Auteur Sujet: DDoS qui n'en finit pas ... - Bbox Fast-5330b (Lu 6124 fois)

Ari33260 · « **le:** 24 janvier 2021 à 15:33:22 »

Bonjour tlm ^^,

Hier soir à 23 heures j'ai été victime d'une attaque Ddos sur ma pauvre Bbox ADSL, synchro Ok, VoWIFI Ok, mais plus d'accès à Internet car la BP était utilisé à 100% constamment pendant 10 grosses minutes, après ces 10 minutes, la BP est redescendue à 50% et depuis la BP reste constamment utilisée au minima à 50% même avec aucun appareil connecté sur la Bbox, au lieu de me retrouver avec un débit de 10 Mbits/s conformément à la synchro, je suis au mieux à 5 Mbits/s IP pour 11.73 Mbits/s ATM.
Comment retrouver l'adresse IP qui ne cesse de m'envoyer des paquets afin de la bloquer sur le pare-feu, car la Bbox ne permet pas de voir cela ....

Merci,
Bonne journée ^^

vivien · « **Réponse #1 le:** 24 janvier 2021 à 15:45:33 »

Si tu mets une DMZ vers l'IP de ton PC et tu prend une capture Wireshark.

Tu devrait voir l'attaque, si elle est en IPv4.

Ari33260 · « **Réponse #2 le:** 24 janvier 2021 à 15:47:04 »

Merci Vivien ! Je regarde ça tout de suite

Ari33260 · « **Réponse #3 le:** 24 janvier 2021 à 16:22:56 »

Re, je reçois bien tout le trafic sur mon PC grâce au DMZ mais j'avoue que j'ai beaucoup de mal à m'y retrouver dans Wireshark, plein d'adresses IP différentes défiles

Ari33260 · « **Réponse #4 le:** 24 janvier 2021 à 16:24:01 »

ET voilà ce que m'affiche la Bbox maintenant

vivien · « **Réponse #5 le:** 24 janvier 2021 à 17:19:28 »

C'est étonnant ces paquets.

J'ai l'impression que tu n'es pas la cible de l’attaque, mais que c'est un effet collatéral.

Ari33260 · « **Réponse #6 le:** 24 janvier 2021 à 17:30:19 »

Citation de: vivien le 24 janvier 2021 à 17:19:28

C'est étonnant ces paquets.

J'ai l'impression que tu n'es pas la cible de l’attaque, mais que c'est un effet collatéral.

Ah d'accord, merci ^^ Comment y remédier ? Parcequ'elle a rien de choquante ma capture quand je la compare avec des vraies attaques, dans la mienne différentes IP défiles alors que sur les autres c'est essentiellement la même adresse IP.
Ma box détecte bein le trafic anormal mais pourtant elle continue à les traîter ce qui m'empêche d'exploiter toute ma BP ADSL

alain_p · « **Réponse #7 le:** 24 janvier 2021 à 17:46:12 »

Tu pourrais peut-être essayer de débrancher ta box un quart d'heure, la rebrancher et voir si les attaques reprennent ? C'est étonnant de s'en prendre à une box ADSL. Tu héberges des serveurs ? En tout cas, cela semble bien du DDOS (distributed...), il n'y a pas qu'une seule adresse qui participent mais de multiples...

Sinon, je pense que tu devras contacter la hot line, pour voir comment ils traitent ce genre d'attaques, si le hotliner comprend... C'est aussi certainement beaucoup de trafic sur le réseau Bouygues Telecom...

Marin · « **Réponse #8 le:** 24 janvier 2021 à 18:02:25 »

Bonjour,

Ça ressemble à une attaque DDoS par amplification DNS (des serveurs du trafic avec ton adresse IP en tant que fausse source, les réponses contiennent ton adresse IP en tant que vraie destination, le volume de trafic augmente au passage car les réponses DNS sont plus grosses que les requêtes).

Le message sur l'interface de la box est bien celui affiché lorsqu'il y a trop de connexions initiées (de sessions DNS différentes ici) et que la box n'arrive plus à les suivre.

Il faudrait faire une demande au support pour changer d'adresse IP si possible, en expliquant la situation, ou attendre que ça s'arrête.

Bonne journée,

Ari33260 · « **Réponse #9 le:** 24 janvier 2021 à 18:06:37 »

Citation de: alain_p le 24 janvier 2021 à 17:46:12

Tu pourrais peut-être essayer de débrancher ta box un quart d'heure, la rebrancher et voir si les attaques reprennent ? C'est étonnant de s'en prendre à une box ADSL. Tu héberges des serveurs ? En tout cas, cela semble bien du DDOS (distributed...), il n'y a pas qu'une seule adresse qui participent mais de multiples...

Sinon, je pense que tu devras contacter la hot line, pour voir comment ils traitent ce genre d'attaques, si le hotliner comprend... C'est aussi certainement beaucoup de trafic sur le réseau Bouygues Telecom...

Non je n'héberge aucun serveur, le seul port ouvert c'est pour l'accès à distance de l'IHM de la Bbox, malgré mes actions dans le pare-feu les attaques sont toujours là ... Cette soirée là j'étais juste sur un service de VoIP (Discord). Je verrais demain pour la hotline mais je doute qu'ils comprennent quelques choses, il faudrait que je sois rappelé par le service d'expertise qui sont beaucoup plus compétant que le service technique.

Citation de: Marin le 24 janvier 2021 à 18:02:25

Bonjour,

Ça ressemble à une attaque DDoS par amplification DNS (des serveurs du trafic avec ton adresse IP en tant que fausse source, les réponses contiennent ton adresse IP en tant que vraie destination, le volume de trafic augmente au passage car les réponses DNS sont plus grosses que les requêtes).

Le message sur l'interface de la box est bien celui affiché lorsqu'il y a trop de connexions initiées (de sessions DNS différentes ici) et que la box n'arrive plus à les suivre.

Il faudrait faire une demande au support pour changer d'adresse IP si possible, en expliquant la situation, ou attendre que ça s'arrête.

Bonne journée,

Je vais tenter de leur demander de me faire changer d'adresse IP mais sincèrement j'y crois pas car quelqu'un avait déjà demandé si c'était possible, la réponse était non .

Merci de vos éclairecissement ^^

vivien · « **Réponse #10 le:** 24 janvier 2021 à 19:53:37 »

Le changement d'IP n'était pas possible, je ne suis pas sur que cela soit le cas, mais tu peut voir avec leur équipe de sécurité si ta connexion peut être mitigée par Arbor Network.

Il doit être déclenché automatiquement pour des DDOS importants, mais là peut-être qu'ils ont la capacité de l'activer et dans ce cas là le trafic DDOS sera mitigé en amont du lien xDSL et tu n'aura pas de problème.

lechercheur123 · « **Réponse #11 le:** 26 janvier 2021 à 20:30:46 »

Citation de: vivien le 24 janvier 2021 à 17:19:28

J'ai l'impression que tu n'es pas la cible de l’attaque, mais que c'est un effet collatéral.

Ah ? Je vais peut-être paraître stupide, mais à quoi tu le vois ?