Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2980 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  Attaques dos (ddos?)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Attaques dos (ddos?)

n°562310
Wankised
Posté le 26-01-2012 à 15:54:04  profilanswer
 

Bonjour, bonjour.
 
Depuis une semaine, des petits malins n'arrêtent pas de faire planter ma connexion.
 
Loin d'avoir une maîtrise parfaite de l'outil informatique, j'ai du me documenter un moment avant de comprendre la méthode utilisée.  
Il semblerait que suite à l'obtention de mon adresse ip, (via teamspeak [vous dire à quel point mes détracteurs sont des users lambda...]) j'ai été ciblé par des attaques dos, ou ddos je ne sais pas trop quelle est la différence.
 
Le fait est que, suite à ma documentation, j'ai compris qu'il fallait bloquer l'accès à ma machine, via l'ouverture et la fermeture des ports.  
Bon, bon... ouvrir et fermer un port c'est pas compliqué avec les interfaces freebox v5, mais quel port ouvrir, quel port fermer? Je ne sais même pas par quel port passent les attaques.
 
J'ai essayé, suite à mes recherches (qui m'ont quand même amenées sur des topics de 2003... merci LENET®), de fermer certains ports, d'installer un nouveau firewall et de le configurer un peu (ZoneAlarm), mais les attaques n'ont pas cessées.  
 
Mon ennemi étant un utilisateur lambda, connecté sur IRC (quakenet), je me suis dis que je pouvais peut être bloqué son IP dans le firewall windows, de façon à l'empêcher d'entrer en communication avec ma machine... Une heure plus tard, j'avais toujours le net avec un bon 10 de ping en moyenne. Soit j'ai réussi à le bloquer via son ip, soit les attaques ont cessées.
 
Voilà, je me devais de vous raconter l'histoire pour que vous ayez tous les éléments. Ma question est la suivante:
 
nous sommes en 2012, existe-il un réel moyen de se protéger contre cette menace? (une attaque = 10 mins de lag puis une heure sans le net puis 30 mins de lag...)
 
Merci de ne pas écrire "contrer une attaque dos" ou "éviter une attaque dos" sur google et de me link le premier topic ou site avec le même titre que vous verrez en me signalant bien que "google est mon amis". Google c'est mon meilleur pote et je lui ai déjà demandé, il m'a envoyé sur du topic 2005 en moyenne. Je cherche un moyen récent d'éviter ce genre d'attaques.
 
Windows 7 PRO 6.1 > SP1 (full MAJ).
Tous les drivers à jours.
AVG Free + CCleaner (full MAJ) + scans réguliers.
Windows Firewall activé.
 
Merci d'avance.
 
WANK

mood
Publicité
Posté le 26-01-2012 à 15:54:04  profilanswer
 

n°562313
Misssardon​ik
prévisible a posteriori
Posté le 26-01-2012 à 16:27:28  profilanswer
 

dos c'est pour "Denial of service", autrement dit "non-fonctionnement", ça veut tout dire et rien dire, il n'y a donc pas de manière générique de régler cela.  
Est-ce ta connexion ou ta machine qui est attaquée, pour commencer ?


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
n°562314
Wankised
Posté le 26-01-2012 à 16:30:12  profilanswer
 

Je pense pas que ça soit la machine, pendant les attaques j'avais juste un ping monstre pendant un moment, puis une déco totale du net; mais aucun lag au niveau de la machine.

n°562315
Misssardon​ik
prévisible a posteriori
Posté le 26-01-2012 à 16:32:16  profilanswer
 

dans ce cas c'est pas avec une action sur ta machine que tu feras quoi que ce soit, il faut voir au niveau de ton modem/routeur.
Et si c'est juste de flood pour surcharger ta ligne il n'y a rien à faire.


Message édité par Misssardonik le 26-01-2012 à 16:32:37

---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
n°562316
Wankised
Posté le 26-01-2012 à 16:37:27  profilanswer
 

Il me semble que c'est juste du flood sur la ligne oui, étant donné le nombre de connections que j'avais en time_wait...

 

Et au niveau de mon routeur/modem (freebox V5), quoi faire? Fermer des ports, ok, mais lesquels et pourquoi?

 

Sinon j'ai aussi lu (topic de 2006, remerci LENET®) que les v5 étaient vraiment mal conçues au niveau de la gestion des connections entrantes & parfois sortantes, et qu'il était préférable de passer sa box en mode modem et de passer par un routeur... Solution coûteuse & douteuse, j'ai aucune idée du pourquoi/comment ça irait mieux après avoir installer tout ça.

 

Est-ce que la nouvelle freebox est plus sécurisée que ma v5 et m'éviterait ce genre de problèmes?

Message cité 1 fois
Message édité par Wankised le 26-01-2012 à 16:38:14
n°562317
Misssardon​ik
prévisible a posteriori
Posté le 26-01-2012 à 16:39:25  profilanswer
 

c'est pas forcément une question de sécurité, si quelqu'un te sature ta ligne peu importe les équipements que tu as et comment ils sont paramétrés, ça marchera pas.
 
Maintenant en espérant que ce ne soit pas ça tu peux essayer avec un autre matériel oui.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
n°562318
Wankised
Posté le 26-01-2012 à 16:44:39  profilanswer
 

Free me confirme que ma ligne a été saturée à plusieurs reprises, me donne l'adresse IP de l'attaquant (ip que j'avais déjà...) en me proposant de déposer plainte.
 
Je leur demande une solution technique pour régler le problème et leur seule et unique réponse et de changer mon IP actuelle... Comme si ça pouvait résoudre le problème sur le long therme...
 
Bon on va changer un peu le topic alors.  
Existe-il un moyen efficace de cacher son IP sur les principaux logiciels ou il est vraiment ('trop') facile de trouver votre adresse. Genre teamspeak, IRC, skype, msn etc...

n°562319
Wankised
Posté le 26-01-2012 à 16:45:08  profilanswer
 

"Nous ne sommes pas responsables" vient d'ajouter la nana du service client.... GROAR

n°562320
Misssardon​ik
prévisible a posteriori
Posté le 26-01-2012 à 16:54:24  profilanswer
 

Wankised a écrit :

"Nous ne sommes pas responsables" vient d'ajouter la nana du service client.... GROAR


 
ben c'est vrai [:spamafote] tu accuserais pas le facteur de t'amener du courrier en trop grande quantité...


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
n°562323
Wankised
Posté le 26-01-2012 à 16:59:54  profilanswer
 

C'est pas faux... Cela dit c'est limite un vide juridique.

 

Les gens ne contactent plus les forces de l'ordre quand ils se font faire les poches alors genre je vais aller déposer plainte pour une saturation de ligne... On va me contacter 8 mois plus tard pour me dire "on a localiser la personne responsable". Non merci.

 

J'suis sur une bonne piste pour rester plus ou moins discret et laisser le moins de traces possible (de son IP) sur le net.
C'est quand même dingue qu'un utilisateur lambda comme moi (je me sert de l'informatique pour travailler (dessin) et pour jouer en viennent à ça, en 2012.


Message édité par Wankised le 26-01-2012 à 17:01:40
mood
Publicité
Posté le 26-01-2012 à 16:59:54  profilanswer
 

n°562363
Wankised
Posté le 26-01-2012 à 19:00:37  profilanswer
 

Tu serais pas dispo sur skype pour discuter de ça (entre autre) vite fait?
 
Si oui add me: "rikiimaaru", dans le cas contraire j'up dès que j'avance un peu, ce qui n'est pas le cas :p.
 
Encore merci pour ton aide!

n°562366
o'gure
Multi grognon de B_L
Posté le 26-01-2012 à 19:31:53  profilanswer
 

Wankised a écrit :

Free me confirme que ma ligne a été saturée à plusieurs reprises, me donne l'adresse IP de l'attaquant (ip que j'avais déjà...) en me proposant de déposer plainte.

 

Je leur demande une solution technique pour régler le problème et leur seule et unique réponse et de changer mon IP actuelle... Comme si ça pouvait résoudre le problème sur le long therme...

 

Bon on va changer un peu le topic alors.
Existe-il un moyen efficace de cacher son IP sur les principaux logiciels ou il est vraiment ('trop') facile de trouver votre adresse. Genre teamspeak, IRC, skype, msn etc...


