Histoire d'une attaque par Deni de Service

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
1
juin
2001
Pirate
Je vous propose ce lien extrèmement intéressant (qui semble être une histoire vraie), trouvé sur Slashdot.
Résumé lapidaire :
- le site grc.com a subi une (plusieurs en fait) attaque par déni de service distribuée (DDoS), qui les a littéralement submergés : un flux massif de données qui empèche l'utilisation normale du site (Yahoo avait subi cela en début d'année) ;
- l'attaqueur prétend être un "gamin" de 13 ans ;
- l'attaque est venue de 474 machines tournant sous Windows ;
- paradoxalement, c'est cela qui a sauvé grc.com : l'implémentation du protocol IP dans Windows avant 2000 est incomplète, facilitant ainsi la repousse de l'attaque ;
- l'auteur de l'histoire prévoit un cauchemard quand Windows 2000 et XP seront largement diffusés, car ceux-ci contiennent un protocol IP complet ;
- les machines "attaqueuses" contenaient toutes un fichier "rundIl.exe", avec un 'i' majuscule, qui ressemble fort à "rundll.exe" (vérifiez vos systèmes !), mais est en fait un client IRC infecté ;
- l'infection est un cheval de Troye nommé "Sub7Server" semble-t-il...

Aller plus loin

  • # proposition de frlinux (trop tard alors je la mets ici)

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    Cette page assez longue relate les mesaventures de grc.com attaque (pendant le mois de mai a plusieurs reprises) par un 'script kiddie' de 13 ans qui ne semble pas avoir ecris l'utilitaire d'intrusion lui-meme. L'administrateur decrit ici les 17h offline du serveur ainsi que les methodes utilisees pour tracer le perpetrateur et une discussion IRC avec un des collegues du cracker. Precisons aussi des echanges emails avec le fautif.

    Tres interessant, je me permet de mettre le lien vers patchwok, un utilitaire de test d'intrusion d'un serveur NT4 ecrit par des personnes du FBI (un peu hors sujet certes mais oh combien necessaire).

    http://www.cisecurity.org/patchwork.html(...)

    • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

      Posté par  . Évalué à 1.

      > un utilitaire de test d'intrusion d'un serveur NT4

      quels sont les équivalents sous linux?

      perso, j'utilise portsentry, mais je ne maitrise pas tout ce qu'il controle,...

      • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

        Posté par  . Évalué à 1.

        hum, le truc de fabien, je le proposerai surement pas à mon meilleur ennemi !
        c'est pas GPL, ça donne aucune info, si ce n'est qu'on est vulnérable à ça ou ça, bref, caca !

        Par contre, Arnaud Deraison à pondu un soft GPL qui s'appel http://www.nessus.org(...) et qui est très bien, et facilement 'pluggable.

        Et en plus il me semble que l'armée militaire américaine l'a validée en tant que Soft de sécurité, bon ok c'es pas forcément un critère, mais ça montre bien la power de nessus :)

        Avé ARnaud :))

        • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

          Posté par  (site web personnel) . Évalué à 1.

          > Et en plus il me semble que l'armée militaire américaine l'a validée
          Et que fait l'armée civile pendant ce temps :-) ?

        • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

          Posté par  . Évalué à 1.

          pour moi ce sont des logiciels différents (mais je me trompe peut-être) :

          nessus : audit de ta machine (vesions de logiciels avec des trous de sécurité, ports ouverts pour rien,...). c'est un nmap avec une analyse en plus.

          portsentry : détecter quand qq'un fait une tentative d'attaque sur ton pc (scan des ports,...)

          "le truc de fabien" : se rendre compte quand un intru est sur ta machine.

          en écrivant ça, je me rappelle d'un article (lwn.net je crois) d'une boite qui avait mis au point un logiciel qui détecte les intrus en analysant les changements de comportement (load, ...) de ton serveur.
          je recherche.

          • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

            Posté par  . Évalué à 1.

            et hop :

            http://lwn.net/2001/0503/security.php3(...)

            CylantSecure for Linux.
            "..."
            Most of the current focus of intrusion detection systems look either at the input to the system (e.g., network connections, attack signatures) or the output from the system (file checksums, etc.).
            CylantSecure looks instead at the behavior of the system itself, producing a model for what the "normal" behavior of the CPU is, when in production use, and therefore detecting "abnormal" behavior and actively dropping connections or terminating processes that display abnormal behavior.

            • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

              Posté par  . Évalué à 1.

              Heu...Qu'on me reprenne si je me trompe (suis pas un expert en la matière) mais contre un DOS ...Pas grand chose a faire sauf la détection préventive de scans intempestifs ?
              et dans ce cas....snort (http:// www.snort.org) peut servir ...

              • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

                Posté par  . Évalué à 1.

                bah y a pas de "scans intempestif" avec une attaque DDOS.

                Et bien sur qu'on peux faire qque chose !
                Ce que je ne sais pas c'est pourquoi personne (Apache ,IIS et consort ) ne l'implémente par défaut dans la conf !

                Il suffit de dire au serveur httpd de ne pas accepter + de X connexion depuis une même adresse IP pendant un temps donnée et lorsque une telle chose arrive, tu firewall cette adresse IP à l'aide d'un script perl par ex et hop !

                • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

                  Posté par  . Évalué à 1.

                  Il suffit de dire au serveur httpd de ne pas accepter + de X connexion depuis une même adresse IP pendant un temps donnée et lorsque u telle chose arrive, tu firewall cette adresse IP à l'aide d'un script perl par ex et hop !

                  C'est vraiment si simple que cela ? Je n'y connais pas grand chose mais à partir de combien de connexions met-on un système à genoux ?

