XName.org est un projet de gestion de zone DNS gratuit qui compte 6000 utilisateurs et gère 16 500 zones. Il a subi cette semaine plusieurs dénis de service distribués. Le dernier en date, hier soir, a conduit administrateurs et hébergeur à couper purement et simplement l'accès au serveur principal, hébergeant le site web et l'un des deux serveurs DNS.
L'attaque a été menée depuis plusieurs milliers de machines, utilisant des adresses IP spoofées, et générant un trafic DNS entrant supérieur à 400Mb/s pendant plusieurs heures.
En attendant de trouver une solution (s'il y en a une), le service web a été coupé, ainsi que ns0.xname.org.
Pour les personnes ayant leur zone sur xname.org (par exemple linuxfr.org, uucpssh.org, tribunelibre.org...), le serveur ns1.xname.org continue de fonctionner correctement.
Le site web étant déconnecté, aucune modification ne peut être faite.
Pour information il semble que l'attaque soit faite à partir d'un botnet, c'est à dire d'un ensemble de machines avec un cheval de Troie se connectant sur un serveur IRC, à partir duquel la personne malveillante donne des ordres pour saturer telle ou telle IP.
Déni de service distribué sur XName.org
22
jan.
2004
# Re: Déni de service distribué sur XName.org
Posté par Yann Hirou . Évalué à 10.
Et comme c'est mon jour, en plus j'offre gracieusement un lien sur xname.org pointant sur votre site (bandeau de pub à partir de 1Gb/s de bande passante)
[^] # Re: Déni de service distribué sur XName.org
Posté par NebuchadnezzaR . Évalué à 5.
[^] # Re: Déni de service distribué sur XName.org
Posté par Là Yop . Évalué à 5.
[^] # Re: Déni de service distribué sur XName.org
Posté par crevette . Évalué à 1.
je sais ce que sait, on a passé trois jours sous attaque avant de pouvoir ne serait-ce que permettre a nos client de pouvoir recevoir un peu leur mail.
Pareil, il nous ont fait sauter la bande passante de nos liens.
# Re: Déni de service distribué sur XName.org
Posté par lionz . Évalué à 7.
Il y a plein d'autres choses à attaquer, mais non, ce sont les gentils qui s'en prennent plein la gueule.
C'est beau internet.
[^] # Re: Déni de service distribué sur XName.org
Posté par Yann Hirou . Évalué à 4.
avec un peu de chance il existe une solution miracle...
[^] # Re: Déni de service distribué sur XName.org
Posté par Julien Danjou (site web personnel) . Évalué à 1.
Il faudrait en parler avec le fournisseur de connectivité IP.
[^] # Re: Déni de service distribué sur XName.org
Posté par B. franck . Évalué à 5.
peut-être parce qu'on fait le même produit payant ailleurs et que ça dérange un produit gratuit qui marche ?
# Re: Déni de service distribué sur XName.org
Posté par Mario Gaucher . Évalué à 0.
mes emails sont hébergés sur uucpssh.org et je ne pouvais plus me brancher...
[^] # Re: Déni de service distribué sur XName.org
Posté par Yann Hirou . Évalué à 6.
En fait cette attaque fait qu'une fois sur deux les requêtes DNS sont lentes (elles partent en timeout sur ns0, et sont résolues sur ns1).
Le problème uucpssh et linuxfr de hier soir est tout autre, il s'agit d'un plantage du serveur suite à changement de kernel. Il a fallu que quelqu'un intervienne physiquement pour retourner dans une config correcte.
[^] # Re: Déni de service distribué sur XName.org
Posté par Moby-Dik . Évalué à 1.
J'ai trouvé ! C'est Fabien Penso qui joue dans le clip "Sabotage" des Beastie Boys !
# Re: Déni de service distribué sur XName.org
Posté par kb . Évalué à 1.
Si internet fonctionner en IPv6, est ce que cela permettrer d'eviter ces attaques ? IPv6 n'est pas censer empecher le spoofing ?
[^] # Re: Déni de service distribué sur XName.org
Posté par Nucleos . Évalué à 2.
essaye de voir sur google, ou sur http://www.ipv6.org/(...) :)
[^] # Re: Déni de service distribué sur XName.org
Posté par Beretta_Vexee . Évalué à 2.
# Re: Déni de service distribué sur XName.org
Posté par Gus . Évalué à 2.
Je pose cette question car je doit mettre en place ce service et ayant vu les deux solutions je me demande ce que sont les avantages/inconvénients des deux.
Peut-être pourriez vous m'éclairer, vu l'expérience que vous avez ...
Enfin ce n'est peut être pas l'endrois ... ni le moment.
[^] # Re: Déni de service distribué sur XName.org
Posté par Yann Hirou . Évalué à 4.
