en danger par cette attaque.
le BEFTI a été contacté.
que pouvons nous faire pour que le service soit à nouveau accessible ?
où trouver une doc explicite proposant des solutions au pb ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Manu
alex mendy wrote:
que pouvons nous faire pour que le service soit à nouveau accessible ?
Passer par Akamaï par exemple mais ça ne doit pas être donné.
où trouver une doc explicite proposant des solutions au pb ?
Vu que c'est au niveau de la bande passante que se situe le problème, je ne vois pas trop quoi faire. Xname.org avait eu un problème similaire récemment, et je crois qu'ils n'ont rien pu faire, même s'ils semblaient avoir trouvé d'où venait les attaques. Mais je ne sais pas comment ils ont fait (s'ils l'ont trouvé de façon technique :) ).
Par curiosité, c'est quel type de site pour avoir une attaque de cette ampleur ?
alex mendy wrote:
que pouvons nous faire pour que le service soit à nouveau accessible ?
Passer par Akamaï par exemple mais ça ne doit pas être donné.
où trouver une doc explicite proposant des solutions au pb ?
Vu que c'est au niveau de la bande passante que se situe le problème, je
ne vois pas trop quoi faire. Xname.org avait eu un problème similaire
récemment, et je crois qu'ils n'ont rien pu faire, même s'ils semblaient
avoir trouvé d'où venait les attaques. Mais je ne sais pas comment ils
ont fait (s'ils l'ont trouvé de façon technique :) ).
Par curiosité, c'est quel type de site pour avoir une attaque de cette
ampleur ?
que pouvons nous faire pour que le service soit à nouveau accessible ?
Passer par Akamaï par exemple mais ça ne doit pas être donné.
où trouver une doc explicite proposant des solutions au pb ?
Vu que c'est au niveau de la bande passante que se situe le problème, je ne vois pas trop quoi faire. Xname.org avait eu un problème similaire récemment, et je crois qu'ils n'ont rien pu faire, même s'ils semblaient avoir trouvé d'où venait les attaques. Mais je ne sais pas comment ils ont fait (s'ils l'ont trouvé de façon technique :) ).
Par curiosité, c'est quel type de site pour avoir une attaque de cette ampleur ?
alex mendy
merci pour la réponse,
Par curiosité, c'est quel type de site pour avoir une attaque de cette ampleur ?
ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire davantage ... vous comprendrez
Alex Mendy
merci pour la réponse,
Par curiosité, c'est quel type de site pour avoir une attaque de cette
ampleur ?
ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire
davantage ... vous comprendrez
Par curiosité, c'est quel type de site pour avoir une attaque de cette ampleur ?
ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire davantage ... vous comprendrez
Alex Mendy
db
alex mendy wrote:
bonjour,
nous subissons depuis 3 semaines un DDoS (60 Mbps avec des pointes à 80 Mpbs), le site web est sur un serveur dédié linux 2.4.20 (tcp_syncookies=1) et serveur web apache les ip sources viennent du monde entier donc probablement forgées. Vous n'êtes pas suffisamment précis.
Votre serveur est-il le seul à être ainsi plombé ou y a-t-il d'autres serveurs physiques, sur le même plan d'adressage soumis à ce genre d'attaque ?
un premier hebergeur a déclaré forfait et nous a "viré". un deuxième est sur le point de déclaré aussi forfait et a mis le service web en indisponibilé, son réseau étant mis en danger par cette attaque.
le BEFTI a été contacté. Au moins c'est fait. A eux de contacter le FBI si nécessaire ;-)
que pouvons nous faire pour que le service soit à nouveau accessible ? Relocaliser le ou les serveurs sur un autre plan d'adressage et mettre à
jour les DNS en conséquence. Si vous êtes hébergé dans un centre important (Complétel, Verio, TeleHouse, Ovh [chez Telehouse du reste], LDCOM) cela ne devrait pas poser de problème. Demander à vos différents fournisseurs ou au NOC de votre centre d'hébergement de filtrer TOUT ce qui vous concerne sauf le DNS le temps que ça se calme.
où trouver une doc explicite proposant des solutions au pb ?
merci d'avance
Alex Mendy
-- email : (vous comprendrez qu'avec le contexte géopolitique actuel je ne puis la faire figurer)
alex mendy wrote:
bonjour,
nous subissons depuis 3 semaines un DDoS (60 Mbps avec des pointes à 80
Mpbs),
le site web est sur un serveur dédié linux 2.4.20 (tcp_syncookies=1) et
serveur web apache
les ip sources viennent du monde entier donc probablement forgées.