Si tu n'as q'une et une seule adresse IP qui "t'attaque" => DoS et non DDoS. un DDoS c'est un DoS distribué : attaque coordonnées de plusieurs machines infectées généralement.

 

Si c'est un DoS, le minimum, c'est de faire whois sur l'adresse IP, tu récupères le mail générique abuse@machin, et tu envoies un mail à cette adresse en anglais et en étayant des propos (horodatage des faits, éventuellement log si tu as). Y a une chance pour que cela fonctionne.


Message édité par o'gure le 26-01-2012 à 19:33:27
n°562367
o'gure
Multi grognon de B_L
Posté le 26-01-2012 à 19:38:16  profilanswer
 

Wankised a écrit :


Et au niveau de mon routeur/modem (freebox V5), quoi faire? Fermer des ports, ok, mais lesquels et pourquoi?

Si le trafic vient d'internet pour te flooder, s'il arrive à ta freebox, tu ne peux rien faire sinon attendre que ça s'arrête (le mail à l'abuse du fai peut éventuellement faire avancer les choses.
Mais fermer des ports (déjà je pense que tu ne sais pas ce qu'est un port udp/tcp) ne servira à rien. Le tafic arrivera déjà à ta box...

Wankised a écrit :


Est-ce que la nouvelle freebox est plus sécurisée que ma v5 et m'éviterait ce genre de problèmes?


non, le problème est qu'on te sature un tuyaux. On envoie plus de trafic dans le tuyaux qu'il ne peut en écouler. ça bouchonne. Changer le matos à un bout ne fera rien [:spamafote]

 

Prends un tuyaux pouvant laisser passer 1m³/s d'eau, essaye d'y faire passer 2m³/s dans un sens, ton tuyau est saturé. Mettre un gros robinet ou un tout petit à l'autre bout ne servira à rien...

 


edit: par ailleurs, le fait que l'on soit en 2012  ne change rien.
  1. de la tuyauterie c'est de la tuyauterie
  2. il existe des mécanismes permettant de limiter l'impact, mais on ne le fera jamais pour un client résidentiel


Message édité par o'gure le 26-01-2012 à 19:42:25
n°562368
Wankised
Posté le 26-01-2012 à 19:43:55  profilanswer
 

Ok, donc on est bien dans le cas d'une attaque Dos.

 

Je ne sais pas ce que c'est un port udp/tcp en effet j'ai pas trop cherché à creusé, c'est une sorte de porte j'ai pas trop envie d'en savoir plus je suis déjà bien perdu.

 

Sur un autre forum un type m'a signalé que c'était certainement une attaque via de simples requêtes ping à l'aide d'un flooder.

 

Cela dit il me semble que le service ICMP (le truc du ping) est désactivé sur ma machine, j'ai vérifié dans le firewall.

 

Ca serait donc à l'aide d'une autre requête, mais laquelle? Si il n'existe aucun moyen de refuser la requête, existe-il une solution pour la limiter?

 

Le tuyau peut amener mille requêtes, si le robinet n'en laisse passer que deux cents, c'est dans la poche non?

 

Quelque chose du genre quoi...

 

Merci de votre aide

 


edit: 2* ces moyens sont ils accessibles tout de même à un particulier?
REedit: genre je dis à ma freebox "si y a plus de X requêtes = en laisser passer autant" nan? et les autres au lieu de les foutre en time_wait ça les refuserait cash... ça serait tellement beau.

Message cité 2 fois
Message édité par Wankised le 26-01-2012 à 19:50:05
n°562372
o'gure
Multi grognon de B_L
Posté le 26-01-2012 à 19:51:32  profilanswer
 

Wankised a écrit :

Le tuyau peut amener mille requêtes, si le robinet n'en laisse passer que deux cents, c'est dans la poche non?


Heu non...
Tu as déjà rempli un tuyau d'eau avec un robinet qui fait du goutte à goutte d'un côté et un karcher de l'autre? [:pingouino]
Ben essaye d'y faire passer une goutte d'huile colorée dans le sens karcher -> robinet et attends la patiemment

 

Par ailleurs si tu as des time_wait, ce n'est pas de l'icmp

 
Wankised a écrit :

edit: 2* ces moyens sont ils accessibles tout de même à un particulier?


Non. Cela demande une intervention/coopération du FAI.
Certains FAI pro le propose pour des sites internet important afin d'éviter que le business ne soit stoppé. Pour un particulier c'est pas rentable/pas intéressant/trop contraignant

 

La seule et unique chose que tu peux faire c'est :
1. voir pour changer d'adresse IP
2. mail@abuse

 



Message édité par o'gure le 26-01-2012 à 19:58:20
n°562373
o'gure
Multi grognon de B_L
Posté le 26-01-2012 à 19:56:42  profilanswer
 

Wankised a écrit :

REedit: genre je dis à ma freebox "si y a plus de X requêtes = en laisser passer autant" nan? et les autres au lieu de les foutre en time_wait ça les refuserait cash... ça serait tellement beau.


Nan mais ta vision d'un accès ADSL est fausse...
T'as 10000 paquets par secondes qui rentre par le DSLAM, ils vont aller jusqu'à la freebox
si ton accès ne supporte pas plus de 1000 paquets par second, t'as beau mettre tes règles côté freebox, le 1001 paquets venant d'internet et cherchant à entrer dans ton minuscule accès ADSL, il va se faire jeter...


                 minuscule tuyau               Gros tuyau
                       |                           v
                       v                  __________________
Freebox =========================== DSLAM __________________ internet

 

Tu 5000 paquets/s qui essayent de rentrer dans ton petit tuyau qui ne peut en supporter que 1000/s
ton tuyaux est remplis

Message cité 1 fois
Message édité par o'gure le 26-01-2012 à 19:57:52
n°562374
Wankised
Posté le 26-01-2012 à 19:57:36  profilanswer
 

C'est pas de l'IMCP, il est archi désactivé.  
 
Changer d'IP ouais je vais le faire, free me l'a proposé. Mais c'est tellement simple de trouver l'adresse IP...
 
Je vais me diriger dans ce sens, essayer de voir quels sont les moyens efficace pour masquer l'adresse du FAI au moins sur les logiciels comme teamspeak, skype etc déjà cités.  
 
Ca évitera au moins d'être attaqué par un petit con qui a simplement à regardé à côté de mon pseudo pour voir mon adresse et me spam' avec un log à dix euros XD.
 
Merci à tous pour votre aide et vos explications en tout cas =)!
 
Je re-up si je trouve un truc bien.

n°562375
Wankised
Posté le 26-01-2012 à 19:59:29  profilanswer
 

o'gure a écrit :

Tu 5000 paquets/s qui essayent de rentrer dans ton petit tuyau qui ne peut en supporter que 1000/s
ton tuyaux est remplis


 
Ouais ok j'vois le genre.

n°562376
o'gure
Multi grognon de B_L
Posté le 26-01-2012 à 20:00:42  profilanswer
 

Wankised a écrit :

C'est pas de l'IMCP, il est archi désactivé.


Aucun rapport avec le fait qu'il soit désactivé. Le gars en face il ne va pas te demander "heu, ton ICMP est activé ? je peux t'en envoyer pour te flooder ?" il fait ce qu'il veut, il envoie ce qu'il veut. Si son objectif c'est de remplir ton petit tuyaux d'accès, peut importe ce que c'est.

n°562381
Wankised
Posté le 26-01-2012 à 20:06:47  profilanswer
 

Pas faux.

n°704307
pyloux
Posté le 05-10-2013 à 11:08:41  profilanswer
 

Une solution qui n'a pas été apporté sur ta dernière interrogation, est l'utilisation de proxy ou VPN afin de "masquer" ton adresse IP.
 
Cela peut-être contraignant (lag) mais bon.. A toi d'en trouvé un correcte, il en existe des gratuits et payant.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  Attaques dos (ddos?)

 

Sujets relatifs
Je suis victime d'attaque DDOS !Kaspersky et les attaques en réseau
Attaques Syn / DDoS en generalAttaques sur FTP?
Attaques à répétition ? 
Plus de sujets relatifs à : Attaques dos (ddos?)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR