Articles précédents : Internet
- [6] Challenge-SecuriTech - Concours de sécurité informatique
- [9] La communauté FreeBSD francophone hérite d'un nouveau bébé
- [63] Décrypthon sous linux
- [44] AOL lance une pétition contre le spam
- [190] L'ADAMI pour une redevance du haut-débit
- [54] Brevets concernant la messagerie instantanée
- [107] Action en référé de Métrobus à l'encontre de Ouvaton
- [7] Les hébergeurs alternatifs en danger : Le Ras mis en demeure de censurer un de ses membres
- [18] Conférence sur les biens communs informationnels et l'EUCD
- [24] Hébergement Zope
Internet : Déni de service distribué sur XName.org
Posté par Yann Hirou (page perso, ). Modéré le 22 janvier 2004.
L'attaque a été menée depuis plusieurs milliers de machines, utilisant des adresses IP spoofées, et générant un trafic DNS entrant supérieur à 400Mb/s pendant plusieurs heures.
En attendant de trouver une solution (s'il y en a une), le service web a été coupé, ainsi que ns0.xname.org.
> Lire la dépêche (38 commentaires, moyenne: 2,4).
Le site web étant déconnecté, aucune modification ne peut être faite.
Pour information il semble que l'attaque soit faite à partir d'un botnet, c'est à dire d'un ensemble de machines avec un cheval de Troie se connectant sur un serveur IRC, à partir duquel la personne malveillante donne des ordres pour saturer telle ou telle IP.
Re: Déni de service distribué sur XName.org
Si quelqu'un a une bande passante de 400Mb/s dont il ne sait pas quoi faire, j'accepte toute proposition d'hébergement !
Et comme c'est mon jour, en plus j'offre gracieusement un lien sur xname.org pointant sur votre site (bandeau de pub à partir de 1Gb/s de bande passante)
-
[^]Re: Déni de service distribué sur XName.org
Posté par NebuchadnezzaR () le 22/01/2004 à 21:18. (lien). Évalué à 5.Vue les augmentations de bande passante des utilisateurs lambda (limité à 256Ko en upload pour l'instant) ce genre de chose risque d'arriver de plus en plus, il faudra de moins en moins de machines pour conduire le même DDOS...
-
[^]Re: Déni de service distribué sur XName.org
-
-
[^]Re: Déni de service distribué sur XName.org
Posté par Baptiste Mille-Mathias (page perso, ) le 23/01/2004 à 08:06. (lien). Évalué à 1.Courage Yann !!!
je sais ce que sait, on a passé trois jours sous attaque avant de pouvoir ne serait-ce que permettre a nos client de pouvoir recevoir un peu leur mail.
Pareil, il nous ont fait sauter la bande passante de nos liens.
Re: Déni de service distribué sur XName.org
En meme temps, pourquoi attaquer un service gratuit et puissant comme xname.org ?
Il y a plein d'autres choses à attaquer, mais non, ce sont les gentils qui s'en prennent plein la gueule.
C'est beau internet.
-
[^]Re: Déni de service distribué sur XName.org
Posté par Yann Hirou (page perso, ) le 22/01/2004 à 21:29. (lien). Évalué à 4.le problème surtout c'est l'impuissance face à ça... ça faisait 2 jours que je me posais des questions sur que faire, et hier soir le coup de fil qui tue "Bon, Yann... là je crois qu'on n'a pas le choix". Et moi, la mort dans l'âme: "je sais... vas-y, coupe..."
avec un peu de chance il existe une solution miracle...-
[^]Re: Déni de service distribué sur XName.org
Posté par Julien Danjou (page perso, ) le 22/01/2004 à 21:41. (lien). Évalué à 1.Il n'y en a pas vraiment a part de mettre un null route le plus loin en amont possible sur les IP sources du DoS, mais quand il y en a beaucoup (DDoS), c'est moins évident...
Il faudrait en parler avec le fournisseur de connectivité IP.
-
-
[^]Re: Déni de service distribué sur XName.org
Re: Déni de service distribué sur XName.org
est-ce que c'est possible que je n'ai pas pu accéder à uucpssh.org ou linuxfr.org hier (21 janvier) à partir de 18h et jusqu'à aujourd'hui (22 janvier) 15h (GMT) à cause de cette attaque?
mes emails sont hébergés sur uucpssh.org et je ne pouvais plus me brancher...
-
[^]Re: Déni de service distribué sur XName.org
Posté par Yann Hirou (page perso, ) le 22/01/2004 à 21:51. (lien). Évalué à 6.non, du tout.
En fait cette attaque fait qu'une fois sur deux les requêtes DNS sont lentes (elles partent en timeout sur ns0, et sont résolues sur ns1).
Le problème uucpssh et linuxfr de hier soir est tout autre, il s'agit d'un plantage du serveur suite à changement de kernel. Il a fallu que quelqu'un intervienne physiquement pour retourner dans une config correcte.-
[^]Re: Déni de service distribué sur XName.org
-
Re: Déni de service distribué sur XName.org
Question "bete":
Si internet fonctionner en IPv6, est ce que cela permettrer d'eviter ces attaques ? IPv6 n'est pas censer empecher le spoofing ?
-
[^]Re: Déni de service distribué sur XName.org
Posté par Nucleos (page perso, ) le 22/01/2004 à 22:08. (lien). Évalué à 2.pas à ma connaissance.
essaye de voir sur google, ou sur http://www.ipv6.org/(...) :)
-
[^]Re: Déni de service distribué sur XName.org
Posté par Beretta_Vexee () le 22/01/2004 à 22:51. (lien). Évalué à 2.Non, seul un filtrage au niveau de equipement et de chaque routeur pourrait affecter le spoofing, autent dire que c'est irréaliste couteux et inefficasse.
--
Il relève de la responsabilité du lecteur de contrôler, par tous moyens, l'adéquation du message à ses besoins et de s'assurer qu'il ne causera pas de dommages aux personnes et aux biens.
Re: Déni de service distribué sur XName.org
D'ailleurs en parlant de Xname (je suis peut être hors sujet, mea-culpa), je me demande pourquoi vous utilisez ce mecanisme de mise à jour de Bind à partir d'une base de donnée de manière régulière (si j'ai bien compris ...) au lieux d'utiliser directement un serveur ayant comme backend la db ?
Je pose cette question car je doit mettre en place ce service et ayant vu les deux solutions je me demande ce que sont les avantages/inconvénients des deux.
Peut-être pourriez vous m'éclairer, vu l'expérience que vous avez ...
Enfin ce n'est peut être pas l'endrois ... ni le moment.
-
[^]Re: Déni de service distribué sur XName.org
Posté par Yann Hirou (page perso, ) le 22/01/2004 à 23:06. (lien). Évalué à 4.parce que lorsque j'ai commencé le développement, mi 2001, les solutions de type bind-dlz ( http://bind-dlz.sourceforge.net(...) ) n'étaient que en version béta, sans garantie de suivi des versions de bind (assez bas niveau dans le code, donc si bind change, la réactivité n'est pas garantie). De plus le support de mysql était expérimental de souvenir.
Aujourd'hui le projet semble fiable et viable, donc c'est vrai que si je devais réécrire xname aujourd'hui, je regarderais du côté de bind-dlz.
D'ailleurs si un provider veut bien héberger XName (2U, 400Mb/s), je vais peut-être adapter le moteur à bind-dlz.-
[^]Re: Déni de service distribué sur XName.org
Posté par Damien Raude-Morvan (Jabber id, page perso, ) le 22/01/2004 à 23:16. (lien). Évalué à 2.Je suis utilisateur de XName et je trouve ça révoltant qu'on puisse s'attaquer à un projet tel que celui-là. Déjà que c'est pas super facile faire vivre un projet gratuit (et libre aussi) car il faut trouver les fonds, si en plus y a des petits guignols qui commence à prendre Internet pour leur terrain de jeu...
Pfff..
Voila, je voulais juste te dire bon courage Yann dans ta recherche d'un nouvel hébergeur pour le serveur et encore chapeau pour ce projet.
Je pense que Free, Lost-Oasis ou Gitoyen peuvent être de bons interlocuteurs pour de l'hébergement de serveurs de cette taille.-
[^]Re: Déni de service distribué sur XName.org
Posté par Yann Hirou (page perso, ) le 22/01/2004 à 23:23. (lien). Évalué à 3.merci pour ces encouragements :-)
En fait idéalement je voudrais ne pas changer d'hébergeur, je consomme que 256kb/s quand on cherche pas à tout détruire :-)
Pour le coup des 400Mb/s, je doute que quelqu'un accepte un tel boulet ;-)
(et s'ils acceptent, j'aurais clairement pas les fonds pour payer :))
Faut juste espérer que le méchant se lasse... Mais je ne le saurais pas tant que je n'aurais pas rebranché le serveur, et si je rebranche le serveur, je risque encore d'écrouler le réseau du provider... Donc pas gagné !
Pour rappel, comme dit dans l'article, ns1 fonctionne toujours - donc ceux qui ont leur DNS sur xname en tant que secondaire, ns1 continue de se synchroniser sur leur primaire.
Pour ceux qui utlisaient xname en primaire, ns1 était configuré en secondaire. je suis en train de passer toutes les zones qui sont en primaire sur xname en primaire sur ns1, pour que la résolution puisse continuer à se faire dans les jours à venir.-
[^]Re: Déni de service distribué sur XName.org
Posté par drac () le 23/01/2004 à 00:46. (lien). Évalué à 1.J'espère que tu vas trouvé une solution viable pour Xname qui est pour moi un beau projet. Bon courage.
-
[^]Re: Déni de service distribué sur XName.org
Posté par mansuetus (page perso, ) le 23/01/2004 à 01:14. (lien). Évalué à 2.rien à ajouter, mais ca doit toujours te faire plaisir de te sentir soutenu ! J'aimerais pouvoir t'annoncer une bonne nouvelle...
mais même la météo veut pas !
METEO : [Jeudi 22 janvier] Paris-Centre : Bruine (4°C à 7°C)
METEO : [Vendredi 23 janvier] Paris-Centre : Très brumeux (5°C à 7°C)
METEO : [Samedi 24 janvier] Paris-Centre : Nuageux (6°C à 9°C)
METEO : [Dimanche 25 janvier] Paris-Centre : Pluie faible (4°C à 6°C)
METEO : [Lundi 26 janvier] Paris-Centre : Pluie (2°C à 4°C)
-
-
-
-
[+] Re: Déni de service distribué sur XName.org
Re: Déni de service distribué sur XName.org
J'utlise le service dns secondaire, un grand merci pour ce projet ambitieux et dont l'interface est très bien pensée !
Bon courage pour traverser cette épreuve difficile, mais tant que les warlordZ n'auront pas compris qu'il n'y a rien à gagner à attaquer un service de ce type...
Une question : est-ce que des prestataires pro pour gérer les dns auraient un quelquonque intérêt à faire ce genre d'attaque eux-même ?
Re: Déni de service distribué sur XName.org
Question: est-ce qu'une plainte en justice a pu être déposée ?
-
[^]Re: Déni de service distribué sur XName.org
Posté par Yann Hirou (page perso, ) le 23/01/2004 à 08:25. (lien). Évalué à 1.Pas pour le moment, question de temps / méconnaissance de la procédure. En plus de ça on n'a pas vraiment de trace, toutes les IPs ayant été spoofées.
Bon, par contre j'ai de fortes présomptions de l'origine... mais on engage pas des poursuites à l'étranger avec de fortes présomptions.
En gros si je porte plainte, économiquement je ne représente rien, politiquement n'en parlons pas, et internationalement je n'ai pas d'intérêt. Donc je ne vois pas comment il pourrait y avoir une suite à ma plainte...-
[^]Re: Déni de service distribué sur XName.org
Posté par Kaktus Corp. () le 23/01/2004 à 08:41. (lien). Évalué à 3.>j'ai de fortes présomptions de l'origine...
Là tu en as trops dit...... Dis nous qui est le gros méchant.-
[^]Re: Déni de service distribué sur XName.org
Posté par Amaury () le 23/01/2004 à 14:27. (lien). Évalué à 3.Qui peut bien vouloir faire cela ?
[ ] le voisin de Yann qui trouve que celui-ci fait trop de bruit
[ ] l'ex qu'il vient de larguer
[ ] sa boulangère qui constate qu'il n'achète plus qu'une seule baguette moulée au lieu de une "Rétrodor" et 2 pains au choc comme avant
[ ] un concurrent faisant payer pour un service équivalent
Faudrait changer le sondage, tiens...-
[^]Re: Déni de service distribué sur XName.org
Posté par Annah C. Hue (page perso, ) le 23/01/2004 à 14:59. (lien). Évalué à 2.[ ] un concurrent faisant payer pour un service qui n'arrive pas à la cheville (ie : tous les soi-disants entreprises expertes en internet qui proposent d'héberger un nom de domaine pour moins de 100/mois...)
-
[^]Re: Déni de service distribué sur XName.org
Posté par Yann Hirou (page perso, ) le 23/01/2004 à 17:08. (lien). Évalué à 3.Laissez tomber, vous n'y êtes pas...
en fait c'est l'un des mecs cité sur http://www.grc.com/dos/grcdos.htm(...)
Comme dit plus haut j'avais de fortes présomptions sur un mec à qui j'ai demandé poliment lundi d'aller voir ailleurs pour ses zones, suite à une plainte pour hack à son encontre. Je n'ai jamais eu de réponse écrite, mais je pense qu'il avait plein de choses à me dire, vu le débit ;)
quelqu'un m'a conseillé de regarder l'histoire de grc.com pour essayer de trouver une solution... a défaut de solution, j'ai juste trouvé le nick du type en question dans la liste des méchants.-
[^]Re: Déni de service distribué sur XName.org
Posté par rtlol () le 06/04/2004 à 20:27. (lien). Évalué à 1.Je pense qu'en général, dans ce genre d'attaque, on n'a vraiment aucune idée d'où ca vient qu'en on est attaqué.
