Help Attack DDOS type flooding!!!

xtriade · Le 05/03/2009, à 13:00

Bonjour,

Je lance un message de désespoir :
Depuis 3 jours je subis des attaques de type DDOS flooding sur mon routeur.
J'ai fais une maj du firmware du routeur , mais les attaques continuent.

pour lancer une page internet ca met des minutes !!!

Help please !
Merci

Grunt · Le 05/03/2009, à 13:14

Tu as une adresse IP fixe? un DNS dynamique? Un serveur chez toi? Des ennemis?

loubrix · Le 05/03/2009, à 13:17

c'est quoi comme routeur?

xtriade · Le 05/03/2009, à 13:39

Bonjour,

Oui j'ai une adresse fixe chez free.
Je suis derriere un routeur Dlink Di-524
Les attaques concernent le routeur, car j'ai détecté dans les logs " Attack DOS fragment flooding"
Ca dure à peu pres 10mn, puis recommence toutes les 20mn.

Merci

Grunt · Le 05/03/2009, à 13:50

Tu as l'adresse IP de l'attaquant?

Est-ce que tu fais tourner un serveur? (Web, SSH, TOR)
Ou une application de P2P? (torrent, ed2k)

xtriade · Le 05/03/2009, à 13:54

Grand_Grunt a écrit :

Tu as l'adresse IP de l'attaquant?
Est-ce que tu fais tourner un serveur? (Web, SSH, TOR)
Ou une application de P2P? (torrent, ed2k)

oui j'ai lancé Azureus en P2P
J'ai bien une idée de l'IP des attaquants relevé dans les logs de syslog.
Mais comment savoir si c'est l'IP du P2P ou du cracker ?

J'ai pour l'instant arrêter le P2P et changer son port d'ecoute plusieurs fois.

A preciser :dans le log du routeur je ne vois pas son IP
Il est derriere un proxy ?

Dernière modification par xtriade (Le 05/03/2009, à 13:55)

Grunt · Le 05/03/2009, à 14:00

Même s'il est derrière un proxy, tu devrais voir l'IP du proxy.

Ceci dit, une attaque "DDOS" est relayée par de nombreuses machines, l'attaquant ne l'effectue pas lui-même:
http://www.securiteinfo.com/attaques/hacking/ddos.shtml

Le conard qui t'attaque n'est donc pas détectable.

xtriade · Le 05/03/2009, à 14:08

que puis je faire contre ca ?
Même sur google , on dit qu'il est extremement tres difficile de contre ces types d'attaques.
Ils utilisent des bots , passent par des Irc, pour controler des machines zombies , pour faire des attaques !

Je n'ai pas détecté d'intrusion dans ma machine, seulement sur le routeur.
Evidemment lorsque ca se passe , ca bloque le net !

Grunt · Le 05/03/2009, à 14:10

Que faire, bonne question..

Porter plainte?
Je suis sérieux: seule la justice a les moyens de remonter au coupable.

xtriade · Le 05/03/2009, à 14:13

porter plainte peut prendre des années de procedures !
le pirate peut etre n'imorte où , et il aura disparu depuis longtemps.

Grunt · Le 05/03/2009, à 14:16

Désolé mais je ne vois pas d'autres solutions..

Tu peux toujours chercher, un par un, les imbéciles qui relaient ces attaques, et utiliser la fonction de "whois" pour savoir qui est le responsable de leur connexion, afin d'informer ledit responsable que leur machine relaie une attaque du type DDOS, et qu'ils ont intérêt à arrêter avant que tu ne portes plainte.
C'est lent et peu efficace.

Demande conseil à ton FAI, sinon.

xtriade · Le 05/03/2009, à 14:19

en tout cas, je continue de surveiller mes logs du routeur.
Depuis 45mn je n'ai plus d'attaque , il est parti manger ??

Grunt · Le 05/03/2009, à 14:19

Je pense que c'est automatisé..

loubrix · Le 05/03/2009, à 14:24

ça m'est déjà arrivé, et porter plainte ne sert à rien: ces attaques viennent de pays où ils n'en ont rien à foutre, et il n'y aura pas de suite....
il existe des solutions, mais elle sont impossibles à mettre en place, puisque tu utilises un routeur, dont les logiciels ne peuvent pas être modifiés (sauf par le fabricant); en plus, tu ne peux pas changer d'adresse IP (free oblige), ce qui aurait pu être une solution...
je t'encourage juste à durcir au maximum la sécurité de ce routeur en attendant mieux comme solution...

