informatique et high-tech (les meilleures news) %) - Page 530

./15869 : À l'instant t, tu peux pas, évidemment. Sur une période de temps plus longue, à moins que celui qui a lancé l'attaque dispose d'un botnet d'une taille vraiment énorme, les machines zombies doivent forcément tenter de se connecter un nombre de fois plus important que la moyenne. Donc on peut les identifier. Partant de là, il doit y avoir le moyen de remonter la piste.

EDIT : cross

Sauf si le botnet est tellement gros que chaque membre n'effectue pas tant de connexion que ça (du moins pas un nombre qui puisse semble réellement anormal). Je n'ai aucune idée du nombre de personne qui ont installé leur soft, et donc qui participent au DDoS, mais potentiellement ça pourrait être assez énorme.

D'ailleurs il est commandé comment, ce soft ?

d'autant qu'ils sont légion, et anonymes qui plus est

Pas si anonymous puisque Loic utilise l'adresse IP de la machine attaquante sans le masque (cf. news déjà postée ici)

Kochise

Zerosquare (./15873) :
D'ailleurs il est commandé comment, ce soft ?

Aucune idée, je n'ai pas spécialement envie de l'installer

Tu as peur que le FBI débarque chez toi ?

Pas spécialement, mais installer un soft qui peut faire ce qu'il veut de ma connexion sur demande d'un mec que je ne connais pas, c'est à dire installer un virus, curieusement ça ne me tente pas plus que ça.

le source est la https://github.com/NewEraCracker/LOIC
visiblement il reçoit les "cibles" via irc

Ah oui en effet... n'importe quel op du chan peut envoyer une commande pour que chaque client connecté se mette à flooder une cible en boucle avec des requêtes bidon. Par contre le code est assez basique, en particulier les fonctions de flood : le flood par HTTP utilise un user-agent quasi constant, donc ça doit pas être bien compliqué de s'en protéger (quitte à bloquer temporairement les 3 vrais utilisateurs qui manque de bol utilisent le même UA, mais vu sa tête il doit pas en rester beaucoup, il indique Firefox 3.6.17 en dur...).

Limmt online reloaded ?
(Cela dit, à 4 glands faisant un ping sur la connexion 56k de Peio, je me souviens qu'on l'avait fait sauter d'IRC... mais ça ne nous rajeunit pas, et la CIA n'a pas la capacité de trafic de Peio à l'époque )

Oui, c'est à peu près aussi sophistiqué que limmt online, et j'imagine que si on avait été 100 plutôt que 5 ça n'aurait pas été bien difficile de faire sauter un site ^^

4 pings pour faire sauter une connexion 56 k ?

Tiens m'en souviens pas de ça

T'avais fait un takeover sur #looooooove

Bien joué Peio du passé !

(Mais je crois me souvenir que t'avais pas du tout apprécié le DoS soit parce que t'avais une partie d'un jeu en cours soit parce que t'avais un téléchargement en cours )

Probablement un téléchargement sur un soft de p2p pourri

Ahhh oui t1, je me souviens maintenant (ouais, j'ai une mémoire bizarre ) c'est parce que ça avait remis à zéro toutes tes priorités et tous tes avancements sur eMule (chuis trop fier de me souvenir de tels trucs )

Kochise (./15870) :
Statistique ? Genre le gars qui arrête pas de te pinguer ou qui effectue des requêtes tellement lentes juste pour garder une connexion ouverte, ben tu le vires au bout de je sais pas, 5 sec de timeout. S'il revient, tu le vires direct. Y'a un schéma pour le DDoS, suffirait jusqte de le détecter pour le virer de suite et garder des connexions libres pour les "gentils"...

C'est pratiquement infaisable :
-> faire ça implique qu'à chaque connexion tu ménorises des choses. Ça va faire le jeu de l'attaquant, qui va cramer tes ressources á vitesse grand V
-> même si tu y parvenais, comment tu les vires ? avec une règle sur le firewall ? La plupart des firewalls professionnels sont limités au mieux à quelques milliers de règles, souvent moins. Avec des attaquants arrivant de partout, on peut pas factoriser les règles.
-> même si tu avais un nombre de règles illimitées, le principal facteur limitant d'un firewall d'un gros site, c'est son CPU (et ses logiques câblées). À chaque règle supplémentaire tu augmentes la consommation CPU du filtrage d'un paquet. Pas convaincu non plus que ça soit une bonne solution pour gérer, justement, un pic de paquets.

Enfin même si tu pouvais faire tout ça, il reste un problème : que fait un utilisateur lambda quand le site ne répond pas ?
Réponse : il réessaie.
On pourrait même dire que plus accéder au site est important pour lui, plus il va insister.
Du coup différencier le comportement d'un client légitime et d'un bot, c'est en fait assez difficile dès lors que le nombre de bots est élevé.

Zerosquare (./15871) :
Partant de là, il doit y avoir le moyen de remonter la piste.

Oui. Le problème ici n'est pas technique. Le problème c'est que quand la piste commence à pointer vers plusieurs dizaines de milliers de personnes, t'es sacrément dans la merde.
Même dans une stratégie de l'exemple, il y a assez peu de moyen juridique : la piste n'est pas fiable, et même si on trouve le soft installé ça ne prouve ni qu'il aie été utilisé sciemment, ni qu'il aie été utilisé pour l'attaque sur laquelle tu enquétes.

Zeph (./15880) :
le flood par HTTP utilise un user-agent quasi constant, donc ça doit pas être bien compliqué de s'en protéger

C'est déjà trop tard en fait. Analyser les en-têtes ça suppose une consommation de ressources bien trop élevée : ouvrir la connexion, allouer les ressources, fork()er un nouveau processus, parser l'en-tête... le matcher à une black-list...
Un bon DDoS arrive à mettre parterre un firewall matériel filtrant au niveau IP.

Heu. Quel genre de matériel ? Parcequ'un load balancer peut tout à fait traiter des dizaines de milliers de requêtes HTTP par seconde, en analysant les en-tête, et sans le moindre souci de performance. Il ne reste qu'à vérifier une blacklist, mais ça ne me semble pas être le plus coûteux dans l'affaire.

Le problème serait plutôt d'établir cette blacklist, non ? (mais là, ça va surtout dépendre du nombre d'attaquants)

Oui, c'est bien ce que je soulignais au post ./15869 : techniquement ça ne me semble pas poser de problème de bloquer les auteurs du DDoS, même s'il sont beaucoup. En revanche, les identifier, c'est une autre paire de manche.

Zeph (./15892) :
Heu. Quel genre de matériel ? Parcequ'un load balancer peut tout à fait traiter des dizaines de milliers de requêtes HTTP par seconde, en analysant les en-tête, et sans le moindre souci de performance. Il ne reste qu'à vérifier une blacklist, mais ça ne me semble pas être le plus coûteux dans l'affaire.

Je parle bien du firewall.
Par exemple, les firewalls utilisés par "un grand nom de la distribution", des Cisco 5520, sont capables d'encaisser 12000 connexions par seconde. Pour le fonctionnement habituel c'est large. Mais face à une attaque distribuée c'est pas énorme en fait. Surtout que ce nombre diminue quand on augmente le nombre de règles (on colle les CPUs du bazar avant d'arriver a son débit max).

Il existe effectivement des firewalls plus costauds, mais le prix croît de maniere exponentielle. En pratique j'en ai jamais vu en dehors de chez les FAI.

[edit: et quand t'es attaqué ça te fait une belle jambe de savoir qu'il existe d'autres modèles qui pourraient peut-être tenir la charge]

D'autant que, en règle générale, les équipement de sécurité et de filtrage sont le plus souvent au niveau des accès critiques (points d'entrée sur les VPN pour le personnel et les échanges avec l'extérieur...) et pas sur la vitrine qu'est le site web. Et ces points d'entrée utilisent le plus souvent un point d'accès différent que tout ce qui est public (c'est en tout cas le cas pour les liens critiques qu'on peut avoir avec certains ministères).
Un serveur web qui tombe, c'est un peu naze pour l'image, mais après c'est pas la mort (par contre, quand il y a des grosses boites qui ne font pas de séparation intérieur-extérieur, c'est un peu plus gênant... ou quand il est difficile de faire une nette séparation, comme lors d'un service Web, comme ça a été le cas pour Sony).

L'idée est tellement conne que je me demande pourquoi personne ne l'a fait avant... Enfin, ça devient de moins en moins indispensable aujourd'hui, cela dit (et heureusement).

Effectivement, bonne idée.

jolie bébête!