                  Il y avait environ 500 machines. Si chacune d'elle envoie 10 requêtes simultanément, je ne pense pas qu'un petit serveur puisse avaler 5000 requêtes d'un coup ? Ou alors je n'ai pas les bons ordres de grandeur...

                  Deuxième question: à combien de requêtes te limites-tu par adresse IP ? Cela risque vite vite de saturer le serveur de calculer cela tout le temps, non ?

                  Je suis curieux de connaître les réponses...

                  Merci

                  PK

                  • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

                    Posté par  (site web personnel) . Évalué à 1.

                    Je ne suis pas spécialiste, je me base sur ce qui a été dit sur les forums de Nerim après un problème de ddos.

                    - Ce n'est pas Apache ou autre qui est la cible du denial, mais la machine : souvent des paquets ping.

                    - Dans un ddos, tu ne recois pas beaucoup (tout est relatif) de paquets d'une seule IP : L'attaque viens de plusieurs machines et sont de toute facon en général falsifiées (spoofing). Un filtrage par adresse IP de l'envoyeur est donc souvent inefficace.

                    - Changer la configuration de la machine attaquée pour refuser les paquets n'est pas suffisant : la ligne est de toute facon engorgée. Le filtrage doit s'effectuer en amont sur les routeurs (plus de capacité à gérer les gros flux et flux plus réduit si ils sont partagés sur plusieurs routeurs)

                    Le dernier point est surtout vrai pour le cas de serveurs hebergés sur une ligne ADSL (débit de la ligne ridicule par rapport au volume d'un ddos), mais je pense que c'est aussi valide pour un serveur relié à une grosse ligne. Plus tu t'éloigne de l'attaqué et moins tu as de traffics. A partir d'une certaine distance (enfin distance... on se comprend), il deviens même difficile de détecter une anormalité sur les flux.

                    Je ne sais pas si news.nerim.net est disponible pour les non-abonnés (ptet en lecture). Les forums sont assez instructifs.

                • [^] # Limitation de connexions par IP

                  Posté par  . Évalué à 1.

                  Je vois un probleme avec cette approche: une adresse IP ne correspond pas forcement a un utilisateur:

                  • Cas d'un serveur multi-utilisateurs

                  • Reseau derriere une passerelle NAT


                  Le traffic venant de telles IP devrait etre bien plus important qu'un traffic "normal", sans pour autant relever de l'attaque.

          • [^] # Portsentry == grosse daube !

            Posté par  (site web personnel) . Évalué à 1.

            Portsentry, qui sert à detecter les tentatives de connextions sur une machine (comme cela a ete dit precedement), est une grosse daube: il faut lui preciser une liste de ports sur lesquels il ouvre une socket. Donc:
            - le nb de ports d'ecoute est limité,
            - il ne permet pas de se baser sur les ports deja utilisés par des prorgrammes.
            - et il ouvre les ports qu'on lui demande d'ecouter !!!

            Il vaut mieux utiliser ippl qui utilise la libpcap et qui marche tres bien (-> apt-get install ippl ).

        • [^] # Re: proposition de frlinux (trop tard alors je la mets ici)

          Posté par  (site web personnel, Mastodon) . Évalué à 1.

          Ce n'est pas trop, c'etait une proposition de frlinux que j'ai copié/collé ici. (voir titre de mon commentaire)

  • # Bizarre bizarre... autant qu'étrange.

    Posté par  (site web personnel) . Évalué à 1.

    - les machines "attaqueuses" contenaient toutes un fichier "rundIl.exe", avec un 'i' majuscule, qui ressemble fort à "rundll.exe" (vérifiez vos systèmes !), mais est en fait un client IRC infecté ;

    C'est bizarre, je n'ai pas de rundIl.exe.
    En fait, je n'ai pas de rundll.exe non plus, c'est grave docteur ?

  • # pas exactement.

    Posté par  (site web personnel) . Évalué à 1.

    On ne peux pas vraiment parler de "client IRC infecté". Il n'est pas infecté, il est fait comme ça.

    Beaucoup d'utilitaire de DDOS se dirige par IRC. C'est pratique pour pouvoir les commander simplement de n'importe où.

    Enfin bon bref. Détail...

    --

  • # ...

    Posté par  . Évalué à 0.

    L'histoire semble véridique mais le chat, non serieux, c'est une vrai joke... C'est pratiquement impossible... un l33t polie et qui met ses ' dans ses phrases.. non mais, ils nous prennent pour des cons ou quoi?

    Et en réponse à la news, vous croyez que j'ai un rundil.exe sur linux?

    • [^] # Re: ...

      Posté par  (site web personnel) . Évalué à 1.

      "Et en réponse à la news, vous croyez que j'ai un rundil.exe sur linux?"

      non mais tu as d'autres fichiers infectables.

      et des worm linux, ca se trouve
      des kernel <2.2.19 aussi
      Et franchement tu connais toutes les lib et exe de ta machine ?

      bref de genre de saleté ca finira par utiliser linux, le jour ou windows aura disparu du marché de l'OS et que GNU sera le standard (reve éveillé)
      Et avec une pile TCP unix, bonjour les dégats
      (cf l'article)

      euclide

  • # Pinaillage orthographique

    Posté par  . Évalué à -1.

    Pour les modérateurs car cela me parait fréquent. On écrit:

    - protocole (avec un 'e', pas comme en anglais)
    - cauchemar (sans 'd' à la fin)

    C'est tout. Sinon je trouve l'article exceptionnel et passionnant. A s'en demander si tout est bien réel.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.