La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: marmottin le 19 avril 2023 à 07:47:43
-
Bonjour,
Depuis environs 36 heures, j'ai de très grosses difficultés d'accès au site se traduisant par des lenteurs de plusieurs secondes avant l'accès aux différentes pages.
Ma connexion n'est pas en cause, les autres sites fonctionnant parfaitement.
Suis-je le seul?
-
Hello,
Non, il y a une méchante personne qui attaque le site
-
Plus clairement, il y a une attaque DDOS sur le site.
-
Merci pour l'info, espérant que cette attaque cesse rapidement :( :(
-
J'avoue avoir du mal de comprendre l’intérêt de faire cela...
-
Comme voler une voiture, ou dégrader des biens publics.
C'est pour faire chier.
-
Ce matin, toujours problèmes pour accéder au site.
-
Il faut apprendre à être patient.
-
D'ailleurs courage à ceux qui bossent pour que le site fonctionne toujours malgré ça.
-
Ce matin, toujours problèmes pour accéder au site.
Je rappelle que le site est gratuit, sans pub et tenu par des bénévoles
donc merci d'être un peu plus sympa
-
Désolé si tu as pu prendre mon post pour une critique mais ce n’était vraiment pas le cas : c’était un simple post , réflexe sans réfléchir, pour informer (comme je le fais lorsque je constate, par exemple, une fuite d’eau dans ma rue et que je le signale au service des eaux …). A y réfléchir, j’aurai mieux fait de m’abstenir puisque ceux qui font fonctionner le site avaient dû détecter par eux-mêmes qu’il y avait un problème d’accès. Avec toute ma sympathie ainsi qu'à tous les bénévoles …
-
C'était un peu sec mais tant mieux si c'est un malentendu :)
-
Je vais donner un peu plus de détails. Le forum a subi plusieurs types d'attaques, complétement inédites et je n'étais pas préparé.
Jusqu'à présent, je gérais à la main les blocages d'IP. Là, sur une des attaques qui se faisait principalement en IPv6 (c'est très rare d'avoir des attaques où IPv6 est majoritaire), j'ai dû faire face à plus de 173 327 IPv6 qui m'ont attaquées, j'ai dû automatiser un peu la chose...
La liste des IPv6 bloquées hier est disponible dans ce fichier 202304_blacklist-ipv6.txt (https://lafibre.info/images/stats/202304_blacklist-ipv6.txt).
Hugues, qui fait l'hébergement du serveur, a été réactif pour les attaques volumétriques (quand on cherche à saturer le lien qui relie le serveur à Internet). Malheureusement, depuis l'incendie au Maxnod, le serveur est dans une situation provisoire, le bureau de Hugues, ce qui ne permet pas d'avoir toute la capacité nécessaire pour gérer de grosses attaques.
Vous m'avez manqué <3
Pour l'instant, lafibre.info est chez moi, dans mon bureau !
(https://lafibre.info/images/adeli/202302_28mars2023_serveur_lafibre.webp)
Ces deux conditions ont fait que le forum a été peu disponible pendant ces attaques.
-
J'ai prévu de jeter le serveur dans une baie d'un pop de milkywan assez rapidement :)
-
J'ai prévu de jeter le serveur dans une baie d'un pop de milkywan assez rapidement :)
le mieux serait de le jeter dans la tronche du crétin qui Ddos et lui exploser quelques dents au passage :P ;D ;D
-
J'ai prévu de jeter le serveur dans une baie d'un pop de milkywan assez rapidement :)
Mais on ne jette pas le matériel informatique comme ça, c'est de la maltraitance ! ;D
-
Merci à vous de vous préoccuper des sérieux problèmes que certains provoquent! Je suis aussi d'accord avec Jiajo pour leur casser les dents (je plaisante bien sur). Hans.
-
Bonjour à tous,
c'est que chez-moi ou le phénomène reprend?
J'ai l'impression d'avoir 20 ans de moins et d'être revenu au 56k depuis... depuis 1/4 d'heure.
Le reste du Web va bien et ma ligne aussi.
-
Je confirme, même souci ... :-\
-
Bonjour.
Au boulot, qui a une connexion ipv4 only, accès impossible au forum. Je poste via réseau mobile.
Ssl Labs confirme que l'accès au forum par ipv4 est actuellement ko.
Pour les lenteurs en ipv6, je n'ai pas le temps de diagnostiquer plus longtemps. Désolé.
-
le site vient de passer de injoignable pendant 20 minutes a très très lent chez moi...
-
C'est un déni de service...
C'est distribué sur des milliers d'IPv4 et des d'IPv6 différentes.
-
N'avez-vous pas la possibilité, pendant un DDoS, de faire du blocage par AS / pays ?
-
En général, on ne partage pas les informations de contre-mesure publiquement ;)
-
Et puis ça laisse du temps pour manger tranquillement un bon dessert :)
-
Et de boire une boisson Opti Fibre pour aider au transit avec les fêtes ;D
-
Hello,
De mon côté, impossible d'accéder au site depuis ma connexion Dyjix.
J'arrive à y accéder sans problème depuis ma connexion orange.
L'ICMP depuis Dyjix ne passe pas également tandis que l'ICMP depuis orange fonctionne.
Vivien m'a fourni une liste d'IP rattachées à l'attaque mais aucune ne fait parti de notre ASN / downstream...
Quelqu'un pour diagnostiquer le problème ?
