La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: vivien le 05 septembre 2020 à 21:58:57
-
Suite à un DDOS en IPv4, le forum https://LaFibre.info est temporairement accessible uniquement en IPv6.
Je suis désolé pour ceux qui n'ont que de l'IPv4.
-
Bon, c'est la preuve que chez Free il y a de l'IPv6.
-
Le forum est de nouveau accessible en IPv4.
L'IPv4 à changée : C'est 72.19.3.132 sur AS35280.
C'est un service de protection des DDOS proposé par Volterra (ex ACORUS NETWORKS).
=> https://www.volterra.io/
Concrètement :
- IPv4 : Le trafic passe par un "HTTPS load balancer with your own TLS certificate" : Volterra supprime le flux DDOS et le renvoi vers le serveur.
- IPv6 : Le trafic passe en direct sur le serveur.
Note : L'IPv4 Adeli étant coupée pour le moment, Volterra renvoit le trafic sur l'IPv4 de mon serveur portée par Netsyst (https://lafibre.info/netsyst/).
Combien cela coûte ?
Ce service est dans l'offre de base de Volterra.
Je ferais un tutoriel, je n'avais pas imaginé qu'une offre gratuite pouvait exister (elle est limitée mais correspond bien à mon besoin)
-
C'est bien, mais tu es encore vulnérable à un DDoS puisque l'IP Netsyst est connue, et que l'IPv6 est encore attaquable.
Le mieux à faire serait de bloquer ces IP là et d'en prendre des nouvelles, qui redirigent exclusivement sur le front de Volterra :)
PS : J'ai ÉNORMÉMÉNT de soucis de BDD là.
-
Suite à un DDOS en IPv4, le forum https://LaFibre.info est temporairement accessible uniquement en IPv6.
C'est bien, tu devrais le laisser comme ça. Tu pourrais aussi faire un site .onion.
-
Note : L'IPv4 Adeli étant coupée pour le moment, Volterra renvoit le trafic sur l'IPv4 de mon serveur portée par Netsyst (https://lafibre.info/netsyst/).
Le subnet Netsyst n'est plus annoncé (https://stat.ripe.net/5.182.145.0%2F24#tabId=routing) pour le moment ce qui fait que Volterra affiche une belle page d'erreur (avec l'ip réel du serveur de destination, wtf).
Comme le dit Hugues, dans cette situation, il faut abandonner les anciennes IPv4/v6 car les attaquants ont de la mémoire.
Avant de remettre en ligne sur les nouvelles, il faut que tu force l'entrant par Volterra et ne pas répondre en direct au demande HTTP (un massscan pour retrouver l'origin est un grand classique).
Également, les flux de sorties doivent être filtrés pour ne pas faire fuiter l'IP origin dans les emails par exemple.
-
Je ne sais pas d'où sort cette solution qu'est Volterra, mais afficher publiquement l'IP réelle du serveur de destination, ça n'a aucun sens, ça va jusqu'à aider les attaquants. Ne faudrait-il pas changer d'adresse IP et passer chez un prestataire qui a fait ses preuves du style Cloudflare ?
-
Bonjour,
ip.lafibre.info n’est plus du tout accessible par contre :'(
-
ip.lafibre.info a migré sur un autre servueur, il ne pouvait pas être derrière une protection anti DDOS (le serveur ne voit plus les IPv4 avec la protection anti-DDOS).
Il est de nouveau UP : http://ip.lafibre.info/
-
ip.lafibre.info a migré sur un autre servueur, il ne pouvait pas être derrière une protection anti DDOS (le serveur ne voit plus les IPv4 avec la protection anti-DDOS).
Il est de nouveau UP : http://ip.lafibre.info/
Si c'est comme Cloudflare, l'IP du client est dans un header HTTP.
Sinon je suis parfois en IPv4 (Happy Eyeballs ?), et dans ces cas là par moments j'ai la page d'erreur 403 de Volterra.
-
Le forum est de retour en IPv4, protégé par Voltera et un challenge javascript qui bloque l'attaque niveau 7 qui a suivit l'attaque volumique.
-
Bloqué il y a 10mn en IpV6 avec cette image, Ip différente de celle constatée par Stilnox
-
J’ai une question à la con.
En activant l’ipv6 sur ma box NB6V SFR j’ai bien accès au site.
Donc si je comprends bien, si l’ipv4 est pas dispo, ça bascule en ipv6 tout seul.
Par contre, si les 2 sont dispos lequel est prioritaire ?
-
Bloqué il y a 10mn en IpV6 avec cette image, Ip différente de celle constatée par Stilnox
Pareil, et ip.lafibre.info qui indique la connectivité IPv4 littérale comme hors service car il utilise 46.227.16.8, et non pas 89.84.1.194 comme retourné par le DNS.
-
Donc si je comprends bien, si l’ipv4 est pas dispo, ça bascule en ipv6 tout seul.
Par contre, si les 2 sont dispos lequel est prioritaire ?
Les programmes implémentent Happy Eyeballs en général : IPv4 et IPv6 sont tentées en même temps (ou avec un léger décalage), et la première qui répond est utilisée. Le résultat est ensuite mis en cache.
Le problème, c'est que l'IPv4 peut répondre plus vite que l'IPv6, ce qui peut arriver ici parce qu'on peut avoir une latence vers Volterra (IPv4) plus faible que vers Adeli (IPv6), même si la priorité devrait être donnée à celle ci.
-
Par contre, si les 2 sont dispos lequel est prioritaire ?
L'IPv6.
-
Les programmes implémentent Happy Eyeballs en général : IPv4 et IPv6 sont tentées en même temps (ou avec un léger décalage), et la première qui répond est utilisée. Le résultat est ensuite mis en cache.
Le problème, c'est que l'IPv4 peut répondre plus vite que l'IPv6, ce qui peut arriver ici parce qu'on peut avoir une latence vers Volterra (IPv4) plus faible que vers Adeli (IPv6), même si la priorité devrait être donnée à celle ci.
L'IPv6 est prioritaire. Il y a un fall back IPv4 qu’après expiration du timeout qui varie selon les clients.
Sinon bonne nouvelle, la protection Volterra est bien active et le forum est de nouveau accessible en IPv4.
-
L'IPv6 est prioritaire. Il y a un fall back IPv4 qu’après expiration du timeout qui varie selon les clients.
Sinon bonne nouvelle, la protection Volterra est bien active et le forum est de nouveau accessible en IPv4.
Bizarrement, j'utilise l'IPv4 de temps en temps. Aussi bien avec Firefox sur PC que Chrome sur Android. La prochaine fois j'essayerai de faire une capture réseau pour voir si l'IPv6 n'a pas répondu, ou a été trop lente (ensuite le navigateur a mis le résultat dans le cache, et donc ne retente pas l'IPv6 avant un certain temps).
Sinon, ip.lafibre.info utilise toujours l'ancienne IPv4 pour le test d'IP littérale.
-
Sinon, ip.lafibre.info utilise toujours l'ancienne IPv4 pour le test d'IP littérale.
C'est corrigé. Merci.
-
Pourquoi:
Volterra: client ipv4 -> Volterra -> ipv4 lafibre
du coup cette ipv4 lafibre est toujours exposée sur le Net
Et pas:
Cloudflare: client ipv4 -> Cloudflare-> ipv6 lafibre
comme cela tu peux complètement dégager ipv4 de ton serveur.
-
L'IPv4 est exposé si mon serveur ne répond pas sur la page Volterra, c'est une erreur, il vont rapidement patcher ce comportement.
Il faut expliquer que je suis sur une nouvelle plateforme Volterra mise en prod cette semaine, il y a quelques bugs.
Volterra ne gère pas l'IPv6 pour le moment, cela complique bien les choses pour le certificat Lets-Encrypt. Le renouvellement sera compliqué pour valider le challenge et je dois ensuite le recopier le certificat obtenu dans l'interface Volterra. C'est la seule solution pour laisser le forum en IPv6 (sans protection mais ce ne semble pas problématique) et l'IPv4 qui va passer par Volterra qui lui aussi termine la connexion https (et c'est re-chiffré entre Volterra et mon serveur).
-
L'IPv4 est exposé si mon serveur ne répond pas sur la page Volterra, c'est une erreur, il vont rapidement patcher ce comportement.
je disais 'exposé' au sens toujours joignable donc DDoSable.
Pas le fait que le Volterra affiche l'IP sur sa page en cas de non réponse.
Apres Volterra ou Cloudflare ce n'est pas l'idéal il est vrai.
Le mieux serait ton propre reverse proxy IPv4 -> IPv6 chez OVH par exemple... ils ont la protection DDoS incluse dans les VPS.
Et au pire si le VPS explose sous les DDoS y'a que IPv4 qui ne marche plus.
C'est quoi la répartition ipv4/ipv6 des accès a lafibre.info ?
-
Aucun risque que les attaques passent en IPv6 ?
Je suppose qu'il y a moins de botnets, et peut-être des outils qui ne sont pas adaptés, mais est-ce qu'il faut compter sur ça pour la protection ?
-
C'est quoi la répartition ipv4/ipv6 des accès a lafibre.info ?
En France, c'est de l'ordre de 40% des requêtes qui sont en IPv6 quand le serveur propose IPv6. Il y a plus d'IPv4 en semaine avec les PC d'entreprise et plus d'IPv6 le week-end avec une proportion plus grande de grand public.
Voici les stats du forum réparti au prorata des octets transférés et non des hits :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_8.png)
Aucun risque que les attaques passent en IPv6 ?
J'ai déjà eu de nombreuses attaques, souvent dans des périodes où d'autres sites / réseaux se font DDOS, donc je ne suis pas sur que le forum soit visé en tant que tel.
Je n'ai jamais eu le moindre problème sur IPv6. Cela arrivera un jour, c'est sur, mais aujourd'hui le DDOS est bien plus IPv4 que IPv6.
La problématique n'est pas le forum en tant que tel mais les effets de bords qui sont montueux : Les autres clients Adeli et Milkiwan ont été impactées, Cogent à coupé par deux fois intégralement le transit d'Adeli pour se protéger. A partir de là, la protection anti-DDOS est obligatoire sur l'IPv4.
-
Perso, je ne comprend pas complément l'ip v6.
Je vais rester sur l'ip v4.
-
Je suis désolé, j'ai peu communiqué vu la montagne de choses à faire ces dernières 24 heures.