Aujourd'hui le projet semble fiable et viable, donc c'est vrai que si je devais réécrire xname aujourd'hui, je regarderais du côté de bind-dlz.
D'ailleurs si un provider veut bien héberger XName (2U, 400Mb/s), je vais peut-être adapter le moteur à bind-dlz.
[^] # Re: Déni de service distribué sur XName.org
Posté par Damien Raude-Morvan (site web personnel) . Évalué à 2.
Pfff..
Voila, je voulais juste te dire bon courage Yann dans ta recherche d'un nouvel hébergeur pour le serveur et encore chapeau pour ce projet.
Je pense que Free, Lost-Oasis ou Gitoyen peuvent être de bons interlocuteurs pour de l'hébergement de serveurs de cette taille.
[^] # Re: Déni de service distribué sur XName.org
Posté par Yann Hirou . Évalué à 3.
En fait idéalement je voudrais ne pas changer d'hébergeur, je consomme que 256kb/s quand on cherche pas à tout détruire :-)
Pour le coup des 400Mb/s, je doute que quelqu'un accepte un tel boulet ;-)
(et s'ils acceptent, j'aurais clairement pas les fonds pour payer :))
Faut juste espérer que le méchant se lasse... Mais je ne le saurais pas tant que je n'aurais pas rebranché le serveur, et si je rebranche le serveur, je risque encore d'écrouler le réseau du provider... Donc pas gagné !
Pour rappel, comme dit dans l'article, ns1 fonctionne toujours - donc ceux qui ont leur DNS sur xname en tant que secondaire, ns1 continue de se synchroniser sur leur primaire.
Pour ceux qui utlisaient xname en primaire, ns1 était configuré en secondaire. je suis en train de passer toutes les zones qui sont en primaire sur xname en primaire sur ns1, pour que la résolution puisse continuer à se faire dans les jours à venir.
[^] # Re: Déni de service distribué sur XName.org
Posté par drac . Évalué à 1.
[^] # Re: Déni de service distribué sur XName.org
Posté par mansuetus (site web personnel) . Évalué à 2.
mais même la météo veut pas !
METEO : [Jeudi 22 janvier] Paris-Centre : Bruine (4°C à 7°C)
METEO : [Vendredi 23 janvier] Paris-Centre : Très brumeux (5°C à 7°C)
METEO : [Samedi 24 janvier] Paris-Centre : Nuageux (6°C à 9°C)
METEO : [Dimanche 25 janvier] Paris-Centre : Pluie faible (4°C à 6°C)
METEO : [Lundi 26 janvier] Paris-Centre : Pluie (2°C à 4°C)
# Re: Déni de service distribué sur XName.org
Posté par jeff110 . Évalué à -2.
# Re: Déni de service distribué sur XName.org
Posté par pef . Évalué à 3.
Bon courage pour traverser cette épreuve difficile, mais tant que les warlordZ n'auront pas compris qu'il n'y a rien à gagner à attaquer un service de ce type...
Une question : est-ce que des prestataires pro pour gérer les dns auraient un quelquonque intérêt à faire ce genre d'attaque eux-même ?
# Re: Déni de service distribué sur XName.org
Posté par mac_is_mac (site web personnel) . Évalué à 2.
[^] # Re: Déni de service distribué sur XName.org
Posté par Yann Hirou . Évalué à 1.
Bon, par contre j'ai de fortes présomptions de l'origine... mais on engage pas des poursuites à l'étranger avec de fortes présomptions.
En gros si je porte plainte, économiquement je ne représente rien, politiquement n'en parlons pas, et internationalement je n'ai pas d'intérêt. Donc je ne vois pas comment il pourrait y avoir une suite à ma plainte...
[^] # Re: Déni de service distribué sur XName.org
Posté par Kaktus Corp. . Évalué à 3.
Là tu en as trops dit...... Dis nous qui est le gros méchant.
[^] # Re: Déni de service distribué sur XName.org
Posté par Amaury . Évalué à 3.
[ ] le voisin de Yann qui trouve que celui-ci fait trop de bruit
[ ] l'ex qu'il vient de larguer
[ ] sa boulangère qui constate qu'il n'achète plus qu'une seule baguette moulée au lieu de une "Rétrodor" et 2 pains au choc comme avant
[ ] un concurrent faisant payer pour un service équivalent
Faudrait changer le sondage, tiens...
[^] # Re: Déni de service distribué sur XName.org
Posté par Annah C. Hue (site web personnel) . Évalué à 2.
[^] # Re: Déni de service distribué sur XName.org
Posté par Yann Hirou . Évalué à 3.
en fait c'est l'un des mecs cité sur http://www.grc.com/dos/grcdos.htm(...)
