Attaque DDOS plante le serveur ?
Après une relance mail, je viens d'avoir une réponse OVH :
Bonjour,
Il s'agit d'attaques ICMP qui ne sont pas correctement filtrées.
Je vais ajouter les IPs de ns225784 (176.31.226.207 et 87.98.166.128) sous protection Arbor permanente, avec un filtre spécifique à ces attaques.
En cas d'attaque il se pourra que vous perdiez des paquets de ping (si vous pingez le serveur depuis l'extérieur d'OVH), mais cela ne voudra pas dire que le trafic légitime (tcp ou udp par exemple) est impacté.
Clement
Envoyé par
Cetic
Foenix tu aurais qq chose a nous mettre sous la dent genre log ? Ip ? Type d'attaque ? Protocol ... bref qq chose ou pas ?
En inter OVH rien ne passe par le TNF ou ni même la protection anti DDOS. (Vu que les machines sont déjà dans le réseau OVH)
Donc si ce sont des machines infecté (genre KS ou autre) il suffirait de les signaler à OVH et de bloquer l'attaque sur ton serveur.
Si cela ne viens pas de chez OVH mais bien de l’extérieur, tu vas dans le manager V6, tu configure pour chaque IP attaquées les règles du TNF et tu active l'auto mitigation en mode FORCEE.
La tu verra sur ton serveur se qui te reste en attaque entrante avec un tcpdump de l'eth0/x et tu peux signaler à OVH via le mail du support DDOS.
Bonjour,
Désolé pour le délais de réponse
Malheureusement, j'ai rien du tout comme info, mon admin ne trouve rien. J'essaye d'avoir des infos auprés d'OVH, mais sans succés pour le moment, donc je viens de les relancer.
En tout cas "content" de voir que je suis pas tout seul.
Point positif : pas encore eu d'attaque cette année
YESonvousheberg
05/01/2014, 06h52
Pas d'option lenght sur le TNF. Puis sa ne changerait pas grand chose .
Une autre qui traine aussi :
04:20:06.528927 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
96.49.99.11.62603 > 46.165.57.132.8888: [no cksum] UDP, length 10
04:20:06.528935 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
66.151.48.123.9825 > 46.165.57.132.8888: [no cksum] UDP, length 10
04:20:06.528944 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
64.32.216.22.17859 > 46.165.57.132.8888: [no cksum] UDP, length 10
04:20:06.528951 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
37.149.146.63.59937 > 46.165.57.132.8888: [no cksum] UDP, length 10
04:20:06.528958 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 38)
74.154.188.85.37107 > 46.165.57.132.8888: [no cksum] UDP, length 10
Il n'y a rien a faire pour "les Clients" . Or mi interdire via le TNF , un range pour le port source afin de limité l'impact mais la encore , sa rend le service non fonctionnel si les clients use un port BlackList via TNF .
Le seul réèl FIX possible pour les 2 types d'attaques que j'ai envoyé et qui passe actuellement toutes les couches de mitigation ==> Arbor . Celui ci est fait pour sa .
Pour le moment Arbor ne le vois pas mais Wait && See ( juste besoin de raj un filtre ou option sur Arbor ) .
Bref sa sera surement fixé dans la journée je vous tiens au courant si j'ai des nouvelles .
Envoyé par
YESonvousheberg
17:30:20.050830 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
40.102.112.114.52470 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050836 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
162.97.168.54.49080 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050841 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
78.144.170.15.5217 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050846 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
14.103.131.44.56722 > 46.165.57.132.8888: [no cksum] UDP, length 1
n'est il pas possible de bloquer alors sur la taille des paquets afin de ne pas accepter n'importe quelle IP ?
Il me semble avoir vu ça dans les options avancées du TNF. Je me trompe peut être ^^
Dans tous les cas l'attaquant peut toujours voir que ça ne passe pas et changer des paramètres. il n'existe pas de protection parfaite, il faudra toujours avoir un œil dessus malheureusement.
tiens nous au courant ça m'm’intéresse.
YESonvousheberg
03/01/2014, 15h29
L'attaque ( en tout cas pour mon cas ) est de type UDP spoof ( Non interne ) . IP et port SRC random ===> IP/port Ciblé d'un service en UDP
Ce style la :
17:30:20.050830 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
40.102.112.114.52470 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050836 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
162.97.168.54.49080 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050841 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
78.144.170.15.5217 > 46.165.57.132.8888: [no cksum] UDP, length 1
17:30:20.050846 IP (tos 0x0, ttl 56, id 1, offset 0, flags [none], proto UDP (17), length 29)
14.103.131.44.56722 > 46.165.57.132.8888: [no cksum] UDP, length 1
Je ne posterai pas plus de détails ici ...
Reste plus qu'a attendre une réponse du staff anti-DDOS.
Foenix tu aurais qq chose a nous mettre sous la dent genre log ? Ip ? Type d'attaque ? Protocol ... bref qq chose ou pas ?
En inter OVH rien ne passe par le TNF ou ni même la protection anti DDOS. (Vu que les machines sont déjà dans le réseau OVH)
Donc si ce sont des machines infecté (genre KS ou autre) il suffirait de les signaler à OVH et de bloquer l'attaque sur ton serveur.
Si cela ne viens pas de chez OVH mais bien de l’extérieur, tu vas dans le manager V6, tu configure pour chaque IP attaquées les règles du TNF et tu active l'auto mitigation en mode FORCEE.
La tu verra sur ton serveur se qui te reste en attaque entrante avec un tcpdump de l'eth0/x et tu peux signaler à OVH via le mail du support DDOS.
poustiquet
03/01/2014, 07h44
Snort ne les bloque pas ?
YESonvousheberg
03/01/2014, 06h19
Foenix , oui il a un type d'attaque qui passe le VAC et toutes les couches de mitigations ... J'ai le même soucis que toi . J'ai réussi une capture full tcpdump et j'ai folow .
il semble que l'attaque en question soit de plus en plus utilisé . . .
J'attends le fix .
tu entends quoi par lent? tu as regardé le cpu/ram au moment de l'attaque? ou c'est la connexion qui est flood donc peu de packets légitimes passent? C'est quel type d'attaque? tu as l'offre pro?
Bonjour,
Merci pour ta réponse rapide.
Je suis sur un EG SSD de 2011.
Pour les ports je vais voir avec mon admin pour vérifier ça, merci
heu, tu as un firewall sur le serveur qui bloque les ports non ouvert(s)/inutile(s) ?
Si oui, tu peux faire la même chose avec le firewall network dans le manager OVH.
Après, les attaques ddos sont toutes différentes, c'est facile de bloquer celle qui n'ont rien avoir avec le serveur mais si c'est un attaque sur le port 80 (http ) ou autre, çà devient plus compliquer à filtrer.
tu as quoi comme serveur ?
Bonjour,
Je suis sur un dédié et depuis plusieurs jours, j'ai plusieurs attaques DDOS par jour (4-5), avec des attaques qui durent parfois plus de 2h00 !
A chaque fois, mon server devient tellement lent qu'il n'est plus opérationnel.
Il me semblait pourtant que le système de mitigation devait protéger le serveur et faire qu'il reste opérationnel pendant l'attaque et que tout était automatique ? Ou y'a un truc qu'il faut configurer et que j'ai pas vu ?
Cdlt,