IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

OVH victime de la plus violente attaque DDoS jamais enregistrée


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 916
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 916
    Points : 206 644
    Points
    206 644
    Par défaut OVH victime de la plus violente attaque DDoS jamais enregistrée
    OVH victime de la plus violente attaque DDoS jamais enregistrée,
    par un botnet de caméras connectées qui n'étaient pas sécurisées

    OVH, l’un des hébergeurs les plus importants en Europe, a été victime d’une attaque par déni de service avec un débit supérieur au térabit par seconde. C’est le fondateur et actuel dirigeant d’OVH, Octave Klaba, qui l’a annoncé dans un tweet. Il a partagé une capture d’écran où sont listées uniquement les attaques de plus de 100 Gbps. « Vous pouvez voir que les DDoS simultanés sont proches de 1 Tbps », a-t-il indiqué en affichant la capture ci-dessous.


    Il a également partagé une capture d’écran qui prouve que les attaques visant OVH ont atteint des pics de trafic respectifs de 1156Gbps puis 901Gbps.


    Selon lui, cette attaque est due à un botnet qui est constitué de 145 607 caméras de surveillances IP, visiblement non protégées, et qui ont été capables de lancer une attaque DDoS de plus de 1,5 térabit par seconde.

    À en croire le chercheur en sécurité Mustafa Al-Bassam, il s’agissait là de la plus violente attaque DDoS jamais enregistrée dans l’histoire de l’Internet : « un botnet de caméras insécurisées a littéralement provoqué l’attaque DDoS la plus lourde du monde », a-t-il indiqué dans un tweet.

    Une attaque qui n’a toutefois pas réussi à faire plier les serveurs d’OVH même si elle a provoqué quelques ralentissements. La question qu’il convient tout de même de se poser c’est : que ce serait-il passé si l’attaque avait été dirigé vers une autre structure d’hébergement plus modeste ? Il faut dire que cette situation sera sans doute appelée à se reproduire. Les chercheurs en sécurité multiplient les rapports sur la faiblesse de la sécurité des objets connectées comme le réfrigérateur RF28HMELBSR de Samsung : bien que l'appareil prenne en compte les connexions chiffrées en SSL / TLS, il ne vérifiait pas l'authenticité des certificats, permettant ainsi la réalisation d’une attaque de type « Man in the middle » pour intercepter les données de connexion.

    Notons qu’il ne s’agit pas là d’une première attaque réalisé par un botnet d’objets connectés. En 2014 oar exemple, la société de sécurité Proofpoint avait déjà repéré un botnet d’objets connectés, dédié à l’envoi de spam et de courriels infectés.

    Il ne s’agit même pas de la première attaque par déni de service qui s’appuie sur des caméras connectées. En octobre 2015, les chercheurs d’Incapsula avaient découvert des attaques DDoS provenant d’un botnet de 900 caméras connectées. En juin 2016, la société Sucuri avait détecté un botnet de 25.000 caméras connectées.

    Arnaud Cassagne, Directeur du développement de l’intégrateur Cheapset, groupe Newlode, livre son analyse sur l’utilisation d’objets connectés pour réaliser ce type d’attaques, tout en prédisant une montée en puissance de ce types de cas :

    « La sécurité des objets connectés est encore aujourd’hui clairement défaillante. Penchons-nous sur la réalité des sociétés qui fournissent des objets connectés :
    • elles utilisent des logiciels libres comme base de développement, et les systèmes d’exploitation sont souvent faillibles.
    • internet est la solution la plus rentable et la plus simple pour l’interconnexion des objets avec leurs « centres de contrôle ». Les moyens d’échanges ne sont pas toujours sécurisés (versions de SSL / TLS pas à jour, donc potentiellement vulnérable).
    • des contraintes de temps pour se positionner sur un marché. Il faut aller vite à l’essentiel. La sécurité se retrouve souvent mise sur la touche. Le focus est mis sur l’ergonomie et le design.
    • le mode connecté 24/24 7/7 fait qu’il est très compliqué de faire des mises à jour et de corriger les failles.