A mon avis, il serait dommage d'avoir la chance d'avoir de "fortes présomptions" et de ne rien tenter.
D'accord, cela prend du temps pour un résultat très incertain ... mais faudrait pas laisser faire.
Sinon, je n'utilise pas XName, mais vu tout le bien qu'on en dit, ca va s'en doute pas tarder.
Bon courrage Yann !
-
-
-
-
-
[^]Re: Déni de service distribué sur XName.org
Posté par Régis COURAUD () le 23/01/2004 à 09:04. (lien). Évalué à 3.Circonscription Bordeaux Région Aquitaine CATG caserne Battesti
Gendarmerie 59 r Seguineau 33700 MERIGNAC 05 56 90 44 00
Section Recherche
Il y'as des sympatisant des LL
Si tu veux plus d'info sur ce genre de procédure contacte moi en PV
-
utilisant des adresses IP spoofées ?
" utilisant des adresses IP spoofées"
C'est quoi ca des adresse spofés ?
Merci.
-
[^]Re: utilisant des adresses IP spoofées ?
Posté par Yann Hirou (page perso, ) le 23/01/2004 à 10:48. (lien). Évalué à 1.c'est lorsque une machine ayant pour adresse IP XX.YY.ZZ.12 envoie des paquets avec une adresse qui n'a rien à voir.
Normalement un fournisseur d'accès internet bloque ce genre de chose à l'émission, et la machine ne pourra pas envoyer de paquets en dehors de XX.YY.ZZ.*.-
[^]Re: utilisant des adresses IP spoofées ?
Posté par lolotte () le 23/01/2004 à 19:02. (lien). Évalué à 1.Je crois que je comprends.
Donc on a une bécane avec l'adresse 125.125.125.125
qui envoi à xname des demandes de page avec l'adresse
125.125.125.01
125.125.125.02
125.125.125.03
et ainsi de suite.
C'est ca le déni de service ? Ca bloque le machine parce qu'elle cherche à répondre à des gens qui ne lui demande rien ?
Qu'et-ce qu'il en font d'ailleur ? Est-ce que c'est possible de voir s'afficher un page xname comme ca alors qu'on surf parce que qq fait un dos ?
Et enfin, derniére interrogation : puisque les FAI bloquent ces pratiques, comment font les pirates ? Il faut bien un acces internet pour faire ca non ?
En tout cas faut vraiment être un peu con pour faire des trucs inutile comme ca...-
[^]Re: utilisant des adresses IP spoofées ?
Posté par drac () le 23/01/2004 à 20:25. (lien). Évalué à 3.Non c'est pas ca.
En gros le spoof ca revient à j'ai ma machine qui a une adresse IP 12.13.14.2
et qui envoie un packet pretendant avoir une adresse differente (mais complemetement en general) du genre 80.15.24.8 (en gros tu réecrit l'en-tete du packet)
En suite souvent ce qui est utilisé c'est de pingué des adresse de broadcast où plusieurs machines répondent:
exemple:
--- 192.168.255.255 ping statistics ---
2 packets transmitted, 2 packets received, +16 duplicates, 0% packet loss
round-trip min/avg/max = 0.0/1.1/3.0 ms
J'ai envoyer deux paquets et j'en ai recu 18.
Jusque là ca parait pas bien dangereux. Mais le truc réside a envoyer des ping en spoofant ton adresse et en te faisant passé pour ta victime. Résultat ta victime reçoit 18 pong (réponses) et toi tu envoies que 2 ping.et ceux ci de manière distribué tu peux faire très mal.
Voila.-
[^]Re: utilisant des adresses IP spoofées ?
-
-
-
Re: Déni de service distribué sur XName.org
ce qui expliquerait l'impossibilité de se connecter à certains sites? cf Linuxgraphic.org et d'autres sites LL où c'est juste chez moi ?
-
[^]Re: Déni de service distribué sur XName.org
Posté par Vinsss () le 27/01/2004 à 15:51. (lien). Évalué à 1.Non, ca c'est Tuxfamily qui s'est fait attaquer :/
Voir communiqué du 26 janvier: http://www.tuxfamily.org(...)
Redémarrage de ns0
Hum, est-ce qu'on ne pourrait pas rallumer ns0 ? je pense que l'autre abruti a fini son ddos là...
Depuis la coupure de ns0, j'ai ma zone reverse (d.a.e.d.2.2.1.1.8.a.7.0.1.0.0.2.ip6.arpa) qui ne fonctionne plus, je suppose que la config n'était pas en secondaire sur ns1 ? les autres zones marchent bien.
'Fin voilà, sans vouloir presser quoi que ce soit, ça serait cool de pouvoir accéder a la gestion web.
++
Cette page a été générée par Templeet en 0.1459s (dont 0.0173 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.