Axel
-
Je ne cherchais pas à comprendre les solutions mises en place pour gérer ça, je suggérais ça au cas où. Je ne me rappelle plus des chiffres du forum, mais j'ai eu et j'ai encore certains sites en gestion fort trafic sur dédié comme ici (le petit dernier fait 400k visiteurs uniques par mois pour 80M de requêtes), et c'est un combat de tous les jours par moment :)
-
Pour information, le même DDOS a impacté d'autres opérateurs.
L'attaque est toujours en cours, mais le script fonctionne bien.
-
L'ICMP depuis Dyjix ne passe pas également tandis que l'ICMP depuis orange fonctionne.
C'est que le problème vient de chez Dyjix non ?
-
L'attaque est toujours en cours, mais le script fonctionne bien.
Le script semble souffrir ce soir, encore une attaque?
-
Le script semble souffrir ce soir, encore une attaque?
Je ne sais pas, mais ce soir, tant que le site était en IPv6 pour moi: chaque page était très lente à charger.
Depuis quelques minutes, le site s'est mis automatiquement en IPv4 pour moi: c'est ok.
Edit: le sous-domaine ip dit que j'ai bien IPv4+IPv6, avec IPv6 par défaut.
-
Attaque d'un nouveau genre, je n'en dirais pas plus pour le moment.
Elle a démarée le 7 juillet, mais pas avec suffisamment de force et ce soir, ils ont mis la patate. Un vendredi soir, avant un jour férié, en espérant que le service informatique soit fermé pour 3 jours ;D
Si votre IP est bloquée, n'hésitez pas à me le signaler, que je regarde, pour identifier les cas de sur-blocage.
-
J'ai l'impression que mon IPv6 est bloquée.
On signale par mp?
Edit: je n'ai pas réfléchi en posant la question. Mais par mesure de sécurité, il vaut mieux éviter de mettre notre IP en publique. Donc oui pour du mp.
-
Envoi moi ton IPv6 par message, je regarde les logs pour voir ce qui a déclenché le blocage.
Actuellement je bloque 1,7 millions d'IPv4 (elles ont chacune fait des requêtes que je pense lié à l'attaque) et 542 787 IPv6 qui ont chacune participé à l'attaque.
C'est du DDOS très largement distribué à un niveau que je ne connaissais pas.
-
turold ton IPv6 est bien bloquée, désolé, c'est un surblocage.
Je comprends que ma détection est trop sensible, il va falloir que je combien plusieurs facteurs avant de bloquer, mais pour le moment, on va rester tel que.
Pour le moment, le CPU arrive à gérer, mais vous pouvez voir en bas du forum qu'il y a plus de "12 000 Invités" qui sont des requêtes qui sont passées les 15 dernières minutes. Je dois donc être assez agressif.
Ne pas hésiter à passer en partage de connexion sur mobile (ce dernier en 4G/5G) si votre IPv4 et IPv6 est bloquée.
-
turold ton IPv6 est bien bloquée, désolé, c'est un surblocage.
Je comprends que ma détection est trop sensible, il va falloir que je combien plusieurs facteurs avant de bloquer, mais pour le moment, on va rester tel que.
Pour le moment, le CPU arrive à gérer, mais vous pouvez voir en bas du forum qu'il y a plus de "12 000 Invités" qui sont des requêtes qui sont passées les 15 dernières minutes. Je dois donc être assez agressif.
Ne pas hésiter à passer en partage de connexion sur mobile (ce dernier en 4G/5G) si votre IPv4 et IPv6 est bloquée.
Pas de souci, pour le moment. J'ai encore mon IPv4 qui est ok ici.
Et en dernier recours, j'ai du VPN gratuit... mais ça risque de se faire aussi bloqué encore plus rapidement, car c'est forcément mutualisé en gratuit.
D'ailleurs, j'ai changé d'IPv6 dans la journée... alors que la connexion internet de la box à un uptime de 29 jours et quelques, et que la connexion réseau de mon Windows a un uptime de plus d'une journée (donc >24h).
-
Je n'ai rien dit. Mon IPv4 est aussi bloquée depuis quelques dizaines de minutes.
Je passe par un VPN pour poster.
Mon IPv4 bloquée est archivée à mon message précédent.
J'espère que ce sera mieux dans les prochains jours...
-
Merci pour le déblocage.
Le site continue de souffrir:
Record de connexions aujourd'hui: 13 173. Record de connexions absolu: 19 952 (Hier à 22:12:26)
-
Site effectivement très lent hier soir. Aujourd'hui, cela semble aller beaucoup mieux.
-
Hier au soir, ramant comme un fou pour trouver un fil sur le sujet, "nous" étions 300 sur celui-ci, Denis M et 300 invités sur un fil du fond de la cave.
-
Salut à tous.
Hier, je crois, j'ai eu quelques problèmes pour me connecter au forum laFibre.info.
Aujourd'hui, aucun ralentissement, en espérant que l'équipe laFIbre.info trouvera un moyen de contourner ce DDOS efficacement.
Merci aux bénévoles pour le temps consacré à ces désagréments que nous subissons tous. :)
-
Plus de 2 millions d'IP ont participé au DDOS hier soir, c'est la première fois que c'est autant distribué pour lafibre.info
1 837 517 IPv4 : https://lafibre.info/images/stats/202507_ddos_ipv4_applicatif_11juillet2025.txt (pour 3 001 152 connexions, donc chaque IP a fait moins de deux requêtes qui sont arrivées au serveur)
563 585 IPv6 : https://lafibre.info/images/stats/202507_ddos_ipv6_applicatif_11juillet2025.txt (pour 623 934 connexions, donc chaque IP n'a fait généralement qu'une requête)
Ces listes sont à 98% constituées d'IP qui ont participé à l'attaque. Une IP isolée est probablement sans lien avec l'attaque.
