Hello les amis, j'ai besoin de vous cette fois-ci

Je viens d'avoir un mail il y a quelques jours concernant une attaque à laquelle l'un de nos abonnés aurait participé. La victime en question est nForce et je tiens à souligner la qualité de leurs mails avec plein d'infos aussi bien basiques (comment vous protéger nananère) que techniques (voici un échantillon de dump) pour réduire l'ampleur des attaques.

Notre réseau utilise déjà la technique BCP38 (en gros, tout le trafic UDP avec une IP source qui n'est pas OrneTHD, je jette) et ça élimine pas mal de merdes, je vous assure.

Par contre, là je confirme, l'abonné a bien sorti 14Mbps (le max de sa ligne) pendant quelques minutes. En l'appelant, j'ai vite compris que c'était à son insu et qu'il comprenait pas comment c'était possible. Donc les paquets UDP sont bien sorti avec sa vraie IP. Les paquets faisaient 1278 octets chacun (qui n'a pas fait exploser les pps, donc l'antiddos en place n'a rien vu), avec du texte assez parlant :
2019-04-26 00:24:05.543398 IP (tos 0x8, ttl 51, id 5697, offset 0, flags [DF], proto UDP (17), length 1278)
   193.148.82.xxx.3150 > 74.91.119.x.14597: UDP, length 1250
   0x0000:  4508 04fe 1641 4000 3311 5797 c194 5207  E....A@.3.W...R.
   0x0010:  4a5b 7718 0c4e 3905 04ea dced 4920 6861  J[w..N9.....I.ha
   0x0020:  5665 2073 6d41 6c6c 2043 6f63 434b 2053  Ve.smAll.CocCK.S
   0x0030:  796e 646f 726d 2053 7777 7920 4920 666f  yndorm.Swwy.I.fo
   0x0040:  7267 6574 2068 6f77 2074 6f20 7370 6565  rget.how.to.spee
   0x0050:  6c6c                                     ll
J'avoue que je suis un peu à court de solutions (bon il y a toujours des solutions payantes, qu'on voudrait éviter). Selon moi, il faudrait vraiment aller au coeur du paquet en L7, mais là pareil, si le mec remplace "i have small cocks" par "i wanna be a superstar", ça passe au travers 

Aussi, mon post veut aussi attirer l'attention sur les capacités en upload qui augmentent de plus en plus : là mon gars n'a sorti que 14Mbps, j'imagine les dégats avec qq abonnés FTTH avec 600Mbps au cul 

Voilà, merci d'avance pour vos réponses

Netflow + whitelist sur les ports UDP "communs"/standards.

Eventuellement, regarder si une signature est possible à partir des champs IP: tos, id, etc.

Curieux de savoir quel est le code sur la machine de ton abonné qui a généré ce trafic.

Oula, sur ce point difficile à dire, mais c'est sûr qu'un PC doit être salement infecté chez lui.

Ou une caméra de video surveillance piratée ? Cela s'est vu..

https://www.lemondeinformatique.fr/actualites/lire-des-cameras-ip-chinoises-a-l-origine-de-la-gigantesque-attaque-ddos-66311.html
https://www.numerama.com/tech/179729-lizard-squad-pirate-cameras-de-surveillance-mener-attaques-ddos.html

Et si le client n'est pas trop geek, il n'a pas mis sa caméra à jour ni changé les mots de passe.

On m'a aussi suggérer de brider l'upload UDP à qq Mbps et laisser au TCP open bar. Suffisant pour laisser passer la VOIP (genre Mumble) et les jeux.

Du coup tu vas brider les VPN

Ou a la limite, vu que c'est un petit réseau, le mieux serait peut-être de brider manuellement la ligne, et lever la restriction quand le client aura désinfecté ses machines ? Ça lui apprendra peut-être à faire plus attention ou à se documenter sur le sujet...

Ma réflexion se voulait au-delà de mon propre réseau, étant donné que j'ai ce cas très concret qui est intéressant et qu'avec les topics "Bouygues augmente l'upload", "Free annonce 600Mbps", et avec la 5G qui arrive, cela mérite d'être exposé.

Mais effectivement dans le cas d'espèce, je lui ai conseillé de bien passer antivirus (plusieurs hein), et de faire le ménage, car il n'est pas à l'abri que qqn espionne sa webcam ou autre.

Ah oui c'est vrai ça... je cherchais justement ce qui pouvait beaucoup consommer en UDP, et j'avais zappé certains VPN.

MMhhh, sinon j'ai une astuce (pour l'exemple) : par défaut je bride toutes les flux UDP sortants à 1Mbps, SAUF s'il l'IP en face échange aussi des paquets. En gros, il faut vraiment que l'hôte en face te réponde aussi.
Sur du routeur Mikrotik, faire ça en 2 étape : 1) une règle qui match les flux en entrées qui peuplent une address-list, et 2) une règle qui shape tous les flux UDP sortants vers les IP qui ne sont pas dans l'address-list.

Celle de BadMax est pas mal non plus.

Ca dépend de la signature obtenue. Tu as un flux légitime qui part vers une IP, comment savoir si la communication est légitime ou non ? A mon sens, je pense que le fait de savoir s'il y a un retour d'information permet de s'en assurer.

Vous en pensez quoi ?

En plus des VPN, des jeux et de la VoIP, il y a aussi le Streaming sur WebRTC, avec les solutions type Streamroot qui peuvent générer pas mal de trafic UDP (en P2P). C'est sûr qu'on envoie jamais des dizaines de Mbps vers une seule IP, mais en cumulé, c'est tout à fait possible de dépasser plusieurs dizaines de Mbps en pic.