Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1048 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  Activité anormale sur bbox

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Activité anormale sur bbox

n°1133615
maximizeup
Posté le 19-08-2020 à 16:21:04  profilanswer
 

Bonjour,
 
J'espère poster au bon endroit.  
 
Depuis quelques semaines, je constatais sur mon interface de gestion bbox (fibre) un panneau "conntrack trop de trafic" sur la page principale.
Tout fonctionnait bien.
 
En lien ou pas avec ce phénomène, je constate ce matin que je n'ai plus accès au ssh de deux de mes abonnés (raspberry pi), ni à mes caméras ip.
 
En allant dans l'interface de gestion / diagnostic / trafic, je vois l'indicateur "sessions" à la taquet et à 108% (?) due à un des abonnés : en l'occurrence l'une des caméras IP.
 
Je débranche la caméra : le trafic redevient normal et tout le reste du réseau aussi (ssh, caméras,..).
J'ai attendu 1heure avant de rebrancher la caméra : tout est resté normal y compris la caméra incriminée.  
 
L'indicateur 'session' de l'interface de gestion bbox reste très faible, par contre j'ai toujours le message Conntrack sur la page d'accueil.  
 
Pensez vous que ma caméra a subi une attaque ayant provoqué un déni de service?  
C'est une cam chinoise (avec login/mdp personnalisés), je n'ignore pas que leurs firmwares sont plein de backdoors, mais c'est la première fois que je rencontre ce phénomène en 20ans.
 
Merci de vos lumières !  

mood
Publicité
Posté le 19-08-2020 à 16:21:04  profilanswer
 

n°1133619
mirtouf
Light is right !
Posté le 19-08-2020 à 16:43:59  profilanswer
 

Est-ce que la caméra se retrouve sur https://www.insecam.org/ ? :D
Sinon il peut simplement s'agir d'une tentative d'accès à la caméra par des bots.
Est-ce que celle-ci s'octroie des ouvertures de ports ?
Si tel est le cas, je commencerais par limiter les IP pouvant se connecter à la caméra hors du réseau local.


---------------
-~- Libérez Datoune ! -~- Camarade, toi aussi rejoins le FLD pour que la flamme de la Révolution ne s'éteigne pas ! -~- A VENDRE
n°1133633
maximizeup
Posté le 19-08-2020 à 17:46:43  profilanswer
 

mirtouf a écrit :

Est-ce que la caméra se retrouve sur https://www.insecam.org/ ? :D
Sinon il peut simplement s'agir d'une tentative d'accès à la caméra par des bots.
Est-ce que celle-ci s'octroie des ouvertures de ports ?
Si tel est le cas, je commencerais par limiter les IP pouvant se connecter à la caméra hors du réseau local.

 

Merci de ta réponse.
Non à priori elle n'est pas sur insecam.
Elle ne s'attribue pas d'autre port que celui nécessaire pour que j'y accède de l'extérieur via un dns dynamique et une redirection de port.

 

Je penche aussi pour un bot (les log de tentatives de connection sur pi m'ont déjà montré que c'est réel !) . Mais de la à bloquer le bon fonctionnement de certains services de mon réseau !?

 

Par ailleurs as tu une idée du message Conntrack résiduel ?

 

Merci

n°1133647
mirtouf
Light is right !
Posté le 19-08-2020 à 19:45:38  profilanswer
 

Difficile à dire, il y a plusieurs variables conntrack dans le noyau:
https://www.kernel.org/doc/Document [...] sysctl.txt
 
Sans doute que la valeur nf_conntrack_max est dépassée en cas d'attaques.
Seul hic, la bbox ne permet pas de modifier cette valeur et en cas de dépassement, cela pose problème, il me semble que les connexions entrantes sont DROP.


---------------
-~- Libérez Datoune ! -~- Camarade, toi aussi rejoins le FLD pour que la flamme de la Révolution ne s'éteigne pas ! -~- A VENDRE
n°1133668
maximizeup
Posté le 19-08-2020 à 22:42:14  profilanswer
 

mirtouf a écrit :

Difficile à dire, il y a plusieurs variables conntrack dans le noyau:
https://www.kernel.org/doc/Document [...] sysctl.txt

 

Sans doute que la valeur nf_conntrack_max est dépassée en cas d'attaques.
Seul hic, la bbox ne permet pas de modifier cette valeur et en cas de dépassement, cela pose problème, il me semble que les connexions entrantes sont DROP.

 

Merci pour toutes tes indications.
J'ai juste à croiser les doigts pour que ça n'arrive plus.

 

Si je n'avais pas été chez moi pendant longtemps, je n' aurais pas pu éteindre l'abonné incriminé et j'aurais bien été embêté !


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  Activité anormale sur bbox

 

Sujets relatifs
Asus RT-AX92U derière une Bbox wifi 6 et IPTVBbox Smart TV et prises murales
Debit max sur Bbox must à 1gb possible ?[Résolu] Possible infection sur réseau local (Bbox) ?
Jeux qui fais désynchroniser la box (bbox)Bbox TV via switch WRT54G
Double NAT Google Wifi & BBOX MiamiBBox et opérateur immeuble Free Fibre
Mise en place d'un Wake On Wan (avec Bbox)BBOX F@st5330b & ASUS DSL-AC68U (Paramètrage)
Plus de sujets relatifs à : Activité anormale sur bbox


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR