Auteur Sujet: Plages IPv4 de Starlink (Lu 363 fois)

vivien · « **le:** **Hier** à 08:55:02 »

Starlink est également utilisé pour des attaques DDOS su LaFibre.info.

En regardant, voici les plages IPv4 de Starlink.

L'attaque n'est peut-être pas géographiquement bien répartie, et peut-être qu'il manque de plages :

(cliquez sur la miniature ci-dessous - le document est au format PDF)

À noter que sur certaines plages IPv4, presque les 256 IP de la plage ont été utilisées.

alain_p · « **Réponse #1 le:** **Hier** à 13:36:57 »

Cela fait beaucoup, beaucoup. J'ai l'impression qu'aucune plage ne comporte 0 attaque. Est-ce qu'il serait possible que ce soit les terminaux Starlink aux-mêmes qui soient compromis, à un niveau ou un autre ?

Hugues · « **Réponse #2 le:** **Hier** à 13:48:29 »

C'est juste des proxy résidentiels, très souvent c'est soit des boitiers IPTV pirates, soit juste des apps android banales en apparence mais avec un spyware a l'intérieur qui fait tourner ce proxy.

vivien · « **Réponse #3 le:** **Hier** à 14:05:35 »

Citation de: alain_p le Hier à 13:36:57

Cela fait beaucoup, beaucoup. J'ai l'impression qu'aucune plage ne comporte 0 attaque.

Les plages avec 0 attaque ne sont pas présentes dans le listing.

acut3 · « **Réponse #4 le:** **Hier** à 14:18:05 »

Si on cherche 129.224.206.146 (une IP que j'ai pris au hasard dans un /24 rouge) sur https://www.ip2proxy.com/, il disent que c'est un proxy résidentiel Webshare (dommage, maintenant qu'ils ont fermé le port 30001 on ne peut plus vérifier

). J'imagine que c'est aussi le cas pour beaucoup de ces IP.

D'après ce que dit Webshare, les IP de leurs proxies résidentiels sont généralement achetées auprès des ISP eux-même, qui vendent une partie de leurs IP résidentielles non utilisées à des entreprises qui en ont besoin. Je pense que c'est ce qu'on voit ici.

Avec les données que tu nous as fourni au fil des différents sujets, il me semble que la plupart des IP impliquées sont soit des proxies commerciaux, soit des devices compromis.

testing5555 · « **Réponse #5 le:** **Hier** à 14:19:00 »

Citation de: Hugues le Hier à 13:48:29

C'est juste des proxy résidentiels, très souvent c'est soit des boitiers IPTV pirates, soit juste des apps android banales en apparence mais avec un spyware a l'intérieur qui fait tourner ce proxy.

+1, c'est devenu un business à part entière : vendre du matériel connecté à prix cassé (boitier multimédia, vidéoprojecteur, ...) et faire sa marge en revendant ensuite l'accès en tant que proxy résidentiel (que ce soit pour du "piratage" type DDOS ou pour scraper des sites sans se faire bloquer).
On n'est plus sur de la faille de sécurité non patchée qu'on pouvait voir à une époque mais vraiment sur une fonction du cahier des charges du fabricant (mais pas annoncée au grand public, évidemment).

Exemple d'article à ce sujet : https://www.wired.com/story/1-million-third-party-android-devices-badbox-2/

vivien · « **Réponse #6 le:** **Hier** à 14:32:04 »

Pour les IPv4 Starlink je ne sais pas, mais pour les autres, cela semble bien localisé en Amérique du Sud (un petit peu en Asie en Afrique aussi et pas du tout en Europe).

vivien · « **Réponse #7 le:** **Hier** à 22:04:48 »

Citation de: acut3 le Hier à 14:18:05

Si on cherche 129.224.206.146 (une IP que j'ai pris au hasard dans un /24 rouge) sur https://www.ip2proxy.com/, il disent que c'est un proxy résidentiel Webshare

Même si c'est probablement un proxy résidentiel (ou un bot pour faire du DDOS), j'ai quand même des doutes sur la fiabilité de cette détection, ce n'est pas simple de détecter un proxy résidentiel, non ?

J'ai demandé à l'IA, ce n'est pas très clair :
Les proxys résidentiels empruntent les IP de véritables abonnés (via des SDK intégrés dans des applications gratuites ou des malwares). IP2Proxy utilise des algorithmes d'apprentissage automatique pour analyser la réputation, la volatilité de l'IP (changement fréquent d'usage) et l'historique des requêtes suspectes ("Last Seen").

acut3 · « **Réponse #8 le:** **Hier** à 22:22:24 »

Citation de: vivien le Hier à 22:04:48

Même si c'est probablement un proxy résidentiel (ou un bot pour faire du DDOS), j'ai quand même des doutes sur la fiabilité de cette détection, ce n'est pas simple de détecter un proxy résidentiel, non ?

Je ne sais pas trop comment ces services de "classification" d'IP fonctionnent. Comme ce sont des boites qui fournissent des solutions de protection, j'imagine qu'elles ont accès au trafic des sites qu'elles protègent, et que ça leur permet de savoir, avec des degrés de certitude variables, qu'une IP héberge un bot ou du trafic en provenance de multiples clients.

Après IP2Proxy ce n'est peut-être pas le service le plus fiable, mais ils ont l'avantage de donner (quand il est disponible) le nom du service même avec leur démo gratuite. Il y a des tonnes de services similaire. Spur par exemple est sans doute plus fiable (Brian Krebs a travaillé avec eux pour son article sur le botnet Popa, d'ailleurs très intéressant sur un sujet adjacent), mais ils demandent une adresse mail "professionnelle" même pour leurs comptes gratuits.