Affichage hiérarchique

19-06-2013, 10h50

C'est très intéressant comme sujet car c'est quelque chose que je ne maîtrise pas très bien et je pense que ça pourrais servir à d'autres. Je me permets donc de poser quelques questions (peut être à l'ouest).

Concernant les Dos réseau (consommation de bande passante), j'ai entendu parler d'une technique qui consiste à commencer une connexion TCP et à ne pas la terminer donc elle reste ouverte jusqu'au timeout (2 secondes il me semble, dans l'exemple que j'ai vu). Concrètement (si je ne me trompe pas) plusieurs clients vont solliciter une IP avec ce type d'attaque et la BP va saturer cependant il faut bien un serveur TCP derrière cette IP (par exemple apache sur le port 80). Si le port 80 est fermé ou que plus rien n'écoute dessus l'attaque va se terminer d'elle même? A moins que ce type d'attaque vise la carte réseau physiquement parlant?

**ark** · 19-06-2013, 11h00

L'attaque dont tu parles s'appel le SYN flood. Et forcement, si tu n’écoutes pas sur le port l'attaque va s’arrêter puisque les connexions réseau ne seront plus crées.

notfound · (Modification du message : 19-06-2013, 11h33 par notfound.)

Salut opcodefr,

Wikipedia explique ça très bien (tu as surement du le lire )
http://fr.wikipedia.org/wiki/Attaque_par...27attaques

Et donc, la partie intéressante pour ton cas, c'est à dire le SYN FLOODING comme l'a précisé Ark, la voici :

Wikipedia a écrit :Le risque d'abus se pose à l'endroit où le système de serveur a envoyé un accusé de réception (SYN-ACK) au client, mais ne reçoit pas le message ACK. Le serveur construit dans sa mémoire système une structure de données décrivant toutes les connexions. Cette structure de données est de taille finie, et elle peut être débordée en créant intentionnellement trop de connexions partiellement ouvertes.

oosfalte · (Modification du message : 19-06-2013, 19h36 par oosfalte.)

Je me pose la question: les systèmes actuels ne sont-ils pas protétégés contre justement un débordement de la pile TCP/IP ?
Est-ce que ceci combiné avec d'autres mesures (genre règles iptables ), permet de maintenir le service en parallèle à une attaque synflood ?

Edit: apparemment non, ça rejoint un peu amplification dns, une histoire de tuyaux

19-06-2013, 19h48

Quels types d'attaques existent qui ne puissent finalement pas être arrêtés par l'arrêt d'un processus ou la non écoute sur un port?

oosfalte, j'ai justement créé de topic suite au post que tu as cité car plusieurs questions me sont venu.

gruik · (Modification du message : 19-06-2013, 22h21 par gruik.)

(19-06-2013, 19h11)oosfalte a écrit : Je me pose la question: les systèmes actuels ne sont-ils pas protétégés contre justement un débordement de la pile TCP/IP ?

c'est pas le même propos en fait, le SYN flood - historique, à la sauce Kevin Mitnick - consistait effectivement à mettre hors service (DoS) une machine en lui envoyant des paquets SYN sur un port ouvert, le problème venait du fait que dès la réception le kernel réservait des ressources (mémoire/stack ? descripteur ?) pour la socket sans même attendre que handshake TCP soit fini, ce qui finissait par bloquer le service/la machine qui ne pouvait plus accepter de nouvelle connexion
depuis ça a évidement été corrigé t'as raison

en revanche et pour répondre à 0pc0deFR dans la foulée, l'attaque par amplification dont il est question dans l'autre thread est un DDoS qui a pour finalité de saturer la bande passante, le traffic généré par les machines qui attaquent est tel qu'il engorge complètement le tuyau, et contre ça fermer le port ou setup le meilleur des firewall ne servira de toutes façons à rien :/

oosfalte · 20-06-2013, 07h16

Alors peut on dire qu'aujourd'hui les synflood sont inefficaces ?
Y a cette question que je me pose:
un synflood c'est juste envoyer en continu des packets SYN, sans envoyer les ACK attendus histoire de submerger une zone de la mémoire.Pour moi ces paquets sont de taille si réduites qu'ils ne peuvent engorger la bande passante, ce n'est pas le but visé.
Cependant des attaques synflood en parallèle depuis un parc massif de machines pourraient elles 'remplir' la bande passante au point de conduire à un DoS, en dépit des protections actuelles et de la faible taille de ces paquets ?
Je sais pas si j'ai été très clair ...

20-06-2013, 08h24

De même, il serait possible de DoS un serveur web avec des requêtes GET/POST malformé en grande quantité? Cela conduirait à un 404 mais j'ai toujours entendu dire qu'un traitement 404 consommait pas mal de ressources chez apache.

InstinctHack · (Modification du message : 20-06-2013, 09h03 par InstinctHack.)

Je suis pas un as en réseau, mais j'vais essayer de répondre. (je peux me tromper hein Smile

)
@oosfalte
Le truc c'est que le serveur réserve des *ressources* (ram/cpu) pour pouvoir répondre à chaque requête, donc le syn flood ne s'attaque pas à la bande passante, ce n'est pas son but.
Et pour te répondre si il est possible de faire tomber un serveur en faisant un ddos de syn flood, je pense que c'est pas raisonnable de penser ainsi. Il est préférable de faire des requêtes légitimes et qui donc demanderont une réponse, ce qui en toute logique est consommateur de bande passante en output.

@0pc0deFR
Faut comprendre que si apache renvoit 404, c'est qu'il as donc chercher, et une ressource lié à une URL peut se trouver à plusieurs endroits via les alias, faut parfois analyser les htaccess, compiler les regexs et voir si ça match, etc...
J'imagine que ça peux être long, (et puis c'est apache... Si tu veux des performances, t'as un nginx.) mais bon mieux vaut trouver une page sur laquelle il y a des traitements lourds derrière et sans cache, ça peux très vite devenir chiant. ( coucou CyberSee :p )

(je laisse quand même les autres corriger mes propos, j'imagine que je dis pas que des trucs corrects ^^ )

ps : Je me demande quel est le ratio "attaque ressources/réseau" sur les ddos, mais comme déjà dis, c'est une méthode de lâche, de brute, mais les attaques sur réseau sont difficiles à protéger uniquement la machine attaqué, pour les autres si c'est possible Smile

oosfalte · 20-06-2013, 19h00

@InstinctHack
oui c'est ce que je me suis dit après réflexion, pourquoi un attaquant s'embeterait avec un "ddos synfllod" alors qu'une classique 'inondation' de requetes a + d'effets sur la bande passante au final.
Merci.
et comme le dit Opc0deFr le sujet est vaste et très intéressant, d'un côté comprendre les mécanismes qui conduisent à un Dos, de l'autre côté les contre-mesures à mettre en oeuvre.

25-06-2013, 09h17

Je voudrais avoir vos avis sur la question suivante (simplement pour me faire une idée de la réalité). A l'heure d'aujourd'hui qu'est ce qui est le plus redoutable, les Dos/DDos applicatifs ou par consommation réseau? Mon avis ce penche sur la deuxième possibilité mais j'attends vos retours. Merci d'avance.

gruik · 25-06-2013, 09h30

mon avis perso là dessus c'est que pour celui qui comprend les systèmes et les réseaux c'est à la fois facile d'estimer une réponse (elle est même évidente), et à la fois une question sans réel intérêt technique
de l'autre côté c'est typiquement le genre de question/réponse qui intéresserait particulièrement le script kiddy sur hackforum par exemple, ça lui indiquerait automatiquement quoi chercher dans google "telecharger ddos lol"
l'attitude locale consiste globalement à s'interesser à comment sont faites les cyber-armes, pas à leur force de frappe ni à comment les utiliser, pour schématiser

25-06-2013, 10h44

Je pose cette question dans le but d'avoir des réponses intéressantes pour ensuite parler des moyens sécurisations de ceci. La logique dirait que le plus redoutable est le plus compliqué à sécurisé, d'où ma question.

Ceci dit, je m'attendais à ce genre de réaction en posant cette question.

Joe · (Modification du message : 25-06-2013, 17h14 par Joe.)

Tu peux te "protéger" contre le DDOS en utilisant des interfaces type iptable.

Imaginons que ton pare-feu soit la porte de la pièce dans laquelle tu te trouve...

Imagine que l'on toc a ta porte toute les milliseconde. Cela va t’empêcher de répondre et de sortir de ta pièce.

Maintenant imagine qu'a chaque fois que l'on toc a ta porte tu renvoi un coup de poing vers ton expéditeur.

Je schématise bien sur mais crois moi il va stopper son attaque s'il se reprend les paquets dans la tronche...

Il y'a également reject ddos qui le fait.

Petit tuto simpas a suivre que j'ai monter sur un dédié pour un client : http://doc.ubuntu-fr.org/iptables

InstinctHack · 25-06-2013, 17h13

Bah je pense que gruik as tout dit en fait. Il suffit de réfléchir un tant soi peu.
Si t'es capable de répondre à 10 questions par seconde, et que je t'en pose 20 par seconde (qu'elle soit valides ou pas) faudras au moins que tu les récupère avant de savoir si c'est de la merde ou pas, mais dans tous les cas, personne d'autres ne pourras te poser de questions.

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler