Il y a des attaques visant à saturer la bande passante (en UDP pour les plus simples, mais en TCP de plus en plus souvent, plus le trafic est proche d'un trafic légitime plus il est compliqué à filtrer), d'autres à saturer le processeur, d'autres à saturer la mémoire, d'autres à bloquer les connexions en occupant tous les slots disponibles (slow DDOS ou les attaquants mettent plusieurs minutes à plusieurs heures pour télécharger les quelques octets d'une page, afin d'avoir énormément de transferts actifs simultanément). Il y a aussi des attaques par d'autres moyens en ouvrant pleins de connexions TCP par exemple.

Le principe d'une attaque, c'est de trouver quelques chose qui va faire que le service ne va plus fonctionner, il faut donc surdimensionner tous les canaux d'attaques possibles pour se laisser de la marge.

Il arrive que quand l'attaquant est motivé, il change de type d'attaque quand il voit qu'une ne fonctionne plus.

Vous pouvez voir que en ce moment sur le forum, il y a 11 538 Invités, 15 Membres (2 Amis, 201 Robots), l'attaque continue.

@vivien, désolé de quoi ? N'inversons pas les responsabilités...

Bon courage !!!

Vivien,

Pourquoi laisser ce suivi dans la section publique?
L'ennemi du forum, auteur de ce DDoS la lit, c'est quasi certain.

Le top 10 :
- 14.191.0.0/16 Viet Nam AS45899 VNPT Corp
- 169.224.0.0/17 United Arab Emirates AS199739 Earthlink Telecommunications
- 172.32.0.0/11 USA AS21928 T-Mobile USA, Inc.
- 177.37.0.0/16 Brazil plusieurs petits AS
- 179.125.0.0/16 Brazil plusieurs petits AS
- 152.56.0.0/14 India AS55836 Reliance Jio Infocomm
- 187.19.128.0/17 Brazil plusieurs petits AS
- 37.111.128.0/17 Pakistan et Bangladesh plusieurs petits AS
- 191.5.0.0/16 Brazil plusieurs petits AS
- 186.249.128.0/17 Brazil plusieurs petits AS

Est-ce que c'est parce que construire des "botnet" avec des machines dans ces pays c'est plus facile?
 - machines plus souvent obsolètes, non patchées, donc plus faciles à infecter?
 - moins de protections contre les abus dans les réseaux eux mêmes?

Leon.

Pourquoi laisser ce suivi dans la section publique?
L'ennemi du forum, auteur de ce DDoS la lit, c'est quasi certain.

Oui pour certaines attaques, je pense que l'attaquant était sur le forum ce qui fait que je n'ai pas donné d'informations publiquement.

Pour cette attaque, différente et plus sophistiquée, j'ai plus de doutes.

Il me semble que donner les IP va peut-être aider certains à comprendre le type de terminaux impactés. Je penche pour une application mobile populaire et gratuite qui permet à son concepteur de vendre du DDOS ou alors, il s'est fait hacké. Je pense que c'est une information qui peut être utile à certains qui étudient les attaques ou cherchent à faire des protections.

Je n'ai par contre pas communiqué sur ce que je bloque en situation de crise et ce que je bloque de façon définitive. La stratégie de protection reste privée. Ce que j'ai communiqué ne me parais pas comporter trop de risques si l'attaquant nous lit. Quand on a une attaque sur quelques milliers d'IP on prend le risque en communiquant qu'il change d'IP, mais là pour moi, c'est dors et déjà très large.

L’idée n’est-elle pas de connlimit à x sur les ports 80/443 par /16, /24 ou autre et qui ne seraient pas FR ?
Un truc avec connlimit-mask ?

Le souci de connlimit c'est qu'il ne regarde que le nombre de connexions.
Or tu peux avoir un usage tout à fait légitime avec 100 connexions derrière une IP, au hasard... le CGNAT.

C'est pour ça que je parle de ratelimit pour limiter les requêtes par seconde, car c'est anormal qu'une IP ou un subnet fasse 100req/sec.
Si ça trigger, tu renvois le bon code erreur pour limiter l'impact sur le référencement pour les crawlers qui tapent dedans.

Après, les attaques se font toujours côté invité, or c'est dommage de rendre une nouvelle page dynamique avec PHP quand il faut envoyer 10000x la même page, déjà HTMLisé à tous les invités, car le contenu est le même. Nous, connectés, on ne verra plus le bon nombre d'invités car les appels à PHP vont fortement diminuer.

@ Vivien : Bloquer au niveau de l'hôte virtuel dans Apache, c'est selon moi déjà trop tard. Au niveau du serveur Apache, on peut faire, mais trop lourd de définir toutes les IP une par une. Par Apache, selon moi, ce n'est pas une bonne idée.

Par le pare-feu (j'utilise le pare-feu de Windows 10), c'est le mieux mais il faut saisir une à une les IP, c'est long à faire. La seule solution que j'ai trouvé est d'installer un mouchard (en php) où je filtre par adresse IP à partir d'une table MySql. C'est plus souple à l'usage, mais ma table MySql se remplit assez rapidement.

Je n'ai pas trouvé un moyen simple d'identifier les adresses IP par pays. Je pense que si je bloque plutôt par plage de 256 ou de 65536, je vais pénaliser des gens qui n'ont rien fait, sauf de s'être fait piraté à leur insu. Mais à vrai dire, à par l'Europe, je ne vois pas trop pourquoi des gens ne parlant pas le français viendrait s'inscrire.

Comme je ne m'y connait pas du tout en matériel, existe-t-il une façon de se protéger plus efficacement contre le DDOS ? D'accord, je ne veut pas investir une fortune, mais n'existe pas des boitiers en amont d'un serveur qui permettent de faire ce genre de filtrage ? Et non, je ne pense pas à OpnSense ou à à PFSense, mais bien à quelque chose de plus efficace et ne supportant pas la saturation provoqué par le DDOS.

Et merci d'expliquer dans un langage compréhensible à des gens comme moi, qui n'ont pas le jargon pour vous comprendre et d'arrêter de me taper dessus quand je dis une bêtise quand je m'exprime mal ou que je le fais involontairement. Je dis cela car parfois, le niveau de vos échanges est d'un tel niveau que l'on se sent totalement exclu. Désolé mais j'ai vraiment envi d'apprendre et non de rester sur le bord de la route.

L'ennemi du forum, auteur de ce DDoS la lit, c'est quasi certain.

J'en déduit que tu es devin

Et non, ce n'est pas moi qui suit à l'origine de cette attaque car je n'ai pas la connaissance pour le faire.
Je me doute que tu es déjà assez paranoïa à mon égard sans que je devienne maintenant un hacker attitré.

Tu te trompes. Donnez une liste d'IP à interdire, le fameux hacker, il s'en fout royalement.
Si elles sont bloquées, il va en changer et c'est tout. C'est juste le jeu du chat et de la souris.
Mais dans le cas de Vivien, c'est lui qui est en position de force, car il peut apprendre du comportement du hacker et trouver une solution.
C'est un sujet qui  m'intéresse, non pas le piratage, mais de s'en prémunir.

Et si je poste ce message, c'est pour dire qu'il n'y a pas que le forum qui subit des attaques, mais aussi des sites chez des hébergeurs.
J'ai un site de test dans mon ordinateur windows et j'ai très régulièrement des gens qui tentent de le corrompre et j'aimerai juste savoir comment améliorer ma sécurité, voilà tout.