Mon serveur est connecté a deux réseaux distincts, via deux interfaces Ethernet :
- em1 sur Adeli (https://lafibre.info/adeli/) pour https://lafibre.info et http://ip.lafibre.info (IPv4 et IPv6)
- em2 sur Netsyst (https://lafibre.info/netsyst/) pour https://testdebit.info/ (IPv4 et IPv6)
Vers 16h00 le samedi 5 septembre, le site, coté Adeli a eu des moments où il était difficilement joignable.
Le DDOS est a ce moment là un trafic purement UDP IPv4 est le trafic UDP IPv4 provenant d’internet est filtré en amont de mon serveur suite à de précédents DDOS) donc je n'ai pas su que j'étais la cible du DDOS. J'ai même pensé à un problème technique, car cela fonctionnait bien à certains moments.
Je le saurais après mais Cogent à coupé intégralement son transit avec Adeli pour se protéger (et pas uniquement mon IP).
J'ai basculé un seul élément d'Adeli vers vers Netsyst le minimum et le plus important, c'est à dire uniquement l'IP du domaine lafibre.info. Cela a fonctionné quelques minutes, puis le DDOS a basculé sur Netsyst qui a coupé l'IPv4 pour se protéger (c'est rétabli maintenant, j'ai rapidement remis le nom de domaine sur Adeli)
La solution temporaire est de couper IPv4 (Adeli à coupé l'IPv4 en amont du réseau pour éviter de se prendre le DDOS). Le forum est donc devenu accessible en IPv6 uniquement après avoir réglé la problématique du DNS qui était fait en IPv4 et que j'ai basculé en IPv6.
Mon monitoring est réalisé en IPv6. Les grosses coupures sont lié par des difficulté pour joindre le serveur en IPv6 ou de résolution DNS avant que je bascule le DNS en IPv6.
En soirée j'ai commencé à voir avec Volterra pour protéger le site (merci Hugues pour la mise en relation).
On a mis en place la solution un peu avant minuit, le trafic passant par Volterra avant de rentrer par mon unique IPv4 opérationnelle, celle de Netsyst.
Le site a été de nouveau joignable, mais le DDOS qui était volumétrique à changé pour devenir de niveau 7, saturant mon serveur de connexions, ce qui a saturé le CPU :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_1.png)
A minuit j'ai été me couché pensant que l’attaque était bien mitigé, mais le DDOS s'est alors porté vers l'IPv4 publique utilisée, qui était visible sur les messages de Volterra (ils vont rapidement déployer un patch pour corriger ça)
Ci-dessous on voit le DDOS encaissé par Netsyst qui était de nouveau une attaque volumétrique :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_7.png)
L’attaque de niveau 7, juste avant :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_5.png)
Les passage où il manque des données, c'est que le serveur était injoignable en IPv6 ou sans résolution DNS :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_6.png)
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_9.png)
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_10.png)
Le matin, j'ai de nouveau tenté de faire fonctionner l'anti-ddos Volterra, mais l'IPv4 Adeli s'est prise un DDOS volumétrique.
J'ai alors sorti tous les nom de domaines annexes qui étaient hébergé sur le serveur http://ip.lafibre.info/ et https://testdebit.info/ sont passés sur un serveur Bouygues et je n'ai pas noté de DDOS.
J'ai ensuite, aidée de Philippe de Volterra, crée un compte Volterra payant, pour avoir plus de possibilités pour contrôler le DDOS.
Dernière étape, j'ai changé avec Lionel d'Adeli d'IPv4, mon IPv4 étant connue est présente à de nombreux endroits.
La remise du site en IPv4 s'est fait avec beaucoup de précaution, en mettant de nombreuses protections.
La première protection est un javascript challenge, qui retarde d'une seconde la connexion au forum, ce qui bloque une partie des attaques. J'ai pensé en regardant rapidement les log que l'attaque venait des USA.
En tout cas c'est ce que je pensais, mais en regardant les IP, je vois que c'est IP de Google, pour indexer le forum :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_2.png)
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_3.png)
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_4.png)
J'ai abandonné ce type de protection pour le moment.
Une autre protection, c'est la limitation à 50 éléments chargés par seconde par IP.
Je me suis aperçus bien plus trad qu'en vidant le cache du navigateur que la page n'arrive pas a charger tous les éléments, la page d’accueil ayant des dizaines de petites images à charger.
J'ai monté cette limite à 150 éléments chargés par seconde par IP.
Bref, j'ai pas mal galéré et je n'ai pas tout compris sur l’attaque, mais maintenant j'ai compris les outils à utiliser, je pourrais être réactif, si c'est insuffisant pour une prochaine attaque.
Un grand merci à tous ceux qui m'ont aidé pendant ces dernières 24 heures : Lionel d'Adeli, Channels de NetSyst, Philippe et Raphael Maunier de Volterra.
Je pense faire un tutoriel pour expliquer ce qu'il faut faire pour mettre en place la solution Volterra, si cela peut aider d'autres personnes. C'est pas simple, surtout qu'il y a deux terminaison TLS (le trafic est en https entre le navigateur et Volterra et de nouveau entre Volterra et mon serveur, mais il est déchiffré sur l'infrastructure de Volterra).
-
Et visiblement, le mec tente toujours de DDoS le site :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_11.png)
-
Bon, content que ça se décante, mais c'est vraiment flippant toutes ces attaques, on est vraiment tous vulnérables, que ce soit les administrateurs de serveurs, ou de réseaux complets comme nous...
