La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: Ari33260 le 24 janvier 2021 à 15:33:22
-
Bonjour tlm ^^,
Hier soir à 23 heures j'ai été victime d'une attaque Ddos sur ma pauvre Bbox ADSL, synchro Ok, VoWIFI Ok, mais plus d'accès à Internet car la BP était utilisé à 100% constamment pendant 10 grosses minutes, après ces 10 minutes, la BP est redescendue à 50% et depuis la BP reste constamment utilisée au minima à 50% même avec aucun appareil connecté sur la Bbox, au lieu de me retrouver avec un débit de 10 Mbits/s conformément à la synchro, je suis au mieux à 5 Mbits/s IP pour 11.73 Mbits/s ATM.
Comment retrouver l'adresse IP qui ne cesse de m'envoyer des paquets afin de la bloquer sur le pare-feu, car la Bbox ne permet pas de voir cela ....
Merci,
Bonne journée ^^
-
Si tu mets une DMZ vers l'IP de ton PC et tu prend une capture Wireshark.
Tu devrait voir l'attaque, si elle est en IPv4.
-
Merci Vivien ! Je regarde ça tout de suite
-
Re, je reçois bien tout le trafic sur mon PC grâce au DMZ mais j'avoue que j'ai beaucoup de mal à m'y retrouver dans Wireshark, plein d'adresses IP différentes défiles
-
ET voilà ce que m'affiche la Bbox maintenant
-
C'est étonnant ces paquets.
J'ai l'impression que tu n'es pas la cible de l’attaque, mais que c'est un effet collatéral.
-
C'est étonnant ces paquets.
J'ai l'impression que tu n'es pas la cible de l’attaque, mais que c'est un effet collatéral.
Ah d'accord, merci ^^ Comment y remédier ? Parcequ'elle a rien de choquante ma capture quand je la compare avec des vraies attaques, dans la mienne différentes IP défiles alors que sur les autres c'est essentiellement la même adresse IP.
Ma box détecte bein le trafic anormal mais pourtant elle continue à les traîter ce qui m'empêche d'exploiter toute ma BP ADSL :'(
-
Tu pourrais peut-être essayer de débrancher ta box un quart d'heure, la rebrancher et voir si les attaques reprennent ? C'est étonnant de s'en prendre à une box ADSL. Tu héberges des serveurs ? En tout cas, cela semble bien du DDOS (distributed...), il n'y a pas qu'une seule adresse qui participent mais de multiples...
Sinon, je pense que tu devras contacter la hot line, pour voir comment ils traitent ce genre d'attaques, si le hotliner comprend... C'est aussi certainement beaucoup de trafic sur le réseau Bouygues Telecom...
-
Bonjour,
Ça ressemble à une attaque DDoS par amplification DNS (des serveurs du trafic avec ton adresse IP en tant que fausse source, les réponses contiennent ton adresse IP en tant que vraie destination, le volume de trafic augmente au passage car les réponses DNS sont plus grosses que les requêtes).
Le message sur l'interface de la box est bien celui affiché lorsqu'il y a trop de connexions initiées (de sessions DNS différentes ici) et que la box n'arrive plus à les suivre.
Il faudrait faire une demande au support pour changer d'adresse IP si possible, en expliquant la situation, ou attendre que ça s'arrête.
Bonne journée,
-
Tu pourrais peut-être essayer de débrancher ta box un quart d'heure, la rebrancher et voir si les attaques reprennent ? C'est étonnant de s'en prendre à une box ADSL. Tu héberges des serveurs ? En tout cas, cela semble bien du DDOS (distributed...), il n'y a pas qu'une seule adresse qui participent mais de multiples...
Sinon, je pense que tu devras contacter la hot line, pour voir comment ils traitent ce genre d'attaques, si le hotliner comprend... C'est aussi certainement beaucoup de trafic sur le réseau Bouygues Telecom...
Non je n'héberge aucun serveur, le seul port ouvert c'est pour l'accès à distance de l'IHM de la Bbox, malgré mes actions dans le pare-feu les attaques sont toujours là ... Cette soirée là j'étais juste sur un service de VoIP (Discord). Je verrais demain pour la hotline mais je doute qu'ils comprennent quelques choses, il faudrait que je sois rappelé par le service d'expertise qui sont beaucoup plus compétant que le service technique.