Vu le volume d'IP, ce n'est pas simple de trier pour voir les grosses plages IP qui sont à la source et les pays associés.
-
Sur le fond, quel est l'intérêt de lancer une attaque de ce type sur La Fibre.info ? Attaque vaine, sachant en plus qu'il y a du répondant pour la contrer !
-
Donc nouvelle règle : blacklist des IP qui ne réalise qu’une seule requête.
Ça devient moins évident de détecter un pattern.
-
Sur le fond, quel est l'intérêt de lancer une attaque de ce type sur La Fibre.info ? Attaque veine, sachant en plus qu'il y a du répondant pour la contrer !
Moi j'ai ma petite idée...
-
Sur le fond, quel est l'intérêt de lancer une attaque de ce type sur La Fibre.info ? Attaque vaine, sachant en plus qu'il y a du répondant pour la contrer !
L'intérêt est de perfectionner sa technique d'attaque, voilà tout. Venir emmerder les occidentaux, surtout quand on sait ce que pense Poutine de la France. Ou mieux, se faire facilement de l'argent en demandant une rançon pour que cela s'arrête, jusqu'à la prochaine tentative. Ce ne sont pas les idées qui manque.
-
Pourquoi Poutine et pas l'Iran, la Chine voire la Turquie ?
-
Ça coûte cher de lancer une attaque de ce type ? Avoir accès à un réseau de >2,5 millions d'IP, ça n'a pas l'air donné -- si j'avais de tels moyens financiers et de mauvaises intentions, je viserais probablement une cible plus lucrative que lafibre.info ???
-
Pourquoi Poutine et pas l'Iran, la Chine voire la Turquie ?
La France est le nouveau terrain de jeu de la Russie. Il faudrait se tenir au courant des actualités (https://actu.fr/monde/la-france-est-desormais-le-principal-adversaire-en-europe-de-la-russie-que-peut-elle-faire-contre-nous_62902134.html). Sinon, oui, tous les adversaires des pays occidentaux, sans compter les petits malins qui surfent sur cette vague pour se faire un peu d'argent de poche.
Ça coûte cher de lancer une attaque de ce type ?
Ce n'est pas un individu isolé qui peut récolter autant d'adresses IP, c'est nécessairement un travail d'équipe. C'est un long travail de recherche pour trouver des ordinateurs sans aucune protection, comme les IoT, et ensuite prendre le contrôle à distance. Un logiciel pour lancer ce genre d'attaque est en vente dans le darknet. Le logiciel pour la prise de contrôle à distance se nomme un RAT pour Remote Access Tool (https://fr.wikipedia.org/wiki/Acc%C3%A8s_%C3%A0_distance#Outil_d'administration_%C3%A0_distance). Ne me poser pas la question où, je n'en sais rien, je sais juste que ça existe et c'est tout. Ben oui, il m'arrive de regarder des émissions consacrées à l'internet et aux IA à la télévision. Et non, je ne suis pas un pirate. Désolé de vous décevoir.
-
Je suis parfaitement informé, merci.
Mais bizarrement, je fais assez peu confiance aux déclarations récentes du chef d'état major des armées... ou de Macron.
-
on sait ce que pense Poutine...
Dans le doute, voici la liste des plages des 45423360 IP assignées à l'ex CCCP.
Première colone le début, 2e la fin de plage et 3e le nombre.
Bon après midi studieux :)
-
@ IL0710 : je me demande parfois si nos chers dirigeants réfléchissent sur les conséquences de leurs actes à l'international. A moins que Macron soit en compétition avec Trump pour l'obtention du prix Nobel de la Paix. Ils sont champions pour nous mettre dans la merde, que ce soit sur la très mauvaise gestion des finances de l'état ou des inconséquences des bavardages qui ne mènent à rien sinon à nous faire discréditer. Et pendent ce temps là, Poutine s'organise en vue d'une guerre contre l'Europe, lâchée par les USA. Pauvre France.
@ Denis M.: merci Denis, mais cela ne sert à rien car le lancement de l'attaque se fait à partir d'une ou plusieurs adresses IP qui ne sont pas dans le lot récupéré par Vivien. Toutes ces adresses IP sont justes des ordinateurs ou des IoT qui ne sont pas du tout protégés. Rejeter ces adresses revient à punir des gens qui ne maitrisent pas la sécurité de leur matériel informatique.
Ou alors, considérer que l'accès au forum n'est réservé qu'à ceux de la métropole et des DOM-TOM.
-
Moi j'ai ma petite idée...
Et bien, partage là nous ton idée...
-
Ça coûte cher de lancer une attaque de ce type ? Avoir accès à un réseau de >2,5 millions d'IP, ça n'a pas l'air donné -- si j'avais de tels moyens financiers et de mauvaises intentions, je viserais probablement une cible plus lucrative que lafibre.info ???
oui. Universfreebox.com pour commencer a nettoyer le net ! ;D
-
Moi j'ai ma petite idée...
Moi aussi, mais certainement beaucoup plus vague.
Je n'ai pas épluché tout les sujets/messages récents d'avant le 7 juillet (début timide de l'attaque selon Vivien).
Coïncidence, et par association d'idée, mon article qui parle des pratiques anti-internet libre d'une entreprise privée en Afrique, mais basée en Asie, date d'hier, le 12 juillet. Et elle a une toute autre pratique de bâillonnement/représailles.