    Pour toutes ces raisons, les objets connectés, qui sont de plus en plus nombreux et performants, sont la cible des périodes. Grâce aux objets connectés, il est très facile pour les cybercriminels de définir le moment idéal de la journée pour pirater une machine domestique connectée - et potentiellement créer un botnet pour mener des attaques d’envergure ou voler des données. Il leur suffit d’accéder aux caméras sur IP installées, ou encore de consulter les données du thermostat connecté de la maison pour connaître les heures de présence des habitants…

    Nous pouvons clairement prédire aujourd’hui qu’il y aura de plus en plus d’attaques de ce type. Les objets connectés sont plus faciles à trouver que les équipements installés sur un réseau d’entreprises mieux sécurisé. Nous observons aujourd’hui que des entreprises disposant d’un grand nombre de mécanismes de sécurité se font quand même voler des données. Alors que penser d’une infrastructure IoT (Internet des objets) un peu plus jeune…

    La sécurité sera demain le nerf de la guerre pour les éditeurs. Mais la sécurité est coûteuse, et nécessite de prendre du temps, et d’avoir des ressources. Il faudra surement plusieurs attaques massives et visibles avant que tous les acteurs fassent le nécessaire. Les grosses entreprises le font pour la plupart, car elles avaient déjà une démarche au sein de leurs infrastructures. Mais les plus petits n’ont pas forcément cette maturité, ni les moyens nécessaires.

    Comment se prémunir ? En analysant les risques, et en essayant de réduire la surface d’exposition. C’est assez naturel pour une entreprise, mais moins pour les particuliers. La sensibilisation du grand public n’est pas simple. Les éditeurs devraient néanmoins partager quelques bonnes pratiques ».


    Source : Tweet Mustapha Al-Bassam, Tweet Octave Klaba

    Voir aussi :

    Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

  2. #2
    Expert éminent sénior
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    Juillet 2012
    Messages
    1 514
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : Juillet 2012
    Messages : 1 514
    Points : 11 323
    Points
    11 323
    Par défaut
    Ah ces objets connectés et notamment les caméras IP, voir cette expérience de 2014 ci-après pour les petites structures et les particuliers; combien de temps faudra-t-il pour que le "grand public" en prenne conscience et que les fabricants, éditeurs réagissent ?

    J’ai pris le contrôle de votre caméra et je vous ai retrouvés

  3. #3
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juin 2012
    Messages
    1 711
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juin 2012
    Messages : 1 711
    Points : 4 442
    Points
    4 442
    Par défaut
    Est-ce une "vraie" attaque ? Ou un avertissement
    "On vise quelqu'un qui sentira l'attaque passer, mais qui devrait pouvoir la gérer pour montrer ce qu'il est possible de faire si rien ne change".
    vs
    "lolol on va faire tomber OVH avec 'seulement' 1Tbit/s; de plus on va attaquer de nuit, quand les gens dorment et l'activité sur le réseau est plus calme".

  4. #4
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 270
    Points : 7 792
    Points
    7 792
    Billets dans le blog
    3
    Par défaut
    Le dernier paragraphe de l'article me semble arriver comme un coup de pub injustifié. Autant je vois le rapport avec le DDoS, autant le rapport est vraiment ténu car ça ne couvre que les hébergeurs de news (DVP utiliserait-il cette solution et en ferait la pub ici ?). Pour un bien il aurait fallu lister plusieurs solutions de façon à donner des pistes au plus grand monde.

  5. #5
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 692
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 692
    Points : 20 243
    Points
    20 243
    Par défaut
    Quelqu'un à des infos sur comment le flux des caméras à pu être redirigé vers la cible de l'attaque ?

  6. #6
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par Iradrille Voir le message
    Est-ce une "vraie" attaque ? Ou un avertissement
    "On vise quelqu'un qui sentira l'attaque passer, mais qui devrait pouvoir la gérer pour montrer ce qu'il est possible de faire si rien ne change".
    vs
    "lolol on va faire tomber OVH avec 'seulement' 1Tbit/s; de plus on va attaquer de nuit, quand les gens dorment et l'activité sur le réseau est plus calme".
    1 DDOS de 1Tbits/s n'a rien d'anodin, c'est vraiment énorme. Quelques jours auapravant c'était KrebsOnSecurity qui était touché par un énorme DDOS, probablement par le même botnet. Botnet qui à l'air de continuer à monter en puissance. OVH a récemment développer une architecture anti DDOS assez costaud pour protéger toute son infra. Je crois qu'elle protège dans l'ordre de quelques TBits/s. C'est déjà une grosse avancée pour la protection des réseaux mais on voit qu'on en approche déjà la limite. Certains clients ovh ont surement était tout de même impacté.

    Citation Envoyé par grunk Voir le message
    Quelqu'un à des infos sur comment le flux des caméras à pu être redirigé vers la cible de l'attaque ?
    Ce n'est pas le flux de caméra qui est redirigé. Les équipements sont compromis (l'attaquant exécute son propre code dessus), puis chacun initialise juste des connexion TCP (syn, syn/ack, ack), voir ne font que des demis connexion. Pas besoin de plus pour saturer un équipement réseau. Il existes aussi des moyens d'amplifier fortement sont attaque en démultipliant la quantité de donnée envoyer. Un exemple : tu compromet une machine qui a la capacité d'envoyer 1Mo/s. Tu trouve un serveur DNS public, depuis la machine infectée, tu envoie des requêtes DNS à ce serveur, en remplaçant ton ip par celle de ta victime. Le serveur DNS va envoyer les réponses aux requêtes à ta victime donc. L'avantage? Une réponse DNS étant plus grande qu'une requête (jusqu'à 60 fois plus grande en se débrouillant bien), ta victime va recevoir beaucoup plus de trafic que si tu la bombardait directement.

    Sinon sur le comment ces caméras et autres IoT sont compromis : mots de passes par défaut, par défaut accessible via internet, plein de vulnérabilités, pas de mise à jour, etc.

  7. #7
    Membre confirmé
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    Mars 2014
    Messages
    158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur sécurité

    Informations forums :
    Inscription : Mars 2014
    Messages : 158
    Points : 465
    Points
    465
    Par défaut
    benjani_13 ce que tu dis est vrai et faux : je m'explique oui il existe des moyens d'amplifier un DDOS mais le moyen que tu donne est faux (du moins comme tu l'explique) car pour pouvoir faire repondre le serveur a une autre adresse tu dois pouvoir initialiser la connexion or dans le cas de tcp si tu spoof ton adresse le serveur va bien repondre a l'adresse victime mais celle ci va immédiatement drop le paquet car elle l'a pas sollicité(voir meme avant si tu as un bon firewall) donc aucun impact
    Ensuite dans le cas d'udp cela semble plus probable mais je pense que tu auras le meme mechanisme qui interviendra et droperas le paquet (le principe de statefull sur un firewall meme si dans le cas d'udp ce n'est pas forcément toujours le cas)
    Par contre pour ce qui est vrai le but d'une DDOS est d'utiliser toute les resources d'un serveur. Du coup imaginons que tout les pc telecharge une page de captcha dynamique (ou juste l'image ce qui serais encore plus efficace) le pc source va utiliser 1 paquet pour demander au serveur de generer la captcha puis de lui envoyer (consomation excesive de ressource) vu que du coter du mechant celui ci drop imediatement le paquet (ou le garde pour eviter que le serveur libere les ressources disponible mais sans regarder le contenue) tu obtient une utilisation cpu/ram/resseau execivement importante coter serveur comparer a celle du pc

  8. #8
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 038
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 038
    Points : 8 405
    Points
    8 405
    Par défaut
    Citation Envoyé par Iradrille Voir le message
    Est-ce une "vraie" attaque ? Ou un avertissement
    "On vise quelqu'un qui sentira l'attaque passer, mais qui devrait pouvoir la gérer pour montrer ce qu'il est possible de faire si rien ne change".
    j'aurai tendance à me poser la même question effectivement, ça me semble cohérent, après OVH est présent partout dans le monde donc la nuit pour un pirate c'est le jour pour un autre

    Citation Envoyé par benjani13 Voir le message
    OVH a récemment développer une architecture anti DDOS assez costaud pour protéger toute son infra.
    yep, et au delà ça fait déjà quelques années qu'ils protègent leur réseau avec du Arbor Networks

    Je crois qu'elle protège dans l'ordre de quelques TBits/s. C'est déjà une grosse avancée pour la protection des réseaux mais on voit qu'on en approche déjà la limite.
    dans le pire des cas il y a toujours la solution de null-router le trafic je crois

    Certains clients ovh ont surement était tout de même impacté.
    c'est probable, mais ça n'a pas été mon cas et pourtant j'ai quelques serveurs chez eux, d'ailleurs on sait pas trop quelle était la cible du DDoS, si c'était des frontaux web, des machines clients, des infra OVH ou autre, l'article dit simplement que l'attaque n'a "pas réussi à faire plier les serveurs d’OVH même si elle a provoqué quelques ralentissements"

