Attaque Amplification DNS
|
18-06-2013, 20h20
(Modification du message : 18-06-2013, 20h20 par FraKtaL.)
Message : #1
|
|
FraKtaL
Membre Messages : 47 Sujets : 6 Points: 5 Inscription : Jan 2013 |
Attaque Amplification DNS
Bonjour à tous,
Je me permets de vous demander une solution temporaire afin de contrer les attaques d'amplifications DNS ? Pour ceux qui veulent savoir le késako d'une attaque d'amplication dns, http://www.bortzmeyer.org/amplification-...mbien.html |
|
18-06-2013, 21h51
(Modification du message : 18-06-2013, 21h55 par notfound.)
Message : #2
|
|
notfound
#!/usr/bin/env bash Messages : 687 Sujets : 47 Points: 272 Inscription : Sep 2012 |
RE: Attaque Amplification DNS
Salut Fraktal, ravi de te revoir ici.
Le terme est mal choisi, en fait il s'agit bien d'une attaque utilisant les DNS, mais pas d'amplification DNS. Le principe est d'envoyer une demande à un DNS avec l'@IP de la victime pour que ce dernier réponde à la demande. Il va donc envoyer de grosses trames à la victime, celle-ci découpée en plusieurs trames à cause du MTU de l'Ethernet http://fr.wikipedia.org/wiki/Maximum_Tra....C3.A9seau Ensuite, pour revenir à ta question il faudrait pouvoir stop lorsque le même DNS envoie des trames ayant le MTU maximum par exemple, ou bien trop de trames qui se suivent. N'ayant jamais eu affaire à ce genre de cas, je ne sais pas si mon hypothèse est viable ... Bon courage |
|
18-06-2013, 22h24
Message : #3
|
|
FraKtaL
Membre Messages : 47 Sujets : 6 Points: 5 Inscription : Jan 2013 |
RE: Attaque Amplification DNS
Salut NotFound.
Le truc c'est que l'on se prend 1Gb/s de requete DNS sur un EDGE de 1Giga. Nous sommes clairement en saturation sur notre EDGE. Et aujourd'hui, il faudrait que notre fournisseur IP fasse du null-route sur leur transit IP. (Chose qu'il ne font pas car ils sont DSP...) ou que je fasse la config sur notre routeur BGP (null-route / dé-null en rotation), mais je recherche une solution temporaire qui me permettrais d'aller dormir cette nuit =) |
|
18-06-2013, 23h53
Message : #4
|
|
FraKtaL
Membre Messages : 47 Sujets : 6 Points: 5 Inscription : Jan 2013 |
RE: Attaque Amplification DNS
Yop yop.
J'ai trouver une solution temporaire (pas très propre mais bon), c'est juste le temps de faire une configuration BGP ou voir avec mon fournisseur IP. J'ai fais un script avec une liaison CACTI, qui quand mon lien transit arrive à 90%, je bloque durant 20s les requête DNS via iptables en entrée. A voir si mon téléphone vas arrêter de sonner cette nuit ou pas. Bonne soirée |
|
19-06-2013, 01h25
(Modification du message : 19-06-2013, 02h16 par notfound.)
Message : #5
|
|
notfound
#!/usr/bin/env bash Messages : 687 Sujets : 47 Points: 272 Inscription : Sep 2012 |
RE: Attaque Amplification DNS
Haha, grand fou va ! La je ne pourrais clairement pas t'aider, cela dépasse mes compétences.
En espérant que tu parviennes à régler ton problème ! A bientot Fraktal |
|
19-06-2013, 09h18
(Modification du message : 19-06-2013, 09h19 par Ekroz.)
Message : #6
|
|
Ekroz
Membre actif Messages : 77 Sujets : 13 Points: 43 Inscription : May 2013 |
RE: Attaque Amplification DNS
Il y a généralement deux types de déni de service :
- les attaques "applicatives" qui vont cibler un service et exploiter ses faiblesses pour qu'il consomme beaucoup de ressources et sature - les attaques par "remplissage de tuyau" (nb: quand il y a un grand nombre d'attaquant les attaques "applicatives" remplissent aussi pas mal le tuyau) Autant pour les déni de service applicatifs tu peux y contrer avec une bonne configuration (firewall, plugins du service en question etc...), autant pour le remplissage de tuyau tu ne peux rien faire. Si physiquement il y a 1 Gbps de données qui transitent dans ton câble de 1 Gbps t'auras beau installer le firewall le mieux configuré du monde, tant qu'il n'y aura pas filtrage en amont chez le provider, tu seras blackouted. Mais je crois que la majorité des attaques (en dehors des entreprises pour le profit) sont dues à des affaires pas très nets et que la meilleure manière d'éviter des attaques est de rester modeste et de ne pas parler aux inconnus. |
|
19-06-2013, 10h02
Message : #7
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Attaque Amplification DNS
(19-06-2013, 09h18)Ekroz a écrit : Si physiquement il y a 1 Gbps de données qui transitent dans ton câble de 1 Gbps t'auras beau installer le firewall le mieux configuré du monde, tant qu'il n'y aura pas filtrage en amont chez le provider, tu seras blackouted. yep +1 si la capacité de l'attaque dépasse celle de tes tuyaux y'a rien à faire à part subir malheureusement Citation :la meilleure manière d'éviter des attaques est de rester modeste et de ne pas parler aux inconnus. une considération sécuritaire à prendre avec des pincettes, presque borderline et applicable sans cas de conscience uniquement vis à vis d'une entreprise, la valeur business n'a elle pas de frontière donc... la fin justifie les moyens c'est le "vivons bien, vivons cachés" en somme, mais je cautionne très moyennement sur le principe (ok on s'en fout mais je voulais le dire :p) |
|
19-06-2013, 10h38
Message : #8
|
|
Ekroz
Membre actif Messages : 77 Sujets : 13 Points: 43 Inscription : May 2013 |
RE: Attaque Amplification DNS
J'ai précisé que ce n'était pas le cas pour les entreprises, car le profit entre en compte.
Mais par exemple, pourquoi certains petits sites se font attaquer régulièrement, et certains plus populaires ne le sont pas ? Parce que certains évitent de se faire des ennemis et pas d'autre... Après il y aura toujours un con pour essayer de faire chier le monde mais les attaques DDoS sont faites soit dans un but de chantage (pour les entreprises), soit dans un but revenchard/gueguerre. |
|
19-06-2013, 11h40
(Modification du message : 19-06-2013, 11h40 par notfound.)
Message : #9
|
|
notfound
#!/usr/bin/env bash Messages : 687 Sujets : 47 Points: 272 Inscription : Sep 2012 |
RE: Attaque Amplification DNS
(19-06-2013, 10h38)Ekroz a écrit : Après il y aura toujours un con pour essayer de faire chier le monde mais les attaques DDoS sont faites soit dans un but de chantage (pour les entreprises), soit dans un but revenchard/gueguerre. Ou par des SK pour une pseudo-cause dont ils ne comprennent même pas le pourquoi du comment. (cc An*nym*us FR) |
|
19-06-2013, 13h01
(Modification du message : 19-06-2013, 13h15 par gruik.)
Message : #10
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Attaque Amplification DNS
(19-06-2013, 10h38)Ekroz a écrit : pourquoi certains petits sites se font attaquer régulièrement, et certains plus populaires ne le sont pas ? comme un fait exprès je suis tombé sur quelque chose d'étrangement similaire sur une mailing-list où le gars un peu au bord du rouleau explique la même problématique (aujourd'hui même donc) : Citation :je pense que ce message sera peut être un prélude à la mort annoncé d'un opérateur / hébergeur local qui essaye de tirer son épingle du jeu et qui le paye très cher. après c'est sûr que la notion de "se faire des ennemis" - sous-entendu "l'avoir bien cherché" - pour une entreprise est sans doute assez large --- edit: --- la suite de la discussion par mail : Citation :Généralement les DDOS n'arrivent pas sans raisons. Surtout sur autant d'adresses comme vous l'expliquez ! (ndgruik un /22 entier apparement, soit +1000 IP en gros) de ce qu'il se dit la seule solution dans ce cas est de s'adresser au fournisseur de transit pour upgrade sur des tuyaux plus gros en urgence, tous ne le propose pas non plus à priori, une plaie quoi... |
|
19-06-2013, 19h18
Message : #11
|
|
FraKtaL
Membre Messages : 47 Sujets : 6 Points: 5 Inscription : Jan 2013 |
RE: Attaque Amplification DNS
Bonsoir !
Nous avons trouvé la cause =). Il s'agissait d'un concurrent pas content, suite à un marché public remporté par notre société. Après le travail technique, maintenant le travail judiciaire (Heureusement, ce n'est pas de mon ressort) ^^ Gruik, je suis inscrit sur FRNOG, j'ai essayer de prendre contact avec le directeur Technique de Firstheberg (personne qui est au bout du rouleau) afin d'essayer de trouver une solution en commun, mais ma requête a était sans réponse... |
|
19-06-2013, 22h29
Message : #12
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Attaque Amplification DNS
(19-06-2013, 19h18)FraKtaL a écrit : Nous avons trouvé la cause =). Il s'agissait d'un concurrent pas content, suite à un marché public remporté par notre société. ce doit être le con-exception qu'on évoquait ^^ Citation :Gruik, je suis inscrit sur FRNOG, j'ai essayer de prendre contact avec le directeur Technique de Firstheberg (personne qui est au bout du rouleau) afin d'essayer de trouver une solution en commun, mais ma requête a était sans réponse... ok, donc si je comprends bien toi tu es "juste" le client attaqué, et le fait que ça ait mis ton hébergeur dans tous ses états est "un effet de bord" lié à l'ampleur de l'attaque et manifestement les choix orientés low-cost de ce dernier ^^ tranche de vie dans le monde des télécoms |
|
20-06-2013, 19h03
Message : #13
|
|
FraKtaL
Membre Messages : 47 Sujets : 6 Points: 5 Inscription : Jan 2013 |
RE: Attaque Amplification DNS
(19-06-2013, 22h29)gruik a écrit : ok, donc si je comprends bien toi tu es "juste" le client attaqué, et le fait que ça ait mis ton hébergeur dans tous ses états est "un effet de bord" lié à l'ampleur de l'attaque et manifestement les choix orientés low-cost de ce dernier ^^ Nous ne sommes pas le client de Firtheberg =), mais il s'agit d'un problème presque identique. |
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 6 visiteur(s)