Vous n'êtes pas suffisamment précis.
Votre serveur est-il le seul à être ainsi plombé ou y a-t-il d'autres
serveurs physiques, sur le même plan d'adressage soumis à ce genre
d'attaque ?
un premier hebergeur a déclaré forfait et nous a "viré".
un deuxième est sur le point de déclaré aussi forfait et a mis le service
web en indisponibilé, son réseau étant mis en danger par cette attaque.
le BEFTI a été contacté.
Au moins c'est fait. A eux de contacter le FBI si nécessaire ;-)
que pouvons nous faire pour que le service soit à nouveau accessible ?
Relocaliser le ou les serveurs sur un autre plan d'adressage et mettre à
jour les DNS en conséquence. Si vous êtes hébergé dans un centre important
(Complétel, Verio, TeleHouse, Ovh [chez Telehouse du reste], LDCOM) cela ne
devrait pas poser de problème.
Demander à vos différents fournisseurs ou au NOC de votre centre
d'hébergement de filtrer TOUT ce qui vous concerne sauf le DNS le temps que
ça se calme.
où trouver une doc explicite proposant des solutions au pb ?
merci d'avance
Alex Mendy
--
email : (vous comprendrez qu'avec le contexte géopolitique actuel je ne puis
la faire figurer)
nous subissons depuis 3 semaines un DDoS (60 Mbps avec des pointes à 80 Mpbs), le site web est sur un serveur dédié linux 2.4.20 (tcp_syncookies=1) et serveur web apache les ip sources viennent du monde entier donc probablement forgées. Vous n'êtes pas suffisamment précis.
Votre serveur est-il le seul à être ainsi plombé ou y a-t-il d'autres serveurs physiques, sur le même plan d'adressage soumis à ce genre d'attaque ?
un premier hebergeur a déclaré forfait et nous a "viré". un deuxième est sur le point de déclaré aussi forfait et a mis le service web en indisponibilé, son réseau étant mis en danger par cette attaque.
le BEFTI a été contacté. Au moins c'est fait. A eux de contacter le FBI si nécessaire ;-)
que pouvons nous faire pour que le service soit à nouveau accessible ? Relocaliser le ou les serveurs sur un autre plan d'adressage et mettre à
jour les DNS en conséquence. Si vous êtes hébergé dans un centre important (Complétel, Verio, TeleHouse, Ovh [chez Telehouse du reste], LDCOM) cela ne devrait pas poser de problème. Demander à vos différents fournisseurs ou au NOC de votre centre d'hébergement de filtrer TOUT ce qui vous concerne sauf le DNS le temps que ça se calme.
où trouver une doc explicite proposant des solutions au pb ?
merci d'avance
Alex Mendy
-- email : (vous comprendrez qu'avec le contexte géopolitique actuel je ne puis la faire figurer)
T0t0
"Manu" wrote in message news:40af3f46$0$19652$
Passer par Akamaï par exemple mais ça ne doit pas être donné.
Oui, du moins leur demander de faire des tests qui devraient être gratuits, voir le résultat (qui ne pourra à mon avis que être bon, c'est comme ca que Microsoft a absorbé la charge de blaster estimée à 40Go/s) Et selon les test, voir si le jeu en vaut la chandelle.
Perso, je ne connais aucun parade aux DDOS si ce n'est le cache distribué à la Akamaï.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Manu" <nobody@guzu.net.invalid> wrote in message
news:40af3f46$0$19652$626a14ce@news.free.fr
Passer par Akamaï par exemple mais ça ne doit pas être donné.
