Bonjour,
Il semble que je me sois fait tout plein d'amis chinois cette nuit... Ca tape dur à l'entrée de la livebox play qui tient le coup en laissant tout passer vers ma machine derrère... C'est déjà mieux que le DDOS pur et dur. D'habitude, ils sont discrets et très lents pour ne pas se faire voir mais là... le nombre a rendu la chose plus évidente... donc si ça vous interresse, voila comment j'ai passé une partie de la nuit...
Alors... la première mesure d'urgence à mettre en place... le trou noir ! Ca marche aussi en cas de DDOS delibéré, mais dans tous les cas, il faut relacher la pression à l'entrée de la livebox et passer ça au PC ou au routeur qui est derriere... (comme pour une soupape de securité) et qui a les Watts nécessaire pour gérer ça.
- pour un linuxien : "ip route add blackhole 116.31.116.45/32" pour bloquer l'adresse 116.31.116.45 (un de mes "amis" chinois),
- pour moi c'est : "route add -host 116.31.116.45 127.0.0.1 -blackhole"
- pour quelqu'un avec un windows... heu... chépo! (help!)
Cette commande envoie directement tout message de l'attaquant dans les limbes sans meme se fatiguer à lui repondre. Ok : il "booffe" du débit pendant un temps mais cela reste vivable. Mais il va vite se calmer vu qu'il va voir qu'il perds son temps et son debit à se connecter sur une machine qui n'existe plus pour lui/elle.
Deuxieme étape... certaines université maintiennent une liste des esprits frappeurs... il suffit de la charger et de la remonter dans votre firewall. exemple ici.
Ce qui dans mon firewall se traduit par deux regles :
block quick from <bruteforce>
block quick to <bruteforce>
et <bruteforce> est une table contenant les IPs des tapoteurs de porte qui se charge automatiquement quand les esprits frappeurs sont suffisament rapides pour etre détéctés. Et si ils sont lents : a moi de charger la table manuellement avec leurs IPs.
Le resultat est rapide dans les stats :
10 Block In Q 4 256 0 drop from any to <bruteforce>
11 Block In Q 53 3346 0 drop from <bruteforce> to any
regle 10 : 4 paquets et 256 octets bloqués dans un sens et regle 11 : 53 paquets et 3346 octets bloqués dans l'autre sens... et il n'y a plus de connexions bizarres dans mes status.
Ils/Elles se sont très vite calmés. Surtout que j'ai tenté de faire en sorte qu'il voient un routeur qui leur dise qu'il n'y a pas de machine connectée. :robotvery-happy: Ils reviennent encore plus lentement et encore plus furtifs mais sont englués dans le firewall.
A vous de voir avec vos disponibilités et materiels si vous voulez jouer à ce genre de jeu... Et pour palier à la question les deux ou l'un ou l'autre : c'est pareil. si vous avez un "firewall avec des regles un peu epaisses" : la table de filtrage ira mieux sinon le trou noir marche bien avec des firewalls légers. (question de consomation de ressources).
bon... fin des aventures nocturnes : c'est pas tout... une tisane et au lit maintenant que ça se calme.
Eric.