Donc je ne suis pas la source indirecte et involontaire dans ce cas.
-
Moi j'ai ma petite idée...
Mais encore ?
Par exemple, là tout de suite, 2425 invités à 8h00, est-ce normal ou pas ?
-
Oui, cela semble un peu élevé, mais coté CPU, l'augmentation ne semble pas énorme :
-
Merci Vivien, mais pour moi, c'est du chinois de la basse période Ming !
Mais est-il possible d'analyser en terme de temps de connexion ? Un membre (moi par exemple) va passer (au pif) un certain temps sur le forum, mais ce temps est-il le même en cas de passage inamical ? Il n'y a que l'adresse IP comme outil d'analyse ?
-
Non, on ne peut pas savoir combien de temps une personne est connectée.
Les stats en bas de la page, ce sont les IP qui ont chargé une page les 15 dernières minutes.
Si un site aspire le forum depuis la même IP, il ne contera que pour un invité, même s'il fait plein de requêtes, car c'est la même IP.
Ici, on a donc affaire à des IP différentes qui doivent charger une seule page (ne me demande pas pourquoi).
-
Peut-être des robots qui récoltent des données pour des modèles d'intelligence artificielle ?
Les acteurs moins respectueux dans le domaine sont connus pour inonder les forums et dépôts de code via des proxy, ce qui leur permet de faire chaque requête depuis une nouvelle IP et d'éviter de se faire bloquer : https://about.readthedocs.com/blog/2024/07/ai-crawlers-abuse/ / https://saphi.re/blog/2025-abusive-ai-crawlers
Ça coûte étonnamment peu cher : https://brightdata.com/proxy-types/residential-proxies
-
L'attaque est de retour ce soir ;D
19 339 Invités sur le forum, malgré le blocage de 1 837 517 IPv4 et 563 585 IPv6.
-
Je fais filtrer plus large, sur les plages IP qui sont massivement utilisées.
Voici comment je trouve les top harceleurs :
cat 202507_ddos_ipv4_applicatif_11juillet2025.txt | cut -d. -f1,2 | sort -n | uniq -c | sort -nr
cat 202507_ddos_ipv6_applicatif_11juillet2025.txt | cut -d: -f1,2,3 | sort -n | uniq -c | sort -nr
Cela donne ces fichiers :
https://lafibre.info/images/stats/202507_ddos_applicatif_top_ipv4.txt
https://lafibre.info/images/stats/202507_ddos_applicatif_top_ipv6.txt
Cela se lit comme ça : il y a 9665 IPv4 distinctes sur la plage 14.191.xxx.xxx qui ont attaqué le forum.
9665 14.191
8772 169.224
6596 172.56
6372 177.37
6297 179.125
5872 172.59
4962 152.59
4844 187.19
4231 152.58
4196 37.111
3733 172.58
3575 191.5
3298 186.249
3272 14.231
3270 176.29
3234 37.77
3156 45.187
3132 37.238
3051 170.78
Cela se lit comme ça : il y a 4131 IPv6 distinctes sur la plage 2001:ee0:4f39:: qui ont attaqué le forum.
4131 2001:ee0:4f39
4114 2001:ee0:4f36
3834 2001:ee0:4f35
3773 2001:ee0:4f3c
3337 2001:ee0:4f3a
2964 2001:ee0:4f37
2793 2001:ee0:429d
2781 2001:ee0:4f34
2706 2001:ee0:4f3b
2689 2001:ee0:4294
2128 2001:ee0:4f3d
2075 2001:ee0:4f38
1977 2001:ee0:4f7c
1576 2001:ee0:4f3e
1483 2001:ee0:425e
1363 2001:ee0:4255
1335 2001:ee0:51c3
1163 2001:ee0:42cb
1098 2001:ee0:4790
1089 2001:ee0:4681
1068 2001:ee0:51c4
1050 2803:1500:1c00
-
@ Vivien : qu'est-ce que tu utilises comme outil pour récupérer toutes ces adresses IP ?
A moins que tu as installé un mouchard dans le forum pour connaitre les adresses de connexion.
-
C'est les log Apache. Chaque requête est loguée (c'est le cas pour tous les serveurs).
Je filtre selon des règles bien précises (confidentiel) pour trouver un point qui caractérise l'attaquant.
Ensuite, j'extrais toutes les IP qui respectent cette règle, ce qui donne ces 1 837 517 IPv4 et 563 585 IPv6.
J'estime que 98% de ces IP sont liées aux attaques (il peut y avoir quelques IP légitimes dans le lot).
Je vais regarder la localisation de ces blocs d'IP massivement utilisé pour les attaques et s'il n'y a pas trop de risque de sur-blocage, je pense qu'elles seront définitivement bloquées.
Désolé pour ceux qui utilisent des VPN, mais il est probable que certains VPN hors d'Europe seront bloqués, ces plages bloquées sont nécessaires pour que le serveur (qui est significativement surdimensionné) puisse répondre pendant les attaques. Il n'est pas nécessaire de tout bloquer, il faut bloquer ce qui est nécessaire pour que le reste puisse être traité par le serveur (comme c'est le cas en ce moment).
-
Tu voulais dire le log du virtualHost définie dans Apache, pas les logs du serveur Apache car ils ne produisent rien comme trace.
Utilises tu une moulinette pour lire ces logs afin de récupérer les adresses IP ?
Je suppose que le critère est fort simple, puisque tu connais les adresses IP des membres de ce forum, il suffit de rejeter celles qui ne sont pas identifiées.
Et où mets tu le blocage de ces adresses IP indésirables ? Pas dans les directives <RequireAll> ... </RequireAll> car c'est troplourd à gérer.
J'utilise un mouchard pour récupérer les adresse IP. Et c'est lui qui vérifie leur autorisation.
Je gère cela en PHP et en MySql. C'est simple et facile à gérer.
Comme une attaque est la répétition d'une même requête, il suffit de comptabiliser le nombre de connexions dans un intervalle de temps définies à l'avance, genre par heure et quand cela dépasse un certain seuil, tu as tes coupables. Du coup, tu peux automatiser cela.
-
Non, je ne peux pas lier les membres du forum. L'automatisation du blocage, c'est uniquement pendant les attaques et souvent chaque attaque est unique sur la façon de l'identifier.
Je vais prendre un exemple simple : si l'attaquant fait ses requêtes avec TLS 1.2 je le repère facilement et je vais bloquer toutes les IP qui font des requêtes en TLS 1.2, vu qu'aujourd'hui tout le trafic est en TLS 1.3 (cet exemple était intéressant il y a quelques années, toutes les attaques ces dernières années sont en TLS 13).
Hors attaque, il faut étudier à la main chaque plage que je souhaite bloquer définitivement. L'idée, c'est de bloquer des IP source d'attaques régulières (c'est toujours dans les mêmes pays, bien éloignés de chez nous) en évitant le surblocage.
-
Mes préconisations restent d'actualité.
1) instaurer un ratelimit pour limiter les qps depuis la même IP ou le même subnet
2) mettre en cache les pages pour les invités (pour augmenter sensiblement les qps et diminuer la conso CPU qui peut être rendue pour les pages dynamiques pour les gens connectés)
Je peux aider si tu as besoin Vivien.
-
Quel est le pourcentage d'IP qui sont hors des plages des OCENS Français ?
-
Sur cette attaque, le ratelimit est inutile.
Le cache, je vais creuser. Il y a beaucoup d'attaques qui se limitent à charger la page d'accueil (mais ce n'est pas celle en ce moment qui charge des pages assez variées, j'ai pas été voir la logique des pages demandées).
Quel est le pourcentage d'IP qui sont hors des plages des OCENS Français ?
L'attaque provient à 100% hors d'Europe.
Le top 10 :
- 14.191.0.0/16 Viet Nam AS45899 VNPT Corp
- 169.224.0.0/17 United Arab Emirates AS199739 Earthlink Telecommunications
- 172.32.0.0/11 USA AS21928 T-Mobile USA, Inc.
- 177.37.0.0/16 Brazil plusieurs petits AS
- 179.125.0.0/16 Brazil plusieurs petits AS
- 152.56.0.0/14 India AS55836 Reliance Jio Infocomm
- 187.19.128.0/17 Brazil plusieurs petits AS
- 37.111.128.0/17 Pakistan et Bangladesh plusieurs petits AS
- 191.5.0.0/16 Brazil plusieurs petits AS
- 186.249.128.0/17 Brazil plusieurs petits AS
-
@ Vivien : mais je croyais qu'une attaque DDOS consistait à saturer la bande passante. Je ne comprends en quoi faire une liste des adresses IP à rejeter peut améliorer la connectivité au forum laFibre.info.
-
L'attaque provient à 100% hors d'Europe.
Le top 10 :
- 14.191.0.0/16 Viet Nam AS45899 VNPT Corp
- 169.224.0.0/17 United Arab Emirates AS199739 Earthlink Telecommunications
- 172.32.0.0/11 USA AS21928 T-Mobile USA, Inc.
- 177.37.0.0/16 Brazil plusieurs petits AS
- 179.125.0.0/16 Brazil plusieurs petits AS
- 152.56.0.0/14 India AS55836 Reliance Jio Infocomm
- 187.19.128.0/17 Brazil plusieurs petits AS
- 37.111.128.0/17 Pakistan et Bangladesh plusieurs petits AS
- 191.5.0.0/16 Brazil plusieurs petits AS
- 186.249.128.0/17 Brazil plusieurs petits AS
L'Europe n'a jamais pensé à mettre en place des mécanismes pour protéger les infrastructures informatiques des pays membres d'attaques ?
-
Il y a des attaques visant à saturer la bande passante (en UDP pour les plus simples, mais en TCP de plus en plus souvent, plus le trafic est proche d'un trafic légitime plus il est compliqué à filtrer), d'autres à saturer le processeur, d'autres à saturer la mémoire, d'autres à bloquer les connexions en occupant tous les slots disponibles (slow DDOS ou les attaquants mettent plusieurs minutes à plusieurs heures pour télécharger les quelques octets d'une page, afin d'avoir énormément de transferts actifs simultanément). Il y a aussi des attaques par d'autres moyens en ouvrant pleins de connexions TCP par exemple.
Le principe d'une attaque, c'est de trouver quelques chose qui va faire que le service ne va plus fonctionner, il faut donc surdimensionner tous les canaux d'attaques possibles pour se laisser de la marge.
Il arrive que quand l'attaquant est motivé, il change de type d'attaque quand il voit qu'une ne fonctionne plus.
Vous pouvez voir que en ce moment sur le forum, il y a 11 538 Invités, 15 Membres (2 Amis, 201 Robots), l'attaque continue.
-
Désolé, le site a été très lent cette nuit.
J'ai augmenté les IP bloquées ce matin.
-
@vivien, désolé de quoi ? N'inversons pas les responsabilités...
Bon courage !!!