Comme dit plus haut j'avais de fortes présomptions sur un mec à qui j'ai demandé poliment lundi d'aller voir ailleurs pour ses zones, suite à une plainte pour hack à son encontre. Je n'ai jamais eu de réponse écrite, mais je pense qu'il avait plein de choses à me dire, vu le débit ;)
quelqu'un m'a conseillé de regarder l'histoire de grc.com pour essayer de trouver une solution... a défaut de solution, j'ai juste trouvé le nick du type en question dans la liste des méchants.
[^] # Re: Déni de service distribué sur XName.org
Posté par rtlol . Évalué à 1.
A mon avis, il serait dommage d'avoir la chance d'avoir de "fortes présomptions" et de ne rien tenter.
D'accord, cela prend du temps pour un résultat très incertain ... mais faudrait pas laisser faire.
Sinon, je n'utilise pas XName, mais vu tout le bien qu'on en dit, ca va s'en doute pas tarder.
Bon courrage Yann !
[^] # Re: Déni de service distribué sur XName.org
Posté par Régis . Évalué à 3.
Gendarmerie 59 r Seguineau 33700 MERIGNAC 05 56 90 44 00
Section Recherche
Il y'as des sympatisant des LL
Si tu veux plus d'info sur ce genre de procédure contacte moi en PV
# utilisant des adresses IP spoofées ?
Posté par lolotte . Évalué à 1.
C'est quoi ca des adresse spofés ?
Merci.
[^] # Re: utilisant des adresses IP spoofées ?
Posté par Yann Hirou . Évalué à 1.
Normalement un fournisseur d'accès internet bloque ce genre de chose à l'émission, et la machine ne pourra pas envoyer de paquets en dehors de XX.YY.ZZ.*.
[^] # Re: utilisant des adresses IP spoofées ?
Posté par lolotte . Évalué à 1.
Donc on a une bécane avec l'adresse 125.125.125.125
qui envoi à xname des demandes de page avec l'adresse
125.125.125.01
125.125.125.02
125.125.125.03
et ainsi de suite.
C'est ca le déni de service ? Ca bloque le machine parce qu'elle cherche à répondre à des gens qui ne lui demande rien ?
Qu'et-ce qu'il en font d'ailleur ? Est-ce que c'est possible de voir s'afficher un page xname comme ca alors qu'on surf parce que qq fait un dos ?
Et enfin, derniére interrogation : puisque les FAI bloquent ces pratiques, comment font les pirates ? Il faut bien un acces internet pour faire ca non ?
En tout cas faut vraiment être un peu con pour faire des trucs inutile comme ca...
[^] # Re: utilisant des adresses IP spoofées ?
Posté par drac . Évalué à 3.
En gros le spoof ca revient à j'ai ma machine qui a une adresse IP 12.13.14.2
et qui envoie un packet pretendant avoir une adresse differente (mais complemetement en general) du genre 80.15.24.8 (en gros tu réecrit l'en-tete du packet)
En suite souvent ce qui est utilisé c'est de pingué des adresse de broadcast où plusieurs machines répondent:
exemple:
--- 192.168.255.255 ping statistics ---
2 packets transmitted, 2 packets received, +16 duplicates, 0% packet loss
round-trip min/avg/max = 0.0/1.1/3.0 ms
J'ai envoyer deux paquets et j'en ai recu 18.
Jusque là ca parait pas bien dangereux. Mais le truc réside a envoyer des ping en spoofant ton adresse et en te faisant passé pour ta victime. Résultat ta victime reçoit 18 pong (réponses) et toi tu envoies que 2 ping.et ceux ci de manière distribué tu peux faire très mal.
Voila.
[^] # Re: utilisant des adresses IP spoofées ?
Posté par Bret_ . Évalué à 1.
Mais je pense pas que ca marche encore sur ce genre de serveurs : ils sont blindés depuis longtemps
Bret_
# Re: Déni de service distribué sur XName.org
Posté par Ed GhZaaark . Évalué à 1.
[^] # Re: Déni de service distribué sur XName.org
Posté par Vinsss . Évalué à 1.
Voir communiqué du 26 janvier: http://www.tuxfamily.org(...)
# Redémarrage de ns0
Posté par cam (site web personnel) . Évalué à 1.
Depuis la coupure de ns0, j'ai ma zone reverse (d.a.e.d.2.2.1.1.8.a.7.0.1.0.0.2.ip6.arpa) qui ne fonctionne plus, je suppose que la config n'était pas en secondaire sur ns1 ? les autres zones marchent bien.
'Fin voilà, sans vouloir presser quoi que ce soit, ça serait cool de pouvoir accéder a la gestion web.
++
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.