Oui, du moins leur demander de faire des tests qui devraient être
gratuits, voir le résultat (qui ne pourra à mon avis que être bon,
c'est comme ca que Microsoft a absorbé la charge de blaster estimée
à 40Go/s)
Et selon les test, voir si le jeu en vaut la chandelle.
Perso, je ne connais aucun parade aux DDOS si ce n'est le cache
distribué à la Akamaï.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Passer par Akamaï par exemple mais ça ne doit pas être donné.
Oui, du moins leur demander de faire des tests qui devraient être gratuits, voir le résultat (qui ne pourra à mon avis que être bon, c'est comme ca que Microsoft a absorbé la charge de blaster estimée à 40Go/s) Et selon les test, voir si le jeu en vaut la chandelle.
Perso, je ne connais aucun parade aux DDOS si ce n'est le cache distribué à la Akamaï.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Manu
T0t0 wrote:
Perso, je ne connais aucun parade aux DDOS si ce n'est le cache distribué à la Akamaï.
Dans ce document, ils proposent entre autre l'attaque en envoyant des commandes d'arrêt au logiciel installé sur les machines participants au DDOS (voire d'utiliser une faille du même logiciel pour le faire planter) :) : http://documents.iss.net/whitepapers/ddos.pdf
Mais cela suppose que l'IP source ne soit pas spoofées. Une autre méthode proposée est de toujours ignorer la première tentative de connexion. Cela se base sur le fait que lors d'une connexion TCP normale, le client réessayera. Mais cela ne résoud pas le problème de bande passante. D'autres idées interessantes sont proposées mais le texte semble daté de 2000...
Sinon en cherchant il m'a semblé voir des outils de détection de DDOS capables de déterminer l'outils de DDOS utiliser.
En tout cas, il est possible de jouer avec le DNS pour voir la réactivité du système de DDOS face à un changement d'adresse et déterminer les IPs des sources du DDOS. Cela dit rien n'interdit de noyer une requète DNS légitime parmi des requètes dont l'adresse source serait spoofée et ensuite propager l'adresse IP à DDOSer à tout les esclaves. D'ailleurs existe-t-il un moyen d'empecher ce spoofing (en montant un serveur DNS qui forcerait le client à utiliser TCP) ?
- Manu
PS: un autre document sympa mais en français: http://www.lifl.fr/~boulet/formation/syst-dist/exposes2003-2004/ddos
T0t0 wrote:
Perso, je ne connais aucun parade aux DDOS si ce n'est le cache
distribué à la Akamaï.
Dans ce document, ils proposent entre autre l'attaque en envoyant des
commandes d'arrêt au logiciel installé sur les machines participants au
DDOS (voire d'utiliser une faille du même logiciel pour le faire
planter) :) :
http://documents.iss.net/whitepapers/ddos.pdf
Mais cela suppose que l'IP source ne soit pas spoofées.
Une autre méthode proposée est de toujours ignorer la première tentative
de connexion. Cela se base sur le fait que lors d'une connexion TCP
normale, le client réessayera. Mais cela ne résoud pas le problème de
bande passante.
D'autres idées interessantes sont proposées mais le texte semble daté de
2000...
Sinon en cherchant il m'a semblé voir des outils de détection de DDOS
capables de déterminer l'outils de DDOS utiliser.
En tout cas, il est possible de jouer avec le DNS pour voir la
réactivité du système de DDOS face à un changement d'adresse et
déterminer les IPs des sources du DDOS. Cela dit rien n'interdit de
noyer une requète DNS légitime parmi des requètes dont l'adresse source
serait spoofée et ensuite propager l'adresse IP à DDOSer à tout les
esclaves.
D'ailleurs existe-t-il un moyen d'empecher ce spoofing (en montant un
serveur DNS qui forcerait le client à utiliser TCP) ?
- Manu
PS: un autre document sympa mais en français:
http://www.lifl.fr/~boulet/formation/syst-dist/exposes2003-2004/ddos
Perso, je ne connais aucun parade aux DDOS si ce n'est le cache distribué à la Akamaï.
Dans ce document, ils proposent entre autre l'attaque en envoyant des commandes d'arrêt au logiciel installé sur les machines participants au DDOS (voire d'utiliser une faille du même logiciel pour le faire planter) :) : http://documents.iss.net/whitepapers/ddos.pdf
Mais cela suppose que l'IP source ne soit pas spoofées. Une autre méthode proposée est de toujours ignorer la première tentative de connexion. Cela se base sur le fait que lors d'une connexion TCP normale, le client réessayera. Mais cela ne résoud pas le problème de bande passante. D'autres idées interessantes sont proposées mais le texte semble daté de 2000...
Sinon en cherchant il m'a semblé voir des outils de détection de DDOS capables de déterminer l'outils de DDOS utiliser.
En tout cas, il est possible de jouer avec le DNS pour voir la réactivité du système de DDOS face à un changement d'adresse et déterminer les IPs des sources du DDOS. Cela dit rien n'interdit de noyer une requète DNS légitime parmi des requètes dont l'adresse source serait spoofée et ensuite propager l'adresse IP à DDOSer à tout les esclaves. D'ailleurs existe-t-il un moyen d'empecher ce spoofing (en montant un serveur DNS qui forcerait le client à utiliser TCP) ?
- Manu
PS: un autre document sympa mais en français: http://www.lifl.fr/~boulet/formation/syst-dist/exposes2003-2004/ddos
Nicob
On Sat, 22 May 2004 14:48:30 +0000, alex mendy wrote:
Par curiosité, c'est quel type de site pour avoir une attaque de cette ampleur ?
ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire davantage ...
Je viens de voir dans Libération un article sur un site qui semble avoir exactement les mêmes problèmes. Serait-ce de celui-là dont on parle ici ?
Nicob
On Sat, 22 May 2004 14:48:30 +0000, alex mendy wrote:
Par curiosité, c'est quel type de site pour avoir une attaque de cette
ampleur ?
ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire
davantage ...
Je viens de voir dans Libération un article sur un site qui semble avoir
exactement les mêmes problèmes. Serait-ce de celui-là dont on parle ici ?
On Sat, 22 May 2004 14:48:30 +0000, alex mendy wrote:
Par curiosité, c'est quel type de site pour avoir une attaque de cette ampleur ?
ça releve du contexte géopolitique actuel, mais je ne préfère pas en dire davantage ...
Je viens de voir dans Libération un article sur un site qui semble avoir exactement les mêmes problèmes. Serait-ce de celui-là dont on parle ici ?
Nicob
T0t0
"Manu" wrote in message news:40b241f3$0$13927$
http://documents.iss.net/whitepapers/ddos.pdf Mais cela suppose que l'IP source ne soit pas spoofées. Une autre méthode proposée est de toujours ignorer la première tentative de connexion. Cela se base sur le fait que lors d'une connexion TCP normale, le client réessayera. Mais cela ne résoud pas le problème de bande passante.
D'après le doc, ils proposent Akamaï ou Sandpiper (connais pô) Je n'y vois pas d'autre alternative.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Manu" <nobody@guzu.net.invalid> wrote in message
news:40b241f3$0$13927$636a15ce@news.free.fr
http://documents.iss.net/whitepapers/ddos.pdf
Mais cela suppose que l'IP source ne soit pas spoofées.
Une autre méthode proposée est de toujours ignorer la première tentative
de connexion. Cela se base sur le fait que lors d'une connexion TCP
normale, le client réessayera. Mais cela ne résoud pas le problème de
bande passante.
D'après le doc, ils proposent Akamaï ou Sandpiper (connais pô)
Je n'y vois pas d'autre alternative.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
http://documents.iss.net/whitepapers/ddos.pdf Mais cela suppose que l'IP source ne soit pas spoofées. Une autre méthode proposée est de toujours ignorer la première tentative de connexion. Cela se base sur le fait que lors d'une connexion TCP normale, le client réessayera. Mais cela ne résoud pas le problème de bande passante.
D'après le doc, ils proposent Akamaï ou Sandpiper (connais pô) Je n'y vois pas d'autre alternative.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
