Bonjour à tous,

J'ai un serveur DNS Pi Hole pour bloquer la publicité et les traqueurs via DNS. Il était accessible sur internet pour que je puisse m'en servir en dehors de chez moi pour mes requêtes DNS personnelles, l'adresse IP est fixe donc c'est pratique.

Hier, en regardant les stats sur l'interface admin j'ai vu que le cache DNS était plein et que tout un tas de domaines résolus n’étaient plus mis en cache, à cause d'un grand nombre de requêtes (dûes aux bots & autres curieux sur Internet qui font régulièrement des requêtes DNS peu gênantes en temps normal). Du coup j'ai doublé le nombre d'enregistrements max pour éviter à nouveau ce problème.

Aujourd'hui, nouveau problème, mon serveur DNS plante, plus de résolutions DNS ni d'interface admin, le processus pihole-FTL utilise 100% de ressources CPU, impossible de redémarrer le processus, et quand je redémarre la machine physique, même problème. J'ai dû tuer le processus pihole-FTL et vider le cache DNS pour que ça remarche.
Par la suite en regardant les logs je vois qu'une seule adresse IP envoie beaucoup plus de requêtes au serveur que mes appareils personnels, au bout de 10min on était à 4630 requêtes de la part de cette IP contre 94 pour mon PC fixe sur lequel je travaillait. Je n'ai pas trouvé comment compter le nombre de requêtes total en 1 min, mais rien qu'a 13h15 et 25 centièmes 58 requêtes DNS vers des sous-domaine inexistants de tesla.com on été émises par cette IP. C'est clairement une attaque dans le but de rendre mon DNS inopérant.

J'ai donc fermé le port 53 de ma box en urgence et redémarré la box. Plus de spoofing. Ouf !

1/ Où puis-je signaler cet incident à SFR avec toutes les preuves ? (parce que franchement le support SFR aseptisé pour les initiés avec un bot qui te pose des questions du style "Avez-vous branché la box ?" non merci).
2/ Peut-on signaler cela aux services de l'état sans avoir à porter plainte ? (même si en théorie je pourrais car j'ai les logs)
3/ Quelqu'un saurait comment bloquer des clients DNS au niveau de Pi Hole ?
4/ C'est quoi le but de ces gens là d'attaquer des personnes aléatoires pour casser leur serveur DNS ? (Je veux dire ils n'ont rien à gagner à juste DDoS des inconnus)

Désolé si le message est un peu écrit à la va-vite, je commence franchement à fatiguer avec tout ça...

Tu te trompes : c'est justement un très juteux business que de louer des botnets qui ont des Tbps de bande passante à utiliser pendant 5min, 1h, 1 journée pour mettre à genoux un rival, un concurrent, etc.
C'est juste que toi, t'es pas payé 

Justement, j'ai pas compris leur motivation. C'est un type d'attaque pour profiter de son raspberrypi et l’utiliser comme un vecteur d'attaque (par exemple en faisant du SNAT pour qu'il réponde avec des réponses DNS aux vraies victimes?)

Oui, mais avec le DNS pas possible d'aller aussi loin.

Suffit de demander à son serveur "hé, c'est quoi la liste des serveurs racines de toute la planète ?" (histoire d'avoir une réponse bien fat sa mère), et dire "ah, et c'est xxx.xxx.xxx.xxx qui demande" (alors que c'est yyy.yyy.yyy.yyy qui a émis la requete).  Le fameux "c'est pour un ami"

 
j'ai bien compris

Oui, mais avec le DNS pas possible d'aller aussi loin.

Suffit de demander à son serveur "hé, c'est quoi la liste des serveurs racines de toute la planète ?" (histoire d'avoir une réponse bien fat sa mère), et dire "ah, et c'est xxx.xxx.xxx.xxx qui demande" (alors que c'est yyy.yyy.yyy.yyy qui a émis la requete).  Le fameux "c'est pour un ami"

C'est un moyen de DDoS quelqu'un d'autres en utilisant mon serveur si je comprends bien. Malheureusement j'ai pas de pare-feu avancé pour bloquer ce genre de bidouilles.

Les particuliers ont aussi le droit d'auto-héberger leur serveur à ce que je sache, ils peuvent aussi subir des attaques au même titre que les entreprises. On peut bien signaler du contenu inapproprié en ligne (drogue, violence, apologie du terrorisme), alors pourquoi pas des attaques informatiques ? (qui peuvent faire bien plus de dégâts parfois)
Et puis le FAI (même s'il n'est en aucun cas responsable du problème), il joue aussi un rôle dans la prévention contre ce genre d'attaques, pourquoi on ne peut même pas leur faire un simple signalement ?

Ta question était spécifiquement "sans déposer plainte".

Bien évidemment que si tu déposais plainte et qu'un magistrat décide d'ouvrir une enquête, ma réponse serait autre.

Les unités des FDO qui bossent sans plainte sont celles qui tentent d'empêcher les atteintes à la personne. Donc rien à voir avec ton serveur.

Des tentatives de connexions sur des ports « intéressant » tu en as probablement des milliers chaque jour, comme tout le monde (cf. le screenshot ci-dessous sur ma connexion depuis minuit). Il y a des bots qui passent leurs journées à scanner absolument toutes les adresses IPv4 publiques (ce n’est pas si long à faire de nos jours) à la recherche de ports ouverts qui pourraient être exploités.

Si on devait porter plainte à chaque fois on n’en sortirait plus, et ce d’autant plus que mes statistiques montrent que ça vient majoritairement de Russie ou de chine…

Donc on se protège, on n’ouvre pas de ports vers des systèmes non sécurisés. Dans le cas du dns il est impossible de sécuriser, donc on n’ouvre pas le port 53 et si on a besoin d’utiliser un serveur dns particulier on met en place un vpn comme déjà dit de multiples fois.