La Fibre
Datacenter et équipements réseaux => Équipements réseaux => 
NAS, serveurs et micro-serveurs => Discussion démarrée par: Max284 le 13 août 2021 à 15:32:44
-
Bonjour à tous,
J'ai un serveur DNS Pi Hole pour bloquer la publicité et les traqueurs via DNS. Il était accessible sur internet pour que je puisse m'en servir en dehors de chez moi pour mes requêtes DNS personnelles, l'adresse IP est fixe donc c'est pratique.
Hier, en regardant les stats sur l'interface admin j'ai vu que le cache DNS était plein et que tout un tas de domaines résolus n’étaient plus mis en cache, à cause d'un grand nombre de requêtes (dûes aux bots & autres curieux sur Internet qui font régulièrement des requêtes DNS peu gênantes en temps normal). Du coup j'ai doublé le nombre d'enregistrements max pour éviter à nouveau ce problème.
Aujourd'hui, nouveau problème, mon serveur DNS plante, plus de résolutions DNS ni d'interface admin, le processus pihole-FTL utilise 100% de ressources CPU, impossible de redémarrer le processus, et quand je redémarre la machine physique, même problème. J'ai dû tuer le processus pihole-FTL et vider le cache DNS pour que ça remarche.
Par la suite en regardant les logs je vois qu'une seule adresse IP envoie beaucoup plus de requêtes au serveur que mes appareils personnels, au bout de 10min on était à 4630 requêtes de la part de cette IP contre 94 pour mon PC fixe sur lequel je travaillait. Je n'ai pas trouvé comment compter le nombre de requêtes total en 1 min, mais rien qu'a 13h15 et 25 centièmes 58 requêtes DNS vers des sous-domaine inexistants de tesla.com on été émises par cette IP. C'est clairement une attaque dans le but de rendre mon DNS inopérant.
J'ai donc fermé le port 53 de ma box en urgence et redémarré la box. Plus de spoofing. Ouf !
1/ Où puis-je signaler cet incident à SFR avec toutes les preuves ? (parce que franchement le support SFR aseptisé pour les initiés avec un bot qui te pose des questions du style "Avez-vous branché la box ?" non merci).
2/ Peut-on signaler cela aux services de l'état sans avoir à porter plainte ? (même si en théorie je pourrais car j'ai les logs)
3/ Quelqu'un saurait comment bloquer des clients DNS au niveau de Pi Hole ?
4/ C'est quoi le but de ces gens là d'attaquer des personnes aléatoires pour casser leur serveur DNS ? (Je veux dire ils n'ont rien à gagner à juste DDoS des inconnus)
Désolé si le message est un peu écrit à la va-vite, je commence franchement à fatiguer avec tout ça...
-
Salut,
1/ Où puis-je signaler cet incident à SFR avec toutes les preuves ? (parce que franchement le support SFR aseptisé pour les initiés avec un bot qui te pose des questions du style "Avez-vous branché la box ?" non merci).
A personne. C'est uniquement de ta responsabilité, tu as mal sécurisé ton équipement et laissé ouvert aux 4 vents.
2/ Peut-on signaler cela aux services de l'état sans avoir à porter plainte ? (même si en théorie je pourrais car j'ai les logs)
Pour ton cas, non.
3/ Quelqu'un saurait comment bloquer des clients DNS au niveau de Pi Hole ?
C'est pas plus simple de monter un VPN ? Comme ça tu as accès à des ressources internes du foyer en prime. Et pas besoin d'ouvrir à tout le monde.
4/ C'est quoi le but de ces gens là d'attaquer des personnes aléatoires pour casser leur serveur DNS ? (Je veux dire ils n'ont rien à gagner à juste DDoS des inconnus)
Tu te trompes : c'est justement un très juteux business que de louer des botnets qui ont des Tbps de bande passante à utiliser pendant 5min, 1h, 1 journée pour mettre à genoux un rival, un concurrent, etc.
C'est juste que toi, t'es pas payé :)
-
Tu te trompes : c'est justement un très juteux business que de louer des botnets qui ont des Tbps de bande passante à utiliser pendant 5min, 1h, 1 journée pour mettre à genoux un rival, un concurrent, etc.
C'est juste que toi, t'es pas payé :)
Justement, j'ai pas compris leur motivation. C'est un type d'attaque pour profiter de son raspberrypi et l’utiliser comme un vecteur d'attaque (par exemple en faisant du SNAT pour qu'il réponde avec des réponses DNS aux vraies victimes?)
-
Justement, j'ai pas compris leur motivation. C'est un type d'attaque pour profiter de son raspberrypi et l’utiliser comme un vecteur d'attaque (par exemple en faisant du SNAT pour qu'il réponde avec des réponses DNS aux vraies victimes?)
Oui, mais avec le DNS pas possible d'aller aussi loin.
Suffit de demander à son serveur "hé, c'est quoi la liste des serveurs racines de toute la planète ?" (histoire d'avoir une réponse bien fat sa mère), et dire "ah, et c'est xxx.xxx.xxx.xxx qui demande" (alors que c'est yyy.yyy.yyy.yyy qui a émis la requete). Le fameux "c'est pour un ami" :D
-
Oui, mais avec le DNS pas possible d'aller aussi loin.
Suffit de demander à son serveur "hé, c'est quoi la liste des serveurs racines de toute la planète ?" (histoire d'avoir une réponse bien fat sa mère), et dire "ah, et c'est xxx.xxx.xxx.xxx qui demande" (alors que c'est yyy.yyy.yyy.yyy qui a émis la requete). Le fameux "c'est pour un ami" :D
:D
j'ai bien compris
-
Merci de ta réponse,
Salut,
A personne. C'est uniquement de ta responsabilité, tu as mal sécurisé ton équipement et laissé ouvert aux 4 vents.
Oui j'aurais pu mieux protéger mon serveur c'est vrai. Mais y'a quand même eu acte de malveillance, à aucun moment j'ai autorisé cette personne à saturer mon serveur DNS, c'est punissable en théorie. Et puis j'y peut quoi il aurait aussi pu me DDoS si je n'avais aucun port d'ouvert.
Pour ton cas, non.
Les particuliers ont aussi le droit d'auto-héberger leur serveur à ce que je sache, ils peuvent aussi subir des attaques au même titre que les entreprises. On peut bien signaler du contenu inapproprié en ligne (drogue, violence, apologie du terrorisme), alors pourquoi pas des attaques informatiques ? (qui peuvent faire bien plus de dégâts parfois)
Et puis le FAI (même s'il n'est en aucun cas responsable du problème), il joue aussi un rôle dans la prévention contre ce genre d'attaques, pourquoi on ne peut même pas leur faire un simple signalement ?
C'est pas plus simple de monter un VPN ? Comme ça tu as accès à des ressources internes du foyer en prime. Et pas besoin d'ouvrir à tout le monde.
J'ai déjà un VPN pour l'administration de mon site, je pourrais l'utiliser quand je ne suis pas chez moi c'est vrai.
Tu te trompes : c'est justement un très juteux business que de louer des botnets qui ont des Tbps de bande passante à utiliser pendant 5min, 1h, 1 journée pour mettre à genoux un rival, un concurrent, etc.
C'est juste que toi, t'es pas payé :)
Je comprend l’intérêt, mais je suis ni Elon Musk, ni un diplomate, ils vont rien gagner à me DDoS moi...
Enfin bref, les attaques sont stoppées, a priori il n'y a eu aucun vol de données, c'est le plus important. Je suis juste dégouté qu'en tant que citoyen on ne puisse rien y faire. Le jour où ce sera le site du gouvernement ou d'OVH qui sera mis hors ligne tant pis pour eux...
Je vais quand même me renseigner pour sécuriser encore plus mon serveur Nextcloud qui l'est déja bien, mais on sait jamais.
-
Oui, mais avec le DNS pas possible d'aller aussi loin.
Suffit de demander à son serveur "hé, c'est quoi la liste des serveurs racines de toute la planète ?" (histoire d'avoir une réponse bien fat sa mère), et dire "ah, et c'est xxx.xxx.xxx.xxx qui demande" (alors que c'est yyy.yyy.yyy.yyy qui a émis la requete). Le fameux "c'est pour un ami" :D
C'est un moyen de DDoS quelqu'un d'autres en utilisant mon serveur si je comprends bien. Malheureusement j'ai pas de pare-feu avancé pour bloquer ce genre de bidouilles.
-
C'est un moyen de DDoS quelqu'un d'autres en utilisant mon serveur si je comprends bien. Malheureusement j'ai pas de pare-feu avancé pour bloquer ce genre de bidouilles.
utilise un VPN
-
Les particuliers ont aussi le droit d'auto-héberger leur serveur à ce que je sache, ils peuvent aussi subir des attaques au même titre que les entreprises. On peut bien signaler du contenu inapproprié en ligne (drogue, violence, apologie du terrorisme), alors pourquoi pas des attaques informatiques ? (qui peuvent faire bien plus de dégâts parfois)
Et puis le FAI (même s'il n'est en aucun cas responsable du problème), il joue aussi un rôle dans la prévention contre ce genre d'attaques, pourquoi on ne peut même pas leur faire un simple signalement ?
Ta question était spécifiquement "sans déposer plainte".
Bien évidemment que si tu déposais plainte et qu'un magistrat décide d'ouvrir une enquête, ma réponse serait autre.
Les unités des FDO qui bossent sans plainte sont celles qui tentent d'empêcher les atteintes à la personne. Donc rien à voir avec ton serveur.
-
Je plussois : utilise un VPN.
[troll] Ca ne sert pas qu'à pirater Netflix un VPN, ca a des usages autremant plus utiles [/troll]
De manière générale, si tu ouvres un port "commun" de service ( 53, 22, 21, etc...) sur le monde, tu vas rapidement devenir une cible.
Branche un detecteur de scanner sur ton routeur externe, tu vas être étonné du nombre d'IP qui tapent à ta porte en 24h ...
Le VPN sert à ça : ouvrir ton réseau (tout ou partie) à l'exterieur, MAIS, via authentification forte :-)
C'est pas pour rien que tout le monde en utilise, après, il faut bien le sécuriser aussi (ce qui n'est pas exceptionnellement difficile)
-
Des tentatives de connexions sur des ports « intéressant » tu en as probablement des milliers chaque jour, comme tout le monde (cf. le screenshot ci-dessous sur ma connexion depuis minuit). Il y a des bots qui passent leurs journées à scanner absolument toutes les adresses IPv4 publiques (ce n’est pas si long à faire de nos jours) à la recherche de ports ouverts qui pourraient être exploités.
Si on devait porter plainte à chaque fois on n’en sortirait plus, et ce d’autant plus que mes statistiques montrent que ça vient majoritairement de Russie ou de chine…
Donc on se protège, on n’ouvre pas de ports vers des systèmes non sécurisés. Dans le cas du dns il est impossible de sécuriser, donc on n’ouvre pas le port 53 et si on a besoin d’utiliser un serveur dns particulier on met en place un vpn comme déjà dit de multiples fois.
-
Je plussois : utilise un VPN.
[troll] Ca ne sert pas qu'à pirater Netflix un VPN, ca a des usages autremant plus utiles [/troll]
De manière générale, si tu ouvres un port "commun" de service ( 53, 22, 21, etc...) sur le monde, tu vas rapidement devenir une cible.
Branche un detecteur de scanner sur ton routeur externe, tu vas être étonné du nombre d'IP qui tapent à ta porte en 24h ...
Le VPN sert à ça : ouvrir ton réseau (tout ou partie) à l'exterieur, MAIS, via authentification forte :-)
C'est pas pour rien que tout le monde en utilise, après, il faut bien le sécuriser aussi (ce qui n'est pas exceptionnellement difficile)
C'est confus ton "utilise un VPN" , 99% de gens comprendront d'utiliser une offre "VPN pour gogo" style NordVPN & etc.
D'autant qu'un VPN pour pirater Netflix et un VPN pour acceder a son LAN ce n'est pas du tout la meme chose ni les memes offres. donc ton troll ajoute de la confusion...
@Max284: je recommande https://tailscale.com/ pour un VPN simple , gratuit et sans configuration complexe. Ils ont meme un tuto qui correspond pile poil a ton cas: https://tailscale.com/kb/1114/pi-hole/
-
Au delà du VPN potentiellement overkill, voici d'autres pistes, sur un hébergement @home :
- Bloquer les IP non Française / d'un FAI autre que ceux que tu utilises. Ça réduira mathématiquement les attaques sans que ça change ton utilisation.
- Si tu utilises ton serveur DNS sur mobile, maintenant que les opérateurs mobiles proposent - quasi - tous de l'ipv6, passe ton DNS en ipv6. Idem, ça réduira mathématiquement les attaques.
- Mettre en place DoH (DNS over https) avec une auth https de ton choix (certificat, Basic Auth, etc.)
-
Pour le coup c'est plus un rapsberry pi mais un mini-pc un poil plus puissant que j'utilise car le raspi supportait difficilement Nextcloud j'ai dû passer au niveau sup niveau mémoire.
Je plussois : utilise un VPN.
Le VPN sert à ça : ouvrir ton réseau (tout ou partie) à l'exterieur, MAIS, via authentification forte :-)
C'est pas pour rien que tout le monde en utilise, après, il faut bien le sécuriser aussi (ce qui n'est pas exceptionnellement difficile)
Justement c'est ce que je vais faire. J'ai déja un VPN Wireguard pour l'administration (je suis pas con au point d'ouvrir SSH et le webadmin de Pi Hole sur Internet non plus ;D).
Des tentatives de connexions sur des ports « intéressant » tu en as probablement des milliers chaque jour, comme tout le monde (cf. le screenshot ci-dessous sur ma connexion depuis minuit). Il y a des bots qui passent leurs journées à scanner absolument toutes les adresses IPv4 publiques (ce n’est pas si long à faire de nos jours) à la recherche de ports ouverts qui pourraient être exploités.
Si on devait porter plainte à chaque fois on n’en sortirait plus, et ce d’autant plus que mes statistiques montrent que ça vient majoritairement de Russie ou de chine…
Donc on se protège, on n’ouvre pas de ports vers des systèmes non sécurisés. Dans le cas du dns il est impossible de sécuriser, donc on n’ouvre pas le port 53 et si on a besoin d’utiliser un serveur dns particulier on met en place un vpn comme déjà dit de multiples fois.
Depuis que j'ai ouvert le DNS sur Internet je vois plein d'IP inconnues qui s'y connectent tous les jours, en général ça faisait quelques requêtes, mais je m'en fichais car ça n'impactais pas mon utilisation quotidienne du serveur. Maintenant, que mon serveur serve d'intermédiaire pour faire du DDoS, je suis moins fan surtout si ça peut me retomber dessus.
@Max284: je recommande https://tailscale.com/ pour un VPN simple , gratuit et sans configuration complexe. Ils ont meme un tuto qui correspond pile poil a ton cas: https://tailscale.com/kb/1114/pi-hole/
Jamais testé mais si ça offre de meilleures perfs et une meilleure sécu que Wireguard pourquoi pas...
Au delà du VPN potentiellement overkill, voici d'autres pistes, sur un hébergement @home :
- Bloquer les IP non Française / d'un FAI autre que ceux que tu utilises. Ça réduira mathématiquement les attaques sans que ça change ton utilisation.
- Si tu utilises ton serveur DNS sur mobile, maintenant que les opérateurs mobiles proposent - quasi - tous de l'ipv6, passe ton DNS en ipv6. Idem, ça réduira mathématiquement les attaques.
- Mettre en place DoH (DNS over https) avec une auth https de ton choix (certificat, Basic Auth, etc.)
- Bonne idée le géo-blocage IP (au moins pour mon serveur web), mais j'ai pas les pare-feux stormshield à 800 € comme au boulot. Peut-être que CrowdSec peut le faire avec un module pour IPTables cela dit...
- Maintenant je peux plus m'en servir sur mobile à moins de lancer wireguard mais bon c'est plus une perte de temps qu'autre chose, et malheureusement mon FAI ne propose pas d'IPv6.
- Pour DoH faudrait que je me renseigne, je sais pas si c'est possible avec Pi Hole.
-
Depuis que j'ai ouvert le DNS sur Internet je vois plein d'IP inconnues qui s'y connectent tous les jours, en général ça faisait quelques requêtes, mais je m'en fichais car ça n'impactais pas mon utilisation quotidienne du serveur. Maintenant, que mon serveur serve d'intermédiaire pour faire du DDoS, je suis moins fan surtout si ça peut me retomber dessus.
DNS et d'autres protocoles font partie des protocoles qui peuvent servir aux attaques par amplification ( https://en.wikipedia.org/wiki/Denial-of-service_attack#Amplification ).
Il faut savoir que toutes les addresses IPv4 du monde sont régulièrement scannées pour trouver les ports ouverts (y'a meme des moteurs de recherche pour cela, comme shodan.io ou tu peux tester ton adresse IP).
Jamais testé mais si ça offre de meilleures perfs et une meilleure sécu que Wireguard pourquoi pas...
Tailscale c'est Wireguard... c'est une couche au dessus qui gere les accès via une interface web et une application plus simple.
Tailscale permet d'utiliser le VPN que pour le DNS et l'accès machine a machine (ssh) mais tout le reste du traffic Internet ne passe pas dans le VPN.
L'avantage aussi est qu'on n'a pas besoin d'ouvrir les ports sur le routeur meme pour le serveur: Tailscale permet a 2 clients Wireguard de se connecter entre eux en étant chacun derriere un firewall/NAT et sans avoir a ouvrir de port.
-
La plupart des tuto sur ce forum montrent comment installer un routeur derrière (ou mieux encore, à la place de) la box. La plupart des routeurs proposent des solutions VPN intégrées, très connues. Donc la personne un peu futée aura noté qu'il ne sert à rien de passer par un service externe (qui au passage peut logguer, voire déchiffrer tout ce qui passe par chez lui) , notamment pour accéder à des ressources derrières son propre routeur "de maison".
Une fois de plus, un peu de documentation - en complément des lectures sur le forum - quelques sessions de lab - et on a rapidement mis en place un VPN privé et sécurisé pour accéder à ses ressources depuis l’extérieur, et pour router tel ou tel trafic au travers :-p
-
La plupart des tuto sur ce forum montrent comment installer un routeur derrière (ou mieux encore, à la place de) la box. La plupart des routeurs proposent des solutions VPN intégrées, très connues. Donc la personne un peu futée aura noté qu'il ne sert à rien de passer par un service externe (qui au passage peut logguer, voire déchiffrer tout ce qui passe par chez lui) , notamment pour accéder à des ressources derrières son propre routeur "de maison".
Une fois de plus, un peu de documentation - en complément des lectures sur le forum - quelques sessions de lab - et on a rapidement mis en place un VPN privé et sécurisé pour accéder à ses ressources depuis l’extérieur, et pour router tel ou tel trafic au travers :-p
C'est un choix . Tout le monde n'a pas forcement envie de passer des heures a suivre un tuto, faire des sessions de lab...
Le point de lafibre.info c'est de donner des infos adaptées a tout type de public et de presenter toutes les options sans être dogmatiques, manichéens et élitistes. Si on ne contente de truc pour ceux qui ont le temps et le niveau on n'a meme pas besoin d'en parler ici...ils savent et font déjà.
et Tailscale n'est pas un VPN comme les autres services, aucun traffic ne passe chez eux hormis la configuration. Donc le juger sans savoir de quoi il s'agit c'est un peu rapide.
Perso je préfère cette approche ou aucun port n'est ouvert donc plutôt que le laisser des ports ouverts sur sa box ou son routeur maison... Meme moi qui pendant des années gérait mes propres routeurs/serveurs VPN j'ai virer tout ca pour Tailscale et y'a pas photos sur les avantages.