Hello les amis, j'ai besoin de vous cette fois-ci
Je viens d'avoir un mail il y a quelques jours concernant une attaque à laquelle l'un de nos abonnés aurait participé. La victime en question est nForce et je tiens à souligner la qualité de leurs mails avec plein d'infos aussi bien basiques (comment vous protéger nananère) que techniques (voici un échantillon de dump) pour réduire l'ampleur des attaques.
Notre réseau utilise déjà la technique BCP38 (en gros, tout le trafic UDP avec une IP source qui n'est pas OrneTHD, je jette) et ça élimine pas mal de merdes, je vous assure.
Par contre, là je confirme, l'abonné a bien sorti 14Mbps (le max de sa ligne) pendant quelques minutes. En l'appelant, j'ai vite compris que c'était à son insu et qu'il comprenait pas comment c'était possible. Donc les paquets UDP sont bien sorti avec sa vraie IP. Les paquets faisaient 1278 octets chacun (qui n'a pas fait exploser les pps, donc l'antiddos en place n'a rien vu), avec du texte assez parlant :
2019-04-26 00:24:05.543398 IP (tos 0x8, ttl 51, id 5697, offset 0, flags [DF], proto UDP (17), length 1278)
193.148.82.xxx.3150 > 74.91.119.x.14597: UDP, length 1250
0x0000: 4508 04fe 1641 4000 3311 5797 c194 5207 E....A@.3.W...R.
0x0010: 4a5b 7718 0c4e 3905 04ea dced 4920 6861 J[w..N9.....I.ha
0x0020: 5665 2073 6d41 6c6c 2043 6f63 434b 2053 Ve.smAll.CocCK.S
0x0030: 796e 646f 726d 2053 7777 7920 4920 666f yndorm.Swwy.I.fo
0x0040: 7267 6574 2068 6f77 2074 6f20 7370 6565 rget.how.to.spee
0x0050: 6c6c ll
J'avoue que je suis un peu à court de solutions (bon il y a toujours des solutions payantes, qu'on voudrait éviter). Selon moi, il faudrait vraiment aller au coeur du paquet en L7, mais là pareil, si le mec remplace "i have small cocks" par "i wanna be a superstar", ça passe au travers
Aussi, mon post veut aussi attirer l'attention sur les capacités en upload qui augmentent de plus en plus : là mon gars n'a sorti que 14Mbps, j'imagine les dégats avec qq abonnés FTTH avec 600Mbps au cul
Voilà, merci d'avance pour vos réponses