    Edit:
    Citation Envoyé par Tagashy Voir le message
    (...) pour pouvoir faire repondre le serveur a une autre adresse tu dois pouvoir initialiser la connexion or dans le cas de tcp si tu spoof ton adresse le serveur va bien repondre a l'adresse victime mais celle ci va immédiatement drop le paquet (...) dans le cas d'udp cela semble plus probable mais je pense que tu auras le meme mechanisme qui interviendra et droperas le paquet (...)
    oui ok, mais ici le propos est surtout d'engorger les tuyaux, 1To/s, que ta machine tienne ou non la charge c'est trop pour le tuyau lui même, et puis quand bien même les paquets sont DROP, ça prend du temps processeur de dropper le paquet

  9. #9
    Membre éclairé Avatar de Beanux
    Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Octobre 2009
    Messages
    249
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Octobre 2009
    Messages : 249
    Points : 744
    Points
    744
    Par défaut
    Citation Envoyé par BufferBob Voir le message
    Edit:

    oui ok, mais ici le propos est surtout d'engorger les tuyaux, 1To/s, que ta machine tienne ou non la charge c'est trop pour le tuyau lui même, et puis quand bien même les paquets sont DROP, ça prend du temps processeur de dropper le paquet
    En fait a ce niveau (le DDOS en général), on ne drop plus les paquets, mais ils sont "null route", donc il passe dans les équipement réseaux et n'en ressortent pas. C'est la manière la plus efficace. Après, avec Arbor Network, il y a un routage qui est fait d'une manière qui m'est inconnu (probablement un truc dans ce genre), et qui force les paquets à passer par arbor plutôt que par les vrais entrées OVH.

  10. #10
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 225
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 225
    Points : 28 219
    Points
    28 219
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    La question qu’il convient tout de même de se poser c’est : que ce serait-il passé si l’attaque avait été dirigé vers une autre structure d’hébergement plus modeste ?
    Et la réponse est : Connexion internet impossible 95% du temps durant les 5 jours ouvrés de la période du 16 au 22/09. Au plus fort de l'attaque, on avait des plages de 2-3 min de connexion toutes les 40-45min environ.

    OVH n'a pas été le seul touché par une (cette ?) attaque de ce genre sur cette période. Le problème se pose lorsque l'activité de l'entreprise est fortement dépendante de la connexion internet (hotline, télémaintenance) et avec un FAI qui n'est pas en capacité de monter une structure de secours dans des délais court.
    Et il est fort à parier que ce genre d'attaque ira en s'amplifiant.

  11. #11
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    10 936
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : Juillet 2006
    Messages : 10 936
    Points : 15 386
    Points
    15 386
    Par défaut
    Salut,

    Je te quote car ça fait peur, et j'ai une question :
    Citation Envoyé par sevyc64 Voir le message
    Connexion internet impossible 95% du temps durant les 5 jours ouvrés de la période du 16 au 22/09. Au plus fort de l'attaque, on avait des plages de 2-3 min de connexion toutes les 40-45min environ.
    Comment sais-tu ça ? Tu as eu accès à des rapports, des données, c'est ton expérience, etc. ?
    J'avoue que je n'ai pas suivi les liens donnés vers les tweets

    Et donc je trouve que ça fait peur, dans le sens où les gouvernements veulent à tout prix nous pousser vers le "zéro papier", qui serait une bonne chose en soi, mais pas dans ce contexte de sécurité avec un niveau proche de zéro, justement !
    Je ne sais pas où on va, mais on y va de plus en plus vite et je sens qu'un jour ça va faire très mal, mais on ne sait pas où...

  12. #12
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juin 2012
    Messages
    1 711
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juin 2012
    Messages : 1 711
    Points : 4 442
    Points
    4 442
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Et il est fort à parier que ce genre d'attaque ira en s'amplifiant.
    C'est là la "beauté" du DDoS : relativement simple / bon marché à mettre en place (voir très simple en louant les services de "professionnels"), mais difficile / cher de se défendre. :/

    Citation Envoyé par Jipété Voir le message
    Comment sais-tu ça ? Tu as eu accès à des rapports, des données, c'est ton expérience, etc. ?
    J'avoue que je n'ai pas suivi les liens donnés vers les tweets

    Et donc je trouve que ça fait peur, dans le sens où les gouvernements veulent à tout prix nous pousser vers le "zéro papier", qui serait une bonne chose en soi, mais pas dans ce contexte de sécurité avec un niveau proche de zéro, justement !
    Je ne sais pas où on va, mais on y va de plus en plus vite et je sens qu'un jour ça va faire très mal, mais on ne sait pas où...
    Pour ma part (affaire complètement différente) : çà remonte à quelques années maintenant, mais la boite dans laquelle je faisais mon stage a subit une attaque : serveurs qui refusent toute connexion pendant ~12 heures (lors de la release d'un produit, quelle coïncidence !).
    Bref, même constat. (Seulement quelques Gb/s, mais je faisais pas mon stage chez un FAI )

    Par contre le DDoS ne pose (à ma connaissance) aucun problème de sécurité. Le seul risque c'est de ne pas détecter une attaque dans tout ce spam.

  13. #13
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 225
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 225
    Points : 28 219
    Points
    28 219
    Par défaut
    Citation Envoyé par Jipété Voir le message
    Comment sais-tu ça ? Tu as eu accès à des rapports, des données, c'est ton expérience, etc. ?
    C'est l'expérience de ce que nous avons vécu la semaine dernière, dans la boite ou je bosse, lorsque notre FAI s'est, lui aussi, fait attaqué ses serveurs et points de concentration par du DDOS. Les collègues de la hotline faisant quasiment du 100% de télémaintenance, il n'est pas vraiment nécessaire de mesurer quoique ce soit pour avoir une bonne estimation de la disponibilité de la connexion.

    Citation Envoyé par Iradrille Voir le message
    Par contre le DDoS ne pose (à ma connaissance) aucun problème de sécurité. Le seul risque c'est de ne pas détecter une attaque dans tout ce spam.
    Oui et non.
    Le DDOS ne représente pas en lui-même, directement, de gros risque de sécurité.
    Mais comme tu le dis, les risques peuvent être indirects. Une attaque DDOS peut effectivement servir à masquer une vrai attaque.
    Mais aussi, en surchargeant les serveurs en première ligne, firewall, proxy, etc ... une attaque DDOS peut amener à les faire tomber, les compromettre et les amener à offrir ainsi un accès avec privilège non seulement sur eux, mais aussi sur le réseau qu'ils sont censer protéger.
    J'ai déjà vu le cas d'un serveur surchargé, tomber et rebooter dans un mode dégradé qui offrait coté public les accès root au serveur mais aussi à toutes les machines du réseau derrière.
    Bien entendu, il s'agit d'un problème de sécurité d'un serveur mal configuré, mais il est pas toujours évident de maintenir un serveur au fil du temps à 100% bien configuré.

  14. #14
    Membre actif
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Avril 2014
    Messages
    139
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Avril 2014
    Messages : 139
    Points : 273
    Points
    273
    Par défaut
    Citation Envoyé par Beanux Voir le message
    En fait a ce niveau (le DDOS en général), on ne drop plus les paquets, mais ils sont "null route", donc il passe dans les équipement réseaux et n'en ressortent pas. C'est la manière la plus efficace. Après, avec Arbor Network, il y a un routage qui est fait d'une manière qui m'est inconnu (probablement un truc dans ce genre), et qui force les paquets à passer par arbor plutôt que par les vrais entrées OVH.
    Hello, je bosse chez un hébergeur/provider donc je peux te dire comment c'est construit, tu as ton router (standalone/cluster) en point d'entrée puis l'équipement arbor derrière (il y a plusieurs 'boites'). L'une d'entre elle analyse le réseau en permanence suivant des métriques que tu as pré établis (c'est relativement complexe d'ailleurs).
    Et si une attaque déclenche un seuil ça déclenche une auto migation (si tu es en mode auto). Un tunnel GRE est automatiquement monté entre ton équipement et l'équipement arbor qui va ensuite analyser le traf qu'il reçoit et suivant d'autres métriques drop ou non les paquets.

    En tout cas, cette attaque est relativement impressionnante. Pour être honnête il y a très peu d'infra capable de tenir ça. De notre côté nous avons du flowspec (RTBF) + arbor mais fasse à ça c'est totalement inutile. Tu satures tes uplinks avec tes peers ton router (ou tes) s'en prend quand même plein la bouche même si il discard. Bref dans ces cas la, tu es obligé de blackhole le client ce qui a bien évidemment des conséquences

  15. #15
    Membre éprouvé Avatar de TallyHo
    Homme Profil pro
    Lutin numérique
    Inscrit en
    Février 2006
    Messages
    1 053
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Lutin numérique

    Informations forums :
    Inscription : Février 2006
    Messages : 1 053
    Points : 1 052
    Points
    1 052
    Par défaut
    Citation Envoyé par Jipété Voir le message
    Et donc je trouve que ça fait peur, dans le sens où les gouvernements veulent à tout prix nous pousser vers le "zéro papier", qui serait une bonne chose en soi, mais pas dans ce contexte de sécurité avec un niveau proche de zéro, justement !
    Sécurité mise à part, avant de penser au zéro papier, il faudrait déjà que tout le monde accède au net et ils sont encore 5-6 millions à ne pas l'avoir d'après ce que j'ai entendu à la radio.

    Citation Envoyé par sevyc64 Voir le message
    C'est l'expérience de ce que nous avons vécu la semaine dernière, dans la boite ou je bosse, lorsque notre FAI s'est, lui aussi, fait attaqué ses serveurs et points de concentration par du DDOS.
    Vous n'avez pas de lignes de secours ?

  16. #16
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 225
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 225
    Points : 28 219
    Points
    28 219
    Par défaut
    Citation Envoyé par TallyHo Voir le message
    Vous n'avez pas de lignes de secours ?
    Il y a une ligne de secours, mais elle est prioritisée sur VOIP et elle n'est pas de capacité suffisante pour accueillir tout le trafic. On a basculé qu'un ou deux postes pour traiter les urgences.

  17. #17
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 038
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 038
    Points : 8 405
    Points
    8 405
    Par défaut
    Citation Envoyé par grunk Voir le message
    Quelqu'un à des infos sur comment le flux des caméras à pu être redirigé vers la cible de l'attaque ?
    en cherchant un peu (...) on trouve pas mal de choses sur les vulnérabilités existantes dans les caméras IP, y compris un paper d'une conférence BlackHat qui explique qu'on peut gagner un accès maximum (root) sur les équipements et leur passer des commandes à minima via l'url

    si on considère ce qui est écrit, à savoir qu'il s'agit d'un botnet composé en majorité de caméras IP, et doté d'une grosse puissance de feu donc, on peut rapidement supposer qu'une bonne partie desdites caméras doivent être du même modèle, et partant de là retrouver plus précisément de quels équipements il est question, sans parler des moteurs spécialisés (...) qui vont permettre de ramasser des hôtes à la pelle avec une simple requête

  18. #18
    Membre régulier
    Profil pro
    Inscrit en
    Août 2003
    Messages
    76
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Août 2003
    Messages : 76
    Points : 87
    Points
    87
    Par défaut
    Des caméras de vidéosurveillance ?! Brrr…

  19. #19
    Membre éprouvé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Février 2010
    Messages
    269
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 269
    Points : 976
    Points
    976
    Par défaut
    1.5T sur 145 607 caméras, ça fait une moyenne à 10.3M par caméra.

    Ca me parait rudement élévé comme *moyenne* sachant que les interface font 100M max
    et que la plupart des connexions internet ne dépasse pas 1M up.

  20. #20
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 225
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 225
    Points : 28 219
    Points
    28 219
    Par défaut
    Citation Envoyé par pcdwarf Voir le message
    et que la plupart des connexions internet ne dépasse pas 1M up.
    Ne prend pas le cas de la France pour une généralité.
    Et encore en France, 1M c'est pour l'ADSL.
    En VDSL on peut atteindre 15M, en fibre on peut atteindre bien plus.
    Sans compter les lignes spécialisées que peuvent posséder les entreprises de moyenne/grosse importance, endroit ou on est susceptible de trouver des camera de surveillances justement.

Discussions similaires

  1. GitHub victime d’une attaque DDoS depuis plus de 5 jours
    Par Amine Horseman dans le forum Sécurité
    Réponses: 2
    Dernier message: 04/04/2015, 23h47
  2. Réponses: 2
    Dernier message: 13/02/2014, 18h07
  3. Internet victime de la plus grande attaque de son histoire
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 13
    Dernier message: 29/04/2013, 13h31
  4. Les attaques DDoS plus larges et plus rapides que jamais
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 0
    Dernier message: 25/04/2013, 23h19
  5. Réponses: 6
    Dernier message: 11/02/2011, 12h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo