OVH Community, votre nouvel espace communautaire.

Attaque DNS


Ti EN
12/07/2016, 11h36
Sur chaque site j'ai deux connexions gérées par le PFsense.
Une connexion pour la voix (chez OVH) l'autre pour la data (chez Orange).

Les connexions impactées par l'attaque sont celles chez OVH. Derrière les connexions, il n'y a que des lignes SIP. Pour le DNS, les téléphones utilisent le cache DNS du PFsense, qui utilise les serveurs DNS attribués par le DHCP.

Donc pas de malware (dsl d'avoir posé la question), mais un problème lié aux connexions OVH peut être ?

buddy
12/07/2016, 11h18
Non pas forcément si ton serveur est mal paramétré, il est détecté depuis et utilisé durant l'attaque

Ti EN
12/07/2016, 11h08
Normalement mon PFsense était correctement paramétré car dans les logs, les entrées DNS en provenance des adresses externes étaient bloquées.

J'ai ajouté une règle situé en haut de la liste bloquant toutes les entrées DNS et ça à résolu le problème, car mon paramétrage autorisé certaines entrées comme pour mon VPN IPSEC puis bloque tout le reste.

Par contre je me demande pourquoi cette attaque ? Est ce un malware sur un des postes ?

buddy
12/07/2016, 10h51
Bonjour,

Ton pfsense est bien configuré pour ne pas répondre aux requêtes venant de l'extérieur ?

Sinon c'est une attaque par dns AMP.
Ton serveur reçoit des requêtes bidon provenant d'une ip usurpée et en répondant il participe à l'attaque.
C'est pour ça qu'il faut bien que ton serveur ne soit configurer pour répondre qu'aux adresses locale.
192.168.0.0/16, 10.0.0.0 /8

Ti EN
12/07/2016, 10h42
Bonjour,

J'ai rencontré des problèmes des connexions internet avec des paquets perdus, ainsi qu'une latence élevée.
J'utilise un routeur PFsense et je me suis rendu compte qu'une adresse ip saturé ma table d'état en utilisant le protocole UDP sur le port 53.

Je pense qu'il s'agit d'une attaque par deni de service sur le port 53. J'ai donc bloqué cette adresse et tout est entré dans l'ordre.

IL s'agit d'une IP hébergé par un data center à las vegas.

Ma question est pourquoi cette attaque ? Dans quel but ? Suite Virus ?

Si des personnes ont des infos par rapport à ça.

(Je vais envoyer un mail à l'hébergeur)

En vous remerciant,