Merci à Volterra de te protéger en tout cas, c'est beau la solidarité des réseauteux :)
Je suis en train de mettre en place le loadbalancer volterra sur les sites externes de MilkyWan, en plus du transit protégé (qui marche au top) qu'on a déjà depuis quelques mois avec eux.
En tout cas, ça prouve un truc : Le mec te connait, il veut faire tomber le site (pour le plaisir de faire chier j'imagine, comme pour milkywan). Sinon le trafic n'aurait pas basculé en L7.
-
Merci Vivien d'avoir pris le temps de faire tout un historique, très instructif, alors que tu as été pas mal occupé par ces attaques, et j'imagine assez fatigué.
Je remarque que moins de 20% des requêtes sont faites en IPv6, ce qui est peu, vu le public du forum.
-
On va essayer d’améliorer encore ça, j’attends d’avoir Vivien au téléphone :)
-
En tout cas, ça prouve un truc : Le mec te connait, il veut faire tomber le site (pour le plaisir de faire chier j'imagine, comme pour milkywan). Sinon le trafic n'aurait pas basculé en L7.
Et que, vu les niveaux de trafic et la capacité à changer l'attaque suivant ce que Vivien met en place pour protéger, je pense aussi que le mec a les moyens pour se payer un botnet conséquent.
En tout cas, beau boulot à tous ! C'est peut être un weekend perdu, mais ce travail va servir pour les prochaines fois où là, ce sera plus tranquille.
-
y'a que lafibre.info qui est explicitement ciblé, en L7 qui plus est ?
Ton ipv4 est toujours joignable en http (46......3) de partout:
curl -k --header "Host: lafibre.info" https://46......3/
Tu devrais limité aux IP de Voltera via une règle L3/L4 (routeur en amont ou iptables sur la machine). En l'état la protection n'est que par DNS. Et changer cette IPv4 public ne résoudra pas grand chose, si l'attaquant te cible vraiment en quelques heures on peut scan tout l'IPv4 (soit-meme ou via shodan/censys et trouver la nouvelle IPv4 qui fait un 301 sur https://lafibre.info/ (le même curl mais en http).
Des sites comme https://dnslytics.com/ ou https://www.domaintools.com/ historisent les enregistrements DNS du coup un attaquant peut retrouver l'ancien A de lafibre.info...
Idéalement et vu que ce site promeus fortement IPv6, il serait peut-être temps que ton serveur soit "IPv6 only" et rien d'autre. L'accès IPv4 se faisant via un reverse proxy externe (perso je recommanderai plutôt un VPS chez OVH que Volterra ou Cloudflare ... ).
-
Tu devrais limité aux IP de Voltera via une règle L3/L4 (routeur en amont ou iptables sur la machine). En l'état la protection n'est que par DNS. Et changer cette IPv4 public ne résoudra pas grand chose, si l'attaquant te cible vraiment en quelques heures on peut scan tout l'IPv4 (soit-meme ou via shodan/censys et trouver la nouvelle IPv4 qui fait un 301 sur https://lafibre.info/ (le même curl mais en http).
Ou juste attendre de recevoir un email de notification.
Ou utiliser la gestion du profil pour demander au forum de télécharger un avatar sur un serveur externe.
Voltera en entrée IPv4, un VPN chez qui te veut en sortie IPv4.
Le seul souci sera la réputation des emails => SendGrid/MailJet en relais.
-
J'ai déja coupé les mails, l'idée est d'utiliser une autre IP pour les mails.
Je regarde si on peut couper la fonction de téléchargement sur un serveur externe.
Edit: Fonction "Télécharger l'avatar à l'URL donnée" coupée. Merci pour la bonne idée.
-
La fonction est toujours active:
$ grep IP_DE_LA /var/log/nginx/internalexception.access.log
192.0.2.255 - - [06/Sep/2020:22:24:48 +0200] "HEAD /IP_DE_LAFIBRE HTTP/1.0" 404 0 "-" "-"
(oui, j'ai censuré l'IPv4)
Et ton Apache répond toujours en v4:
$ curl -H 'Host: lafibre.info' -k -s https://ip_adeli/ |grep '<title>'
<title>La Fibre - Accueil</title>
$ curl -H 'Host: lafibre.info' -k -s https://ip_netsyst/ |grep '<title>'
<title>La Fibre - Accueil</title>
-
Merci.
J'avance un peu : Apache n’écoute plus sur l'IPv4 / IPv6 NetSyst
-
Je connaissait pas Volterra, c'est la version gratuite qui a été mise en place ?
Bizarre de s'attaquer à ce forum.
-
Non, la version payante il me semble.
Volterra, plus connu sous leur ancien nom, Acorus est un acteur majeur de l'antiddos en france, et beaucoup de petits et moyens acteurs se fournissent chez eux (Mediapart, cdiscount, webedia, par exemple)
-
Pourquoi ils ont changé de nom d'ailleurs ? Car Volterra c'est la pire idée du monde en terme de référencement car j'ai que des résultats de voyage en Italie.
En tout cas, ça reste un acteur à considérer face à Cloudflare par défault notamment.
-
Merge avec une startup américaine. Et Acorus c'était le nom d'une boite de BTP aussi. BGP et BTP c'est pas tout à fait pareil :D
-
Non, la version payante il me semble.