-
L'Europe n'a jamais pensé à mettre en place des mécanismes pour protéger les infrastructures informatiques des pays membres d'attaques ?
Bah non. Internet c'est mondial.
-
Vivien,
Pourquoi laisser ce suivi dans la section publique?
L'ennemi du forum, auteur de ce DDoS la lit, c'est quasi certain.
Le top 10 :
- 14.191.0.0/16 Viet Nam AS45899 VNPT Corp
- 169.224.0.0/17 United Arab Emirates AS199739 Earthlink Telecommunications
- 172.32.0.0/11 USA AS21928 T-Mobile USA, Inc.
- 177.37.0.0/16 Brazil plusieurs petits AS
- 179.125.0.0/16 Brazil plusieurs petits AS
- 152.56.0.0/14 India AS55836 Reliance Jio Infocomm
- 187.19.128.0/17 Brazil plusieurs petits AS
- 37.111.128.0/17 Pakistan et Bangladesh plusieurs petits AS
- 191.5.0.0/16 Brazil plusieurs petits AS
- 186.249.128.0/17 Brazil plusieurs petits AS
Est-ce que c'est parce que construire des "botnet" avec des machines dans ces pays c'est plus facile?
- machines plus souvent obsolètes, non patchées, donc plus faciles à infecter?
- moins de protections contre les abus dans les réseaux eux mêmes?
Leon.
-
Désolé, le site a été très lent cette nuit.
J'ai augmenté les IP bloquées ce matin.
J'ai vu des temps de réponse entre 400ms et 2s.
En revanche, mon Firefox était bloqué en IPv4, il n'essayait même plus l'IPv6 : peut-être qu'une requête particulièrement longue avait perturbé le Happy Eyeballs et le résultat avait été mis en cache, même si les lenteurs sont côté HTTP et pas TCP/TLS, ou s'il y avait autre chose.
-
Pourquoi laisser ce suivi dans la section publique?
L'ennemi du forum, auteur de ce DDoS la lit, c'est quasi certain.
Oui pour certaines attaques, je pense que l'attaquant était sur le forum ce qui fait que je n'ai pas donné d'informations publiquement.
Pour cette attaque, différente et plus sophistiquée, j'ai plus de doutes.
Il me semble que donner les IP va peut-être aider certains à comprendre le type de terminaux impactés. Je penche pour une application mobile populaire et gratuite qui permet à son concepteur de vendre du DDOS ou alors, il s'est fait hacké. Je pense que c'est une information qui peut être utile à certains qui étudient les attaques ou cherchent à faire des protections.
Je n'ai par contre pas communiqué sur ce que je bloque en situation de crise et ce que je bloque de façon définitive. La stratégie de protection reste privée. Ce que j'ai communiqué ne me parais pas comporter trop de risques si l'attaquant nous lit. Quand on a une attaque sur quelques milliers d'IP on prend le risque en communiquant qu'il change d'IP, mais là pour moi, c'est dors et déjà très large.
-
Sur cette attaque, le ratelimit est inutile.
Le cache, je vais creuser. Il y a beaucoup d'attaques qui se limitent à charger la page d'accueil (mais ce n'est pas celle en ce moment qui charge des pages assez variées, j'ai pas été voir la logique des pages demandées).
L'attaque provient à 100% hors d'Europe.
Le top 10 :
- 14.191.0.0/16 Viet Nam AS45899 VNPT Corp
- 169.224.0.0/17 United Arab Emirates AS199739 Earthlink Telecommunications
- 172.32.0.0/11 USA AS21928 T-Mobile USA, Inc.
- 177.37.0.0/16 Brazil plusieurs petits AS
- 179.125.0.0/16 Brazil plusieurs petits AS
- 152.56.0.0/14 India AS55836 Reliance Jio Infocomm
- 187.19.128.0/17 Brazil plusieurs petits AS
- 37.111.128.0/17 Pakistan et Bangladesh plusieurs petits AS
- 191.5.0.0/16 Brazil plusieurs petits AS
- 186.249.128.0/17 Brazil plusieurs petits AS
L’idée n’est-elle pas de connlimit à x sur les ports 80/443 par /16, /24 ou autre et qui ne seraient pas FR ?
Un truc avec connlimit-mask ?
-
L’idée n’est-elle pas de connlimit à x sur les ports 80/443 par /16, /24 ou autre et qui ne seraient pas FR ?
Un truc avec connlimit-mask ?
Le souci de connlimit c'est qu'il ne regarde que le nombre de connexions.
Or tu peux avoir un usage tout à fait légitime avec 100 connexions derrière une IP, au hasard... le CGNAT.
C'est pour ça que je parle de ratelimit pour limiter les requêtes par seconde, car c'est anormal qu'une IP ou un subnet fasse 100req/sec.
Si ça trigger, tu renvois le bon code erreur pour limiter l'impact sur le référencement pour les crawlers qui tapent dedans.
Après, les attaques se font toujours côté invité, or c'est dommage de rendre une nouvelle page dynamique avec PHP quand il faut envoyer 10000x la même page, déjà HTMLisé à tous les invités, car le contenu est le même. Nous, connectés, on ne verra plus le bon nombre d'invités car les appels à PHP vont fortement diminuer.
-
La connlimit est déjà utilisé pour limiter les risques sur une IP (avec une valeur pour ne pas bloquer le partage d'IPv4, on a un opérateur Télécom Français avec plusieurs milliers de salariés sur une même IPv4 et pas d'IPv6).