xtriade · Le 05/03/2009, à 14:32

oui c'est ce que j'ai fait sur le routeur, j'ai fermé tous les acces
je vais voir sur le site de dlink , il parait qu'ils mettent le code source du firmware sur leur site

merci à vous 2
@+

xtriade · Le 05/03/2009, à 14:36

je viens de trouver dans mon routeur que je peux ajouter des regles de pare-feux !
je vais donc rajouter une regle pour ce fils de p...

xtriade · Le 07/03/2009, à 18:04

Helo

Je voudrais savoir si certains d'entre vous qui possedent un routeur , si vous pouvez consulter SVP vos logs pour voir si vous n'avez pas d'attaque de type DOS ou DDOS (spoofing, fragment flooding ...etc)
Car j'ai continuellement des attaques de ce type sur mon routeur !!!

Merci d'avance

loubrix · Le 08/03/2009, à 00:57

désolé, j'ai une Livebox = aucun log fourni par cette sale bête...

par contre, la seule solution que je vois pour toi, hormis demander à Free de changer ton adresse IP (je ne sais pas s'ils accèderaient à ce genre de requête), c'est de te faire un routeur plus costaud (donc plus apte à résister aux attaques de type déni de service), et surtout plus paramètrable...
tu peux faire ça avec une vieille machine (un pentium 2 avec 128 Mo), équipée de 2 cartes ethernet (une que tu branches sur ta Box, l'autre sur un switch pour raccorder tes PCs), et sur laquelle tu installes une distribution spécialement dédiée à ce type de travail; un bon exemple serait M0n0wall, une distribution basée sur FreeBSD, très légère, très configurable, et surtout très résistante à ce genre d'attaque.
M0n0wall a une petite soeur, encore plus évoluée (mais aussi plus lourde): PFSense

J5012 · Le 08/03/2009, à 08:24

azureus ? donc sous windows ?
attention aux clients azureus sous windows, ils peuvent (et le sont souvent) contenir une signature pour situer ton routeur sur la toile, donc declencher la programmation de bots attaquants...

sous linux, utilises vuze en delocalise si tu peux (c'est tout aussi rapide que de passer par un serveur de nodes); attention certains fichiers distribues comportent un binaire avec signature pour activer les memes types de bots !

pour ton routeur, config le en no response (pas de reponse au ping), n'ouvre aucun port autre que le 80 http; utilise la fonction nat http de azureus si compile dans le client.

Grunt · Le 08/03/2009, à 12:34

Azureus est écrit en Java, donc ne dépend pas de l'OS qui l'héberge: Windows, GNU/Linux, Mac OS..

xtriade · Le 08/03/2009, à 12:40

J5012 a écrit :

azureus ? donc sous windows ?
attention aux clients azureus sous windows, ils peuvent (et le sont souvent) contenir une signature pour situer ton routeur sur la toile, donc declencher la programmation de bots attaquants...
sous linux, utilises vuze en delocalise si tu peux (c'est tout aussi rapide que de passer par un serveur de nodes); attention certains fichiers distribues comportent un binaire avec signature pour activer les memes types de bots !
pour ton routeur, config le en no response (pas de reponse au ping), n'ouvre aucun port autre que le 80 http; utilise la fonction nat http de azureus si compile dans le client.

Salut,
J'utilise Deluge, Vuze sous Linux.
Pour mon routeur j'ai tout parametré , pas de "echo ping", rien que le port 80 ouvert.
C'est un routeur pour grand public à 2 sous (D-link)

J'ai fait des tests sous nmap, essayer de scanner le routeur.
Resultat nmap m'affiche un score=62 , autant dire tres faible; et tres facile pour les pirates non ?

Ayral · Le 08/03/2009, à 12:45

Bonjour
Dans un grand nombre d'établissements d'enseignement, nous utilisons IpCop pour protéger nos réseaux. Monté avec 3 "pattes" (cartes réseaux, on peut monter à 4 cartes sur un ipcop) on peut relier le lan avec la carte "verte", le wan avec la rouge, une rose sur la DNZ et une orange pour le Wifi. Ensuite on rajoute les addons comme OpenVpn pour la prise de contrôle à distance, BOT pour le contrôle des ports, URL filter pour le filtrage des requêtes de élèves, etc. Tout ça se contrôle au petit poil, les ports s'ouvrent et se ferment en fonction des applis administratives et pédagogiques. Tout ça s'installe sur une vieille bécane sans problème.
Edit
http://www.ipcop.org/?newlang=fra

Dernière modification par Ayral (Le 08/03/2009, à 12:46)

xtriade · Le 08/03/2009, à 12:54

Bonjour Ayral
Merci pour l'info, je regarde le lien
Suis en train de regarder fwbuilder , mais pas facile car pas de doc en pdf , uniquement en ligne
C'est tres mal foutu leur doc en ligne