On a commencé par la version gratuite puis on a mis la version payante pour avoir la limitation du nombre de connexions pour une même IPv4, mais la version gratuite fait déjà beaucoup de choses, contrairement aux concurrents (elle n'a pas de limites en terme de volume ou hits, juste les fonctionnalités avancées qui ne sont pas présentes), et devrait convenir pour bloquer cette attaque :
Et visiblement, le mec tente toujours de DDoS le site :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_11.png)
-
En France, c'est de l'ordre de 40% des requêtes qui sont en IPv6 quand le serveur propose IPv6. Il y a plus d'IPv4 en semaine avec les PC d'entreprise et plus d'IPv6 le week-end avec une proportion plus grande de grand public.
Voici les stats du forum réparti au prorata des octets transférés et non des hits :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_8.png)
Les stats avec le pourcentage IPv6 remontées sembles erronées : J'ai comme l'impression qu'il y a 50% pour l'interface 1 et 50% pour l'interface 2 du serveur.
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_12.png)
En Kb/s, difficile de voir quelque chose à cause de l'attaque (en IPv4) :
(https://lafibre.info/images/stats/202009_stats_lafibreinfo_13.png)
Je regarderais le script quand j'aurais un peu de temps.
-
C'est down en IPv4 la...
(https://i.imgur.com/wssPXM7.png)
503 Service Unavailable dans la console Chrome
-
C'est normal, y'a du boulot en cours
-
Je veux pas démolir Volterra mais cela aurait été réglé en 5 minutes avec Cloudflare via l'IPv6... :P
-
non le boulot est coté vivien ^^
-
non le boulot est coté vivien ^^
Justement aucun boulot à faire avec Cloudflare, juste a enlever l'ipv4 du serveur...
-
Franchement les gens... on est pas bien là, entre gens de bonne famille, et en IPv6 ? :D
(https://media.giphy.com/media/3orifcwIbqe5DyaxKE/giphy.gif)
-
Manque juste un peu de saucisson, une petite bière et c’est parfait ;D
Sinon quel est le boulot que Vivien à faire ? car je rejoins Kgersen sur une chose, c’est que Cloudflare est très simple à configurer.
-
Hello
Je n’accède toujours pas depuis une ip BOUYGUES peut être le temps de diff ?
Avec ce message :
Px�tected by�VoltHrx� !
Pour info je n’ai pas ipv6 sur mon accès perso et je doute que via vpn bytel ça soit pareil...
Cdt
-
Hello
Je n’accède toujours pas depuis une ip BOUYGUES peut être le temps de diff ?
Avec ce message :
Px�tected by�VoltHrx� !
Pour info je n’ai pas ipv6 sur mon accès perso et je doute que via vpn bytel ça soit pareil...
Cdt
Pareil sur une IP Orange 4G
-
Faut aller chez free, il y a de l’IPv6 partout :p
Pour le coup j’ai pareil au boulot ou je suis qu’en IPv4. J’ai le même message depuis ce matin. Je dois passer par une machine virtuelle chez Ikoula qui a de l’IPv6.
Note : ça fonctionne bien avec Orange mobile en 4G avec IPv6, je suppose que doit être pareil chez ByTel.
-
Le forum est de nouveau accessible en IPv4.
Ce matin, c'est en effet l'IPv4 back-end du serveur qui a été attaquée, et non l'IPv4 Volterra qui est en front-end qui elle tenait bien le DDOS.
L’attaquant a DDOS plusieurs IPv4 chez Adeli pour trouver le serveur.
Un grand merci à Hugues qui a permis la mise en place d'un tunnel GRE sans passer par Internet, afin d'avoir une IPv4 protégée par Volterra en back-end.
-
Sinon quel est le boulot que Vivien à faire ? car je rejoins Kgersen sur une chose, c’est que Cloudflare est très simple à configurer.
Cloudflare ou pas, tant que c'est un truc qui te demande de fournir ton certificat TLS, c'est mauvais. Apparement Volterra peut fournir de l'IP, donc c'est déjà moins crade.
-
Un grand merci à Hugues qui a permis la mise en place d'un tunnel GRE sans passer par Internet, afin d'avoir une IPv4 protégée par Volterra en back-end.[/size]
Sérieux ? Ils peuvent pas taper sur une IPv6 en backend ? :o
PS: je viens de poster mon message en en IPv4, l'IP archivée n'est pas du tout la mienne ::)
Qqn peut activer le X-Forwarded-For ? :)
-
Un grand merci à Hugues qui a permis la mise en place d'un tunnel GRE sans passer par Internet, afin d'avoir une IPv4 protégée par Volterra en back-end.[/size]
Une statue et des bières !
-
Le forum est de nouveau accessible en IPv4.
Ce matin, c'est en effet l'IPv4 back-end du serveur qui a été attaquée, et non l'IPv4 Volterra qui est en front-end qui elle tenait bien le DDOS.
L’attaquant a DDOS plusieurs IPv4 chez Adeli pour trouver le serveur.
Un grand merci à Hugues qui a permis la mise en place d'un tunnel GRE sans passer par Internet, afin d'avoir une IPv4 protégée par Volterra en back-end.
Je confirme que c'est revenu en IPv4 :)
C'est quand même fou cet acharnement, à aller maintenant chercher l'IPv4 back-end... Un malade...
