Besoin aide : Attaque DDoS

Répondre
Partager Rechercher
Bonjour,

Je suis victime en se moment d'attaque DDoS.

Concrètement je reçois beaucoup de packet sur des ports bien précis
(4662, 3996, 137, 2250, 21, 81, 5662, 3872, 16288 ...)
Cela a pour conséquence de saturer ma bande passante et de provoquer des DoS (Deny of Service).
Etant donné que les adresses emettrices des paquets sont nombreuses, cela me fait plutot penser à des attaques DDoS.

Les impacts directs de ces attaques font que mon débit est réduit mais surtout qu'aucune application serveur sur ma machine ne peut répondre. Il est donc impossible de se connecter chez moi.

Je précise que j'utilise un modem/routeur.

Voici une partie des actions que j'ai entreprise :

J'ai relancé ma connexion afin de changé d'ip. -> Aucun résultat.
J'ai desactivé toute mise à jour de dynamic dns et j'ai changé d'ip. -> Aucun résultat.
J'ai mis mes ports en traces pour voir si aucune application indésirable n'envoyait des informations. -> Aucun résultat.
J'ai interdit tout appel sortant au niveau de mon routeur et j'ai changé d'ip. -> Aucun résultat.
J'ai passé des anti spyware & trojan & anti virus à jour. -> peau neuve mais Aucun résultat.
Je me suis renseignée sur le net pour voir si je n'étais pas la seule
impactée. -> Apparement beaucoup de site et autres machines sont victimes d'attaques ces derniers temps. J'ai fais un test de débit -> à peine 78Ko/s pour une connexion 1024.
J'ai formaté et reinstallé mon système -> aucun résulat.
J'attends des démarches de mon FAI auquel j'ai transmis des logs.


J'ai peine à comprendre pourquoi le phénomène persiste meme lorsque je m'interdis d'envoyer des paquets sortants.

D'avance merci pour votre aide.
__________________
http://perso.wanadoo.fr/nylwys/signature.jpg
Ca ressemble beaucoup plus à du P2P (vu les ports) qu'à une attaque, surtout que tu as changé d'Ip (donc si c'est une attaque c'est qu'un trojan transmet la nouvelle Ip aux attaquants).

Bref tu paies pour l'idiotie des autres. Filtre les en dur et prend patience, ça commencera à aller un peu mieux.
Oui comme le dit Blacky ca ressemble pas mal aux ports de communication des softs de P2P.

Bien que le 21 c'est le port FTP.

C'est peut etre un petit malin qui a le même FAI que toi et qui s'amuse a scanner la plage d'IP pour trouver des trojans ou autres serveurs ouverts.
Effectivement le port 4662 est le port par defaut de emule.

Ca ressemble donc fortement a du P2P, comme si on essayais de voir si ca reponds sur ton ip.

Par contre, tu as un firewall ? Tu bloques quoi comme ports ?
Faudrait peut-être penser à bloquer les ports entrants aussi tant qu'on y est!!

Et si tu as des logiciels de P2P (on ne sait jamais), essayer de changer les ports que tu leur alloues. Si les attaques se sont déplacées sur les nouveaux ports, ça vient de logiciel P2P.
Citation :
Provient du message de Rohel
Effectivement le port 4662 est le port par defaut de emule.

Ca ressemble donc fortement a du P2P, comme si on essayais de voir si ca reponds sur ton ip.

Par contre, tu as un firewall ? Tu bloques quoi comme ports ?
Exact c'est un port très utilisé pour le P2P.