@+

Ayral · Le 08/03/2009, à 13:07

Il existe sur Ipcop de nombreuses documentations, en ligne et en pdf au choix, basiques ou extrêmement détaillées, chaque extension ou addin possède aussi sa doc. Le tout est bien sûr libre. Atteention à la version des addons qui doit être compatible avec celle d'ipcop, souvent en avance sur celle des addons...
Au boulot cette semaine j'ai installé ipcop de base sur le réseau admin (à 2 pattes) et cette semaine je vais tenter l'install de Zelina (openvpn).
Pour prendre la main depuis un pc sous xp, il suffit d'installer Winscp (http://winscp.net/eng/docs/lang:fr) et putty (http://www.framasoft.net/article1023.html) et le travail est facile sans mettre ni clavier ni écran à la station ipcop.

xtriade · Le 16/03/2009, à 20:37

Bonjour,
Aujourd'hui encore je subis des attaques de type SYN Flood, ou d'autres attauqes de type DOS par des connards de script-kiddies qui n'ont rien à foutre de leur temps.

En lancant le scanner de port "nmap" sur mon routeur , j'ai découvert que le port 515 (printer) est ouvert alors que la semaine derniere le scan n'a rien détécté. Jamais je n'ai autorisé l'ouverture de ce port 515.
Mon imprimante est locale branchée sur le port LPT.

Remmonté en bloc par ces multiples attaques Je décide alors de lancer:
- "chkrootkit" , et là il me dit que : "checking scalper ....Warning :Possible Scalper Worm installed"
- "rkhunter" ne me trouve rien.

Questions :
Comment fermer le port 515 sur mon routeur ? Car Je suis allé dans l'interface de gestion du routeur ,mais tout est fermé , à part le port 80 .

Chkrootkit me dit qu'il y a probablement un ver installé , mais il ne me dit pas où et quel fichier ou programme infecté !

Je sens que je vais reinstaller le pingouin ...:(

@+

Dernière modification par xtriade (Le 16/03/2009, à 20:40)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 05/03/2009, à 13:00

Help Attack DDOS type flooding!!!

#2 Le 05/03/2009, à 13:14

Re : Help Attack DDOS type flooding!!!

#3 Le 05/03/2009, à 13:17

Re : Help Attack DDOS type flooding!!!

#4 Le 05/03/2009, à 13:39

Re : Help Attack DDOS type flooding!!!

#5 Le 05/03/2009, à 13:50

Re : Help Attack DDOS type flooding!!!

#6 Le 05/03/2009, à 13:54

Re : Help Attack DDOS type flooding!!!

#7 Le 05/03/2009, à 14:00

Re : Help Attack DDOS type flooding!!!

#8 Le 05/03/2009, à 14:08

Re : Help Attack DDOS type flooding!!!

#9 Le 05/03/2009, à 14:10

Re : Help Attack DDOS type flooding!!!

#10 Le 05/03/2009, à 14:13

Re : Help Attack DDOS type flooding!!!

#11 Le 05/03/2009, à 14:16

Re : Help Attack DDOS type flooding!!!

#12 Le 05/03/2009, à 14:19

Re : Help Attack DDOS type flooding!!!

#13 Le 05/03/2009, à 14:19

Re : Help Attack DDOS type flooding!!!

#14 Le 05/03/2009, à 14:24

Re : Help Attack DDOS type flooding!!!

#15 Le 05/03/2009, à 14:32

Re : Help Attack DDOS type flooding!!!

#16 Le 05/03/2009, à 14:36

Re : Help Attack DDOS type flooding!!!

#17 Le 07/03/2009, à 18:04

Re : Help Attack DDOS type flooding!!!

#18 Le 08/03/2009, à 00:57

Re : Help Attack DDOS type flooding!!!

#19 Le 08/03/2009, à 08:24

Re : Help Attack DDOS type flooding!!!

#20 Le 08/03/2009, à 12:34

Re : Help Attack DDOS type flooding!!!

#21 Le 08/03/2009, à 12:40

Re : Help Attack DDOS type flooding!!!

#22 Le 08/03/2009, à 12:45

Re : Help Attack DDOS type flooding!!!

#23 Le 08/03/2009, à 12:54

Re : Help Attack DDOS type flooding!!!

#24 Le 08/03/2009, à 13:07

Re : Help Attack DDOS type flooding!!!

#25 Le 16/03/2009, à 20:37

Re : Help Attack DDOS type flooding!!!

Pied de page des forums