-
Sérieux ? Ils peuvent pas taper sur une IPv6 en backend ? :o
Le serveur a deux interfaces réseaux, celle utilisée pour le tunnel GRE est dédiée à cet usage et donc ne sera pas impactée par un DDOS sur la partie IPv6 qui est sur la première interface réseau.
En tout cas je note que tous les outils de contrôle de botnet n'ont pas fait la transition vers IPv6.
-
En tout cas je note que tous les outils de contrôle de botnet n'ont pas fait la transition vers IPv6.
Je pense qu'il y a peu d'outil de botnet en IPV6(Voir aucun)
-
C'est quand même fou cet acharnement, à aller maintenant chercher l'IPv4 back-end... Un malade...
J'espère qu'il en restera là, car maintenant ça se sait qu'il faut faire tomber Milkywan pour faire tomber le forum.
-
Oh mon cher Cédric, qu’ils essaient, on est armés et motivés :)
(Et j’ai passé une bonne partie de la journée en call avec des gens de Volterra, on a tout remis au propre coté protection ;) )
-
Oh mon cher Cédric, qu’ils essaient, on est armés et motivés :)
(Et j’ai passé une bonne partie de la journée en call avec des gens de Volterra, on a tout remis au propre coté protection ;) )
Wouah, tout ça pour LaFibre.info, c'est beau putain ! GG !
(https://media.giphy.com/media/OiKAQbQEQItxK/giphy.gif)
-
Px�tected by�VoltHrx� !
J'ai ce code qui s'affiche quand j'accède à la version v4 du site, avec une lenteur extrême. Le site en lui-même ne charge pas.
-
C'est mieux là ?
-
J'ai cette page qui s'affiche :
Checking your browser before accessing lafibre.info
This process is automatic. Your browser will redirect to requested content shortly. Please allow upto 1 seconds.
Puis ensuite ça me redirige vers l'URL https://lafibre.info/ves_js_challenge?hint=616162336239396366313363353238313635363235656331646336343462333738636439386136326131646532343933326364386637303230346130343166662e65776f6749434167496e56796243493649434a4d64794973436941674943416964476c745a584e3059573177496a6f674d5455354f5451354f4463324e7a49354d69774b4943416749434a68496a6f674e544d794f445973436941674943416959694936494349785a544e684e54686a4e7a526b596a55355954566a4d47526a4f54526b59324530595749314d7a55784e4467784d6d5a6d5954466b49677039&answer=36 qui elle-même me renvoie le message Px�tected by�VoltHrx� !
Je dois passer par un proxy IPv4->IPv6 pour poster sur lafibre.
-
En tout cas je note que tous les outils de contrôle de botnet n'ont pas fait la transition vers IPv6.
Je suis sur qu'il y a de l'attaque en ipv6 par accident via des proxy inline 6to4.
Mais cela doit tellement être anecdotique...
Sinon quel est le boulot que Vivien à faire ? car je rejoins Kgersen sur une chose, c’est que Cloudflare est très simple à configurer.
Cloudfare commence a être un bon gros SPOF.
Si on peut éviter d’accélérer la centralisation du Web, ce serait bien.
-
J'espère qu'il en restera là, car maintenant ça se sait qu'il faut faire tomber Milkywan pour faire tomber le forum.
Je te confirme que non, le site était inaccessible tout à l'heure, trop de requêtes sont passées par l'anti-DDoS et mon serveur à croulé sous les demandes.
J'ai rajouté un challenge java script (1 seconde) pour limiter le flux envoyé par le front anti-DDoS au serveur.
Cloudfare commence a être un bon gros SPOF.
Si on peut éviter d’accélérer la centralisation du Web, ce serait bien.
Oui, je pourrais prendre OVH en hébergeur, cloudflare pour la protection et faire gérer mes mails par Google ou Microsoft.
Ou mieux passer par facebook...
Mais non, je pense qu'Internet a besoin de diversité.
-
Je confirme que vers 19h, c'était retombé en IPv4.
-
Cloudfare commence a être un bon gros SPOF.
Si on peut éviter d’accélérer la centralisation du Web, ce serait bien.
Tout a fait d'accord mais les providers style Volterra qui oublient IPv6 ou offre une UI/UX indigne de 2020 n'arrangent pas la dé-centralisation. Si Cloudflare gagne c'est parce que leur UI/UX est au dessus du lot et a la portée du novice.
S'il faut un ingé réseau et 3 personnes et 3 jours (et un tunnel GRE wth?!) pour mettre ca en place autant monter son propre reverse proxy sur un VPS OVH ...ca prend 2 heures en partant de rien... et la ca décentralise bien le Web en plus de faire bosser une boite française :P
manip VPS OVH avec Caddy:
1. télécharger Caddy
2. le lancer avec le Caddyfile suivant:
bind ipv4_du_vps
lafibre.info {
reverse_proxy ipv6.lafibre.info
tls /path/to/cert.pem /path/to/key.pem
}
(faire un bot rsync ou autre coté lafibre.info pour envoyer le cert/key a chaque maj letenscript).
OVH assure l'anti-DDoS L3/L4 et si y'a une attaque L7 le VPS va se planter/figer gentiment.
Ou alors si on veut du rate-limit et plus de controle L7 on peut mettre HAProxy a la place de Caddy.
ps: ca rame dur la en IPv4.
-
Je confirme que vers 19h, c'était retombé en IPv4.
Et en IPv6 également, trop de requêtes passaient (il y a eu un changement dans l'attaque)
ps: ca rame dur la en IPv4.
Oui, j'ai un peu de mal à comprendre pourquoi (peu de requêtes arrivent au serveur)
-
ca merdouille par moment, ici manque des images:
(https://i.imgur.com/tbZ6s0p.png)
les 503 sont de ton coté ou Volterra ?
-
C'est moi ou Tor a été banni de lafibre ?
-
ca merdouille par moment, ici manque des images:
(https://i.imgur.com/tbZ6s0p.png)
les 503 sont de ton coté ou Volterra ?
Volterra, petit problème dans le conf.
C'est réglé depuis 21h18, non ?
C'est moi ou Tor a été banni de lafibre ?
Si c'est le cas ce n'est pas volontaire.
Cela serait le Challenge Javascript d'une seconde qui ne passe pas ?
TU as quoi sur la page ?
-
C'est moi ou Tor a été banni de lafibre ?
Pas de problèmes pour moi depuis Tor.
-
C'est bon ça remarche en ayant cliqué sur "New identity". Le noeud où j'étais connecté devait être défectueux.
EDIT : par contre je constate autre chose, c'est que les adresses IPs de mes posts, ce ne sont pas mes IPs, mais des IPs appartenant à "Acorus Networks".
-
Oui, les IP affichées sont celles utilisées par le front Volterra (nouveau nom Acorus Networks) pour joindre mon serveur.
Optix m'a proposé d'activer https://buzut.net/apache2-recuperer-ip-derriere-reverse-proxy/
Mais je réfléchit pour que cela fonctionne aussi en IPv6 qui lui est en direct, Volterra ne proposant pas de protection anti-ddos IPv6 (et vous avez vu que aujourd'hui cela ne semble pas super utile).
-
Oui, les IP affichées sont celles utilisées par le front Volterra (nouveau nom Acorus Networks) pour joindre mon serveur.
Optix m'a proposé d'activer https://buzut.net/apache2-recuperer-ip-derriere-reverse-proxy/
Mais je réfléchit pour que cela fonctionne aussi en IPv6 qui lui est en direct, Volterra ne proposant pas de protection anti-ddos IPv6 (et vous avez vu que aujourd'hui cela ne semble pas super utile).
L'adresse IP réelle est donnée dans un Header HTTP. Si le header est absent, Apache prend celle qui établit la connexion.
Donc ça marchera dans tous les cas. Reverse proxy ou pas, ou les deux :)
-
ca marche bien la. espéreront que ca dure :)
-
Moi, je n'ai qu'une question : on peut remonter vers le (ou les) type(s) qui font ça ou c'est mort et on les laisse continuer pourrir le réseau ?
En fait, autre question : est-ce que tout ce qui se passe depuis plusieurs jours (CenturyLiny, DDOS K-Net/Bouygues/SFR/..., DDOS LaFibre + autres apparemment) peut-être lié à une entité tentant de nuire de manière quasiment internationale ?
-
Moi, je n'ai qu'une question : on peut remonter vers le (ou les) type(s) qui font ça ou c'est mort et on les laisse continuer pourrir le réseau ?
+1 y'a pas moyen de lui faire couper son service par l'hébergeur qui fournit les services pour ce genre de pratique ?!...
-
euh... pas mon adresse IP...
-
Oui, c'est expliqué à plusieurs reprises dans ce même fil de discussion (remonte dans les messages, c'est l'IP de Volterra).
-
Moi, je n'ai qu'une question : on peut remonter vers le (ou les) type(s) qui font ça ou c'est mort et on les laisse continuer pourrir le réseau ?
C'est impossible de les retracer car les attaquants forgent des paquets dits "spoofés" où l'en-tête de l'adresse IP source est modifié (de très rares hébergeurs laissent cette possibilité, c'est devenu très compliqué à trouver), ce qui veut dire qu'ils attaquent avec des adresses IP sources totalement aléatoires. Cette méthode permet également d'effectuer des attaques par amplifications (DNS, NTP, ou plus récemment memcached).
Pour tester si votre FAI permet de faire de l'IP Spoofing, il existe un projet dédié à ça, voici son URL : https://www.caida.org/projects/spoofer/
-
C'est même plus compliqué que cela, car il y a une règle : tu ne commets jamais d'attaque avec tes propres bécanes.
Les sources des attaques sont des PC/serveurs infectés et qui écoutent un centre de contrôle (aussi une machine infectée) de là où partent tous les ordres pour coordonner l'attaque. Tout cela forme un botnet.
-
Bref, on a perdu lafibre.info en IPv4 durant plusieurs heures.
-
Un grand merci à Hugues qui a permis la mise en place d'un tunnel GRE sans passer par Internet, afin d'avoir une IPv4 protégée par Volterra en back-end
Du coup, tu as toujours ton interface Net-Syst sur le serveur, en 2ieme interface?
Donc le tunnel fait Lafibre-Netsyst-MilkyWan-Voltera, c'est bien ça? Ou alors il s'arrête chez MilkyWan?
Tu n'es pas obligé de répondre en public, si tu penses que ça peut donner trop d'infos à l'attaquant.
Leon.
-
C'est bien ça.
Il y a une route statique via Lyonix entre Netsyst et MilkyWan pour un tunnel GRE qui annonce une IPv4 MilkyWan, protégée par Volterra contre des attaques volumétrique. Il y a ensuite la plateforme anti-ddos Volterra qui termine la connexion TLS et assure un anti-DDoS niveau 7.
Donc inutile d'attaquer les IPv4 Adeli, il n'y a plus le forum dessus en IPv4.
Les point de terminaison TLS en IPv4 et IPv6 étant a des endroits différents, on a des différences amusantes.
Sur SSL Labs, vous pouvez voir que l'IPv6 et l'IPv4 sont toutes les deux notées A+, mais :
- TLS 1.3 : Supporté en IPv4, mais pas en IPv6
- Session resumption (caching) : Supporté en IPv6, mais pas en IPv4
- OCSP stapling : Supporté en IPv6, mais pas en IPv4
- Supported Named Groups : x25519, secp256r1 en IPv4 et secp256r1, secp521r1, brainpoolP512r1, brainpoolP384r1, secp384r1, brainpoolP256r1, secp256k1, sect571r1, sect571k1, sect409k1, sect409r1, sect283k1, sect283r1 en IPv6.
- HTTP server signature : volt-adc en IPv4 et Apache en IPv6
Cipher Suites IPv4 :
# TLS 1.3 (server has no preference)
TLS_AES_128_GCM_SHA256 (0x1301) ECDH x25519 (eq. 3072 bits RSA) FS 128
TLS_AES_256_GCM_SHA384 (0x1302) ECDH x25519 (eq. 3072 bits RSA) FS 256
TLS_CHACHA20_POLY1305_SHA256 (0x1303) ECDH x25519 (eq. 3072 bits RSA) FS 256
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8) ECDH x25519 (eq. 3072 bits RSA) FS
Cipher Suites IPv6 :
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 128
-
PS: je viens de poster mon message en en IPv4, l'IP archivée n'est pas du tout la mienne ::)
Qqn peut activer le X-Forwarded-For ? :)
EDIT : par contre je constate autre chose, c'est que les adresses IPs de mes posts, ce ne sont pas mes IPs, mais des IPs appartenant à "Acorus Networks".
C'est mis en prod. Ce sont maintenant vos IPv4 qui apparaissent (et toujours les IPv6 pour ceux qui sont en IPv6).
C'est surtout utile quand un message est suspecté de SPAM.
Je met sur ce sujet les plage IP utilisée par tous les SAPM du forum : https://lafibre.info/evolution/les-ip-des-spammeurs/
Mon fichier /etc/apache2/conf-enabled/remoteip.conf :
RemoteIPHeader X-Forwarded-For
RemoteIPTrustedProxy 5.182.212.0/22 84.54.61.0/25 103.135.56.0/23
Les IPv4 sont celles listées sur https://www.volterra.io/docs/reference/network-cloud-ref
J'ai ensuite fait un
a2enmod remoteip
a2enconf remoteip
service apache2 restart
-
ca fuite toujours l'ipv4 ?
a l'instant:
(https://i.imgur.com/imVrkiQ.png)
-
Non, plus d’attaque.
Je ne connais pas la raison de l'affichage de cet écran, car le serveur était bien disponible.
Je veut bien être informé, si cela se reproduit (je l'ai moi même observé une fois).
-
Je pense que kgersen se demandait surtout si l'IPv4 affiché sur le message d'erreur était toujours accessible l'adresse réelle du serveur ?
En pratique (et si je me rappelle bien) l'adresse en question est derrière Acorus Network et est donc à priori protégé contre les DDoS mais le fait de laisser apparaitre l'adresse IP reste une mauvaise idée.
-
Je pense que kgersen se demandait surtout si l'IPv4 affiché sur le message d'erreur était toujours accessible l'adresse réelle du serveur ?
En pratique (et si je me rappelle bien) l'adresse en question est derrière Acorus Network et est donc à priori protégé contre les DDoS mais le fait de laisser apparaitre l'adresse IP reste une mauvaise idée.
oui c'est l'IPv4 chez Milkywan qui est affichée la...on ne devrait pas la connaitre.
-
Ça ne sera plus affiché très bientôt, lors de la prochaine mise en prod Volterra.
-
C’est pas dramatique qu’elle soit connue, elle est bloquée en dehors de milkywan/Volterra :)
-
C'est mis en prod. Ce sont maintenant vos IPv4 qui apparaissent (et toujours les IPv6 pour ceux qui sont en IPv6).
Comment ça fonctionne dans la pratique? Le proxy Voltera indique au serveur lafibre.info l'IPv4 du client dans une option particulière du header http, ou un truc dans le genre?
Leon.
-
Voici les informations qu'affiche Volterra pour chaque requête :
(https://lafibre.info/images/stats/202009_volterra_information.png)
On voit que c'est rentré en anycast sur le point de présence d'Amsterdam de volterra.
C'est une IP Française (OVH)
Volterra rajoute des informations sur la requête, notamment le x_forwarded_for qui contient l'IPv4.
C'est ce champ qui est récupéré par Apache et qui est utilisé pour remplacer l'IPv4 source présenté au serveur, uniquement pour le range IP indiqué dans le fichier de configuration.