Ce que je ne sais pas faire, c'est séparer les IP Française, cela serait pratique pour bien des choses.
À noter que cette attaque est très distribuée, j'ai donné le top10, mais on voit bien que c'est répartie sur des nombreux AS, le fichier https://lafibre.info/images/stats/202507_ddos_applicatif_top_ipv4.txt est très long.
-
@ Vivien : Bloquer au niveau de l'hôte virtuel dans Apache, c'est selon moi déjà trop tard. Au niveau du serveur Apache, on peut faire, mais trop lourd de définir toutes les IP une par une. Par Apache, selon moi, ce n'est pas une bonne idée.
Par le pare-feu (j'utilise le pare-feu de Windows 10), c'est le mieux mais il faut saisir une à une les IP, c'est long à faire. La seule solution que j'ai trouvé est d'installer un mouchard (en php) où je filtre par adresse IP à partir d'une table MySql. C'est plus souple à l'usage, mais ma table MySql se remplit assez rapidement.
Je n'ai pas trouvé un moyen simple d'identifier les adresses IP par pays. Je pense que si je bloque plutôt par plage de 256 ou de 65536, je vais pénaliser des gens qui n'ont rien fait, sauf de s'être fait piraté à leur insu. Mais à vrai dire, à par l'Europe, je ne vois pas trop pourquoi des gens ne parlant pas le français viendrait s'inscrire.
Comme je ne m'y connait pas du tout en matériel, existe-t-il une façon de se protéger plus efficacement contre le DDOS ? D'accord, je ne veut pas investir une fortune, mais n'existe pas des boitiers en amont d'un serveur qui permettent de faire ce genre de filtrage ? Et non, je ne pense pas à OpnSense ou à à PFSense, mais bien à quelque chose de plus efficace et ne supportant pas la saturation provoqué par le DDOS.
Et merci d'expliquer dans un langage compréhensible à des gens comme moi, qui n'ont pas le jargon pour vous comprendre et d'arrêter de me taper dessus quand je dis une bêtise quand je m'exprime mal ou que je le fais involontairement. Je dis cela car parfois, le niveau de vos échanges est d'un tel niveau que l'on se sent totalement exclu. Désolé mais j'ai vraiment envi d'apprendre et non de rester sur le bord de la route.
L'ennemi du forum, auteur de ce DDoS la lit, c'est quasi certain.
J'en déduit que tu es devin ???
Et non, ce n'est pas moi qui suit à l'origine de cette attaque car je n'ai pas la connaissance pour le faire.
Je me doute que tu es déjà assez paranoïa à mon égard sans que je devienne maintenant un hacker attitré.
Tu te trompes. Donnez une liste d'IP à interdire, le fameux hacker, il s'en fout royalement.
Si elles sont bloquées, il va en changer et c'est tout. C'est juste le jeu du chat et de la souris.
Mais dans le cas de Vivien, c'est lui qui est en position de force, car il peut apprendre du comportement du hacker et trouver une solution.
C'est un sujet qui m'intéresse, non pas le piratage, mais de s'en prémunir.
Et si je poste ce message, c'est pour dire qu'il n'y a pas que le forum qui subit des attaques, mais aussi des sites chez des hébergeurs.
J'ai un site de test dans mon ordinateur windows et j'ai très régulièrement des gens qui tentent de le corrompre et j'aimerai juste savoir comment améliorer ma sécurité, voilà tout.
-
@ Vivien : Bloquer au niveau de l'hôte virtuel dans Apache, c'est selon moi déjà trop tard.
+1 il faut bloquer dès l'entrée sur le serveur. Je ne bloque pas avec Apache, mais avec iptables.
Tuto pour limiter le nombre de connexions TCP simultanées par IP sous Linux : https://lafibre.info/ubuntu/securisation-serveur/msg898840/#msg898840
Cela me rappelle de faire un tuto pour montrer comment bloquer les excès (mis en place sur le serveur de test de débit http://appliwave.testdebit.info/ )
-
Je suis du même avis que toi, mais à par le pare-feu (iptables ou nftables), cela n'aurait pas été mieux de le faire avant l'entrée dans le serveur dans un boitier spécial. Si ca se trouve, ce genre de boitier n'existe pas, mais bon, je pose quand même la question au cas où n'est pas une ineptie.
-
Je vois de plus en plus de sites dans la galaxie opensource (instances GitLab, ...) qui déploient Anubis : https://anubis.techaro.lol/.
C'est censé catégoriser les requêtes :
- bots autorisés (user-agent, et IP dans des plages définies) : typiquement indexation des moteurs de recherche
- bots bloqués : typiquement IA
- browsers : un "challenge" est présenté (une page avec un calcul javascript), le résultat est ensuite stocké dans un cookie
L'idée est de bloquer les bots qui se font passer pour un navigateur, mais ne sont en fait pas très intelligents (pas de JavaScript, ou très limité), ou de leur faire consommer des ressources (le calcul), en amont de tout contenu dynamique ou volumineux.
En fonction de la nature des attaques, ça pourrait peut-être aider, en limitant l'attaquant à la page "challenge", sans appel au code php du forum.
En revanche, ça reste au niveau Apache (cf https://anubis.techaro.lol/docs/admin/environments/apache), donc ça n'aide pas quand le problème est le nombre de connexions ouvertes, ou un très grand nombre de connexions par seconde.
-
Le problème d'Anubis, c'est que sur un terminal un peu lent (genre vieil ordi ou smartphone bas de gamme), le challenge peut prendre beaucoup de temps. Ça serait assez relou si ce genre de solution se généralisait.
-
Normalement le challenge n'est présenté qu'une fois à l'utilisateur, sauf les cookies ont été effacés (ou si le site est chargé en navigation privée, donc initialement sans cookies).
-
Normalement le challenge n'est présenté qu'une fois à l'utilisateur, sauf les cookies ont été effacés (ou si le site est chargé en navigation privée, donc initialement sans cookies).
À minima à chaque redémarrage du navigateur, dans mon cas.
En fonction de comment Anubis est configuré, le challenge peut mettre 3-4s à se résoudre sur mon laptop de 2018 (un macbook pro, pas exactement bas de gamme à l'époque).
-
Pour sécuriser un accès à un site internet, il y a aussi le captcha one-clic anti bot de Cloudfare, utilisé par de nombreux sites (la plupart du temps c'est transparent à l'usage, même pas un clic).
Mais je ne sais pas s'il y a des contraintes à sa mise en place.
Et depuis la 1ère moitié de 2024, avec Firefox, le captcha one-clic anti bot de Cloudfare bloque systématiquement en faux-positifs avec un certain nombre d'extensions pour navigateurs. Voici quelques exemples confirmés:
- Disable HTML5 Autoplay (dans mon cas)
- JavaScript Error Notifier (vu sur un retour sur internet)
- un "useragent switcher" (il en existe plusieurs, je ne sais pas lequel, vu sur un retour sur internet)
-
On ne peut pas désactiver temporairement les accès via Ipv4 ?
-
On ne peut pas désactiver temporairement les accès via Ipv4 ?
Ça ne changera rien dans ce cas en terme de sécurité.
L'attaque se fait aussi en IPv6, et suffisamment pour que ce soit bloquant si on n'avait aucune mesure de sécurité en amont du forum.
Sans parler que dans le détail, on coupe le forum de quasi tout le monde des entreprises, y compris en France, et de pas mal de monde, même si c'est minoritaire, à partir d'autres endroits (en France).
Il y a des personnes qui nous consultent vraiment de pays avec peu d'IPv6 aussi...
Bref, on est encore loin d’avoir une telle solution viable (et quand ce sera le cas, je prends le pari que les attaques auront inversés leurs ampleurs entre IPv4 et IPv6).
-
Si même les box Android s'y mettent pour pilonner -> https://www.bleepingcomputer.com/news/security/google-sues-to-disrupt-badbox-20-botnet-infecting-10-million-devices/
Google demande l'intervention de la justice pour éradiquer ce réseau de bot !
Doit y en avoir des milliers qui sont infectées de Badbox2.0 dans ces contrées qui se sont révélées dans les logs de Vivien :-X
-
L'attaque est toujours en cours, vous pouvez voir que depuis hier 18h00, il y a au moins 10 000 Invités sur le forum.
En regardant les IP, je vois qu'il y a une bonne partie de requêtes qui viennent des fournisseurs d'accès à internet du Brésil.
J'émets l'hypothèse d'une application Android gratuite qui servirait en tâche de fond à faire du DDOS.
En regardant les acteurs, je vois que le Brésil à un nombre très important de tout petits opérateurs, un peu comme si la France avait des milliers d'opérateurs de la taille d'Orne THD. Ce sont des opérateurs qui ont souvent moins de 10 préfixes /22.
Je vois aussi des requêtes IPv4 en provenance d'Inde, et là, je tombe toujours des opérateurs qui ont des millions d'IPv4, c'est vraiment différent.
-
@ Vivien : en tout cas, je te félicite car aujourd'hui, je n'ai pas ressenti l'attaque. :)
-
(https://i.imgur.com/cgB698Q.png)
15 000 invités ce midi...
-
Quelle popularité en Amérique du Sud !
J'ai regardé dimanche matin les log et j'ai compté 2 921 532 IPv4 distinctes et 1 130 013 IPv6 distincts participants à cette attaque.
Ces chiffres sont bien entendu minimisés par les requêtes qui sont suspectes, mais que je ne comptabilise pas faute de certitude et de liste de blocage pré-existantes.
J'ai travaillé une bonne partie du week-end à bien analyser pour bien filtrer. Ce n'est pas encore en place.
-
Et l'auteur du DDOS, voyant qu'il n'y a aucun effet, vu que le site reste accessible, il ne se lasse pas ? est-ce qu'au moins il tente autre chose ?
Ca me fait de la peine pour lui... ;D ;D
-
@ Rooot : je n'irais pas jusqu'à plaindre le pirate pour son incompétence à faire tomber le forum mais je féliciterais plutôt le travail acharné de Vivien qui à force de persévérance à fait que le forum continue de fonctionner malgré cette attaque par DDOS.
Je voulais savoir s'il y avait pas une protection DDOS, du genre BGP Blackholing / Sinkholing ?
Ou bien absorber le trafic en amont.
Ou encore répartir la charge sur plusieurs serveur.
Je crois que le trafic est géré par Milywan. Ont ils mis en place une quelconque protection ? Je suppose que OUI !
-
Je crois que le trafic est géré par Milywan. Ont ils mis en place une quelconque protection ? Je suppose que OUI !
Sur le trafic volumétrique oui, sur du trafic L7 légitime, on ne peut rien faire
-
J'imagine qu'on ne peut pas savoir si seule Lafibreinfo est ciblée par cette attaque?
-
Je comprends désormais davantage la cause de ces ralentissements. Certains semblent n’avoir d’autre occupation ! Quelle idée de s’en prendre à notre forum d’entraide préféré... :)