Je bloque tous les ports. Rien ne passe mais je sature sous le flot de paquet.
Idée farfelue mais peut être pas tant que ça :
L'impression que ça me donne c'est que des utilisateurs de P2P sont infectés et soit servent de daemon pour les attaques DDoS, soit prennent ma machine pour un serveur P2P ce qui revient presque au même.
Ils se peut que ce ne soit pas ma machine qui soit ciblée mais tout une plage d'ip ce qui expliquerai pourquoi quoi que je fasse les attaquent reviennent.
__________________
http://perso.wanadoo.fr/nylwys/signature.jpg
Citation :
Je précise que j'utilise un modem/routeur
Hum hum
ça marche comment ce genre d'appareil ?
Il n'utiliserai pas par hazard une ip fixe ou un protocole particulier qui le rendrait identifiable sur le net ?
A t"il un firewall intégré ?
Citation :
Provient du message de Terremer
Hum hum
ça marche comment ce genre d'appareil ?
Il n'utiliserai pas par hazard une ip fixe ou un protocole particulier qui le rendrait identifiable sur le net ?
A t"il un firewall intégré ?
- Je n'ai pas d'ip fixe.
- Pour ce qui est de l'identifier, à ma connaissance rien ne peut le distinguer d'un modem ADSL classique.
- Un firewall est bien intégré au produit.
__________________
http://perso.wanadoo.fr/nylwys/signature.jpg
Citation :
Provient du message de Nylou
Exact c'est un port très utilisé pour le P2P.
Le 21 c'est du FTP data (iirc), parfois utilisé comme port alternatif pour du P2P à cause de la paranoia de filtrage. 4662 c'est le TCP par défaut des ed2k, 3996 c'est du TCP d'un autre réseau par défaut, 2250 je l'ai déjà vu quelque part également en TCP, 81 ca ressemble bien à une tentative de port alternatif, 5662 c'est du TCP par défaut d'un autre réseau P2P, 3872 idem, 16288 UDP par défaut des ed2k je crois.
Citation :
Je bloque tous les ports. Rien ne passe mais je sature sous le flot de paquet.
Tu n'es pas le premier à en souffrir.
Citation :
soit prennent ma machine pour un serveur P2P ce qui revient presque au même.
Ca doit être ça, ou un petit malin tente de te flinguer et fait passer ça pour du P2P. J'ai déjà vu une demi douzaine de post similaire dans les newsgroup du support Free là dessus ces derniers mois. Par contre, à part attendre (au bout de quelques heures les autres nodes P2P se rendront bien compte que tu ne réponds pas et lacheront l'affaire) je ne vois rien à y faire.

Ah si, prendre une IP fixe, qui sera par définition propre (si tu ne fais pas du P2P).
Citation :
Provient du message de Blacky---
Le 21 c'est du FTP data (iirc), parfois utilisé comme port alternatif pour du P2P à cause de la paranoia de filtrage. 4662 c'est le TCP par défaut des ed2k, 3996 c'est du TCP d'un autre réseau par défaut, 2250 je l'ai déjà vu quelque part également en TCP, 81 ca ressemble bien à une tentative de port alternatif, 5662 c'est du TCP par défaut d'un autre réseau P2P, 3872 idem, 16288 UDP par défaut des ed2k je crois.

Tu n'es pas le premier à en souffrir.

Ca doit être ça, ou un petit malin tente de te flinguer et fait passer ça pour du P2P. J'ai déjà vu une demi douzaine de post similaire dans les newsgroup du support Free là dessus ces derniers mois. Par contre, à part attendre (au bout de quelques heures les autres nodes P2P se rendront bien compte que tu ne réponds pas et lacheront l'affaire) je ne vois rien à y faire.

Ah si, prendre une IP fixe, qui sera par définition propre (si tu ne fais pas du P2P).
Ca fait déjà quelques jours que ça dure .
Prendre une ip fixe pourquoi pas mais ça se fait pas comme ça et ça me rendrait encore plus vulnérable.
__________________
http://perso.wanadoo.fr/nylwys/signature.jpg
Citation :
Provient du message de Nylou
Prendre une ip fixe pourquoi pas mais ça se fait pas comme ça et ça me rendrait encore plus vulnérable.
C'est gratuit et très simple chez de bons FAI (Free, Nerim). Après tout dépend du tient.

Sinon cela te rend plus vulnérable à une vraie attaque, mais ça ça ressemble vraiment à du P2P. Si un jour tu subis une vraie attaque, tu pourras toujours expliquer le cas à ton provider et demander un changement, ou de l'aide pour identifier les fautifs.

Sinon il ne te reste qu'à tracer les responsables, et écrire à l'abuse de leur provider, avec tous les logs concernés, mais ça prend du temps.
Citation :
Provient du message de Blacky---
C'est gratuit et très simple chez de bons FAI (Free, Nerim). Après tout dépend du tient.

Sinon cela te rend plus vulnérable à une vraie attaque, mais ça ça ressemble vraiment à du P2P. Si un jour tu subis une vraie attaque, tu pourras toujours expliquer le cas à ton provider et demander un changement, ou de l'aide pour identifier les fautifs.

Sinon il ne te reste qu'à tracer les responsables, et écrire à l'abuse de leur provider, avec tous les logs concernés, mais ça prend du temps.
Je vais peut être essayer de garder mon ip un moment afin de voir si ça change quelque chose.

En attendant je continue de tracer toutes les attaques et j'envois les log à mon FAI.

Merci pour tes réponses.
__________________
http://perso.wanadoo.fr/nylwys/signature.jpg
Effectivement si tu bloques les ports sus cités en entrée, et que tu satures sous le flot des requetes sur ton firewall, je ne vois pas quoi faire. On est clairement dans la "saloperie" de DoS et a part attendre que ca se calme ou bien engager une procedure au niveau de ton FAI...
__________________
Cyrax [WoW] Kael'Thas
Co-Leader de l'Alliance des Seigneurs - Ingénieur Gob Gob
Forum AdS Multi-jeux
c'est dingue j'ai exactement la meme chose
d'ou mon post l'autre jour sur les attaques netbios et co...
c'est assez chiant en soirée ca me pourri tellement ma connexion que c'est impossible de jouer online
pourtant j'utilise pas de truc p2p

edit : si, cette connerie de jeuxvideo.com-bittorent
En soi le P2P est plutôt une bonne technique, ca permet entre autre de distribuer un fichier (un programme, une démo, etc.) populaire sans devoir payer des dizaines de méga de bande passante (qui sont loin d'être gratuits).

Le problème est son utilisation à tort et à travers, qui donne par exemple cet effet là.
Citation :
Provient du message de Rohel
Effectivement si tu bloques les ports sus cités en entrée, et que tu satures sous le flot des requetes sur ton firewall, je ne vois pas quoi faire.
rebooter le routeur (ou le débrancher/rebrancher, au pire), afin de forcer d'une part à vider le log du firewall, la table NAT, et surtout de forcer un changement d'ip, ce qui permet d'avoir un tant soi peu la paix.
Problème, ce n'est valable que quand le FAI a une configuration qui attribue une adresse ip à chaque demande, et non la même tant que les 24h ne sont pas passés

Citation :
Provient du message de Nylou
En attendant je continue de tracer toutes les attaques et j'envois les log à mon FAI.
Par curiosité, tu utilises quoi pour rapatrier les logs du firewall ? Kiwi syslog ?
Ca m avais fait ca, ya quelques mois apres quelques semaines intensive sur emule. Meme en changant d IP, ca continuait.

La solution : bloquer tout les ports en laissant ton PC tourner, tu enregistre bien les logs ( j en etais arrive a 5000 tentatives d intrusion avec un pic a 500 en une heure ), et tu vas voir qu il vont se lasser tres vite en 2 3 jours.

Et quand je dis bloquer tout les ports, c'est TOUT les ports, donc pas d internet en attendant que ca remarche.

Ensuite update de tout tes logiciels antivirus/spybot/...... et hop un bon gros scan pour virer les truc inutiles
Citation :
Provient du message de CochonlDinde
c'est dingue j'ai exactement la meme chose
d'ou mon post l'autre jour sur les attaques netbios et co...
c'est assez chiant en soirée ca me pourri tellement ma connexion que c'est impossible de jouer online
pourtant j'utilise pas de truc p2p

edit : si, cette connerie de jeuxvideo.com-bittorent
Moi non plus je n'utilise pas de logiciel P2P ni quoi que ce soit qui s'en approche.

Citation :
Provient du message de Sadyre
rebooter le routeur (ou le débrancher/rebrancher, au pire), afin de forcer d'une part à vider le log du firewall, la table NAT, et surtout de forcer un changement d'ip, ce qui permet d'avoir un tant soi peu la paix.
J'ai déjà fait ça mais ça ne change rien.
Citation :
Provient du message de Sadyre

Problème, ce n'est valable que quand le FAI a une configuration qui attribue une adresse ip à chaque demande, et non la même tant que les 24h ne sont pas passés

Par curiosité, tu utilises quoi pour rapatrier les logs du firewall ? Kiwi syslog ?
Mon routeur me les envois par mail.

Citation :
Provient du message de L'homme invisible
Ya un nouveau worm en ce moment il sapelle beagle bbeagle regarde dans tes task parce que cest peu etre lui qui te fou la merde ... sinon regarde si tu na pas un trojan.
J'ai déjà contrôlé et je n'ai pas ce vers sur ma machine.

Citation :
Provient du message de caarheim
Ca m avais fait ca, ya quelques mois apres quelques semaines intensive sur emule. Meme en changant d IP, ca continuait.

La solution : bloquer tout les ports en laissant ton PC tourner, tu enregistre bien les logs ( j en etais arrive a 5000 tentatives d intrusion avec un pic a 500 en une heure ), et tu vas voir qu il vont se lasser tres vite en 2 3 jours.

Et quand je dis bloquer tout les ports, c'est TOUT les ports, donc pas d internet en attendant que ca remarche.

Ensuite update de tout tes logiciels antivirus/spybot/...... et hop un bon gros scan pour virer les truc inutiles
C'est ce que je fais mais ça se calme pas.
J'ai coupé ma connexion pendant un moment pour voir si ça y changé quelque chose. -> auncun résultat sauf que j'ai changé d'ip à nouveau.
Je vais essayer de garder mon ip pendant quelques jours pour voir si ça se calme.

J'aimerai vraiment comprendre si ça me vise personnellement ou juste une plage d'ip que le serveur DHCP m'attribue.
__________________
http://perso.wanadoo.fr/nylwys/signature.jpg
Répondre

Connectés sur ce fil

 
2 connectés (0 membre et 2 invités) Afficher la liste détaillée des connectés