Bonjour,
Ça ressemble à une attaque DDoS par amplification DNS (des serveurs du trafic avec ton adresse IP en tant que fausse source, les réponses contiennent ton adresse IP en tant que vraie destination, le volume de trafic augmente au passage car les réponses DNS sont plus grosses que les requêtes).
Le message sur l'interface de la box est bien celui affiché lorsqu'il y a trop de connexions initiées (de sessions DNS différentes ici) et que la box n'arrive plus à les suivre.
Il faudrait faire une demande au support pour changer d'adresse IP si possible, en expliquant la situation, ou attendre que ça s'arrête.
Bonne journée,
Je vais tenter de leur demander de me faire changer d'adresse IP mais sincèrement j'y crois pas car quelqu'un avait déjà demandé si c'était possible, la réponse était non .
Merci de vos éclairecissement ^^
-
Le changement d'IP n'était pas possible, je ne suis pas sur que cela soit le cas, mais tu peut voir avec leur équipe de sécurité si ta connexion peut être mitigée par Arbor Network.
Il doit être déclenché automatiquement pour des DDOS importants, mais là peut-être qu'ils ont la capacité de l'activer et dans ce cas là le trafic DDOS sera mitigé en amont du lien xDSL et tu n'aura pas de problème.
-
J'ai l'impression que tu n'es pas la cible de l’attaque, mais que c'est un effet collatéral.
Ah ? Je vais peut-être paraître stupide, mais à quoi tu le vois ?
-
Ah ? Je vais peut-être paraître stupide, mais à quoi tu le vois ?
Au début j'ai pensé ça car les paquets sont tout petits (refus) donc cela n'amplifie rien.
Par contre, c'est peut être les mesures de protection et un DDOS assez débile.
A la réflexion c'est peut être bien lui la cible d'un DDOS par amplification DNS bien raté vu que les requêtes sont des ANY (donc grosses réponse) mais que les serveur refusent de répondre.
-
Au début j'ai pensé ça car les paquets sont tout petits (refus) donc cela n'amplifie rien.
Par contre, c'est peut être les mesures de protection et un DDOS assez débile.
A la réflexion c'est peut être bien lui la cible d'un DDOS par amplification DNS bien raté vu que les requêtes sont des ANY (donc grosses réponse) mais que les serveur refusent de répondre.
Les gens qui vendent du déni de service n'ont pas forcément un gros niveau d'expertise technique. Je dirais qu'ils peuvent probablement avoir tendance à suivre des recettes trouvées ailleurs.
Souvent, le code de ce genre d'outil est venu sur des forums au marché noir et exécuté séparément par des personnes qui sont venues à l'acheter et mettre en place une infrastructure derrière.
Même si la personne qui écrit le code est la même qui vend le service à l'utilisateur final, elle ne va pas forcément superviser activement ce que fait son code ni le maintenir à un niveau de fonctionnement voulu.
-
Pour information, avant-hier une personne en interne de chez Bouygues Telecom a pu bloquer les requêtes DNS en amont pour que ma box évite de les traîter ! Tout est revenu à la normale X) .
-
Bonne nouvelle, tu es passé par le support ou un autre moyen ?
-
Via Twitter directement, c'était plus rapide. Par le SC il faut suivre tout un processus ce qui rend le traitement bcp plus long :p
-
J'avais pris ces messages pour du 2022 au lieu de 2021 mais je vais quand même écrire une ligne de commentaire.
Ca ressemble à de l'ajustement, un sondage / paramétrage de ce que les sources (ceux qui sont supposés amplifier le trafic) sont capables de ré-émettre.
L'attaquant se renvoie probablement un peu de trafic de temps à autre (y compris du tcp) mais il évacue l'essentiel pendant son sondage. Ari c'est un peu un des /dev/null de l'opération. S'il avait été la cible réelle de l'opération il aurait pris bien plus que 3.5Mb/s dans les ratounes.
Devinette gratuite, sans certitude mais c'est spontanément ce que cela m'évoque.