Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-05 Par sujet Nedjar, Reda 
Salut Matthieu

Tout a fait en phase avec ton analyse du vecteur d’attaque "SYN/ACK 
amplification attack".

Les hébergeurs et leur scopes d’IP (plusieurs /24 voir /16 en DST) se font 
arroser avec du TCP SYN Spoofé avec des IP SRC de victimes (paris en ligne). 
Les victimes se prennent donc en retour des SYN/ACK floods réfléchis par des 
serveurs légitimes hébergés par des infra Clouds (TCP 80/443 …etc).
Ces attaques "SYN/ACK amplification" combinent deux techniques bien connus :

  *   utilisation de services ouverts/réflecteurs (ex NTP comme dans NTP 
Réflexion/Amplification) mais cette fois avec des services TCP au lieu d’UDP – 
le facteur d’amplification est très faible comme tu l’as souligné mais le 
potentiel d’openreflectors (nb de services TCP ouverts) est plus large ce qui 
donne souvent des attaques en MPPS.
  *   utilisation de « Carpet Bombing » : arroser en destination un scope Large 
d’IP comme plusieurs /24 voir plusieurs /16 pour  multiplier l’effet de 
réflexion par le nb de services ouverts. Les attaquant sont devenu très 
fainéant. Avant ils s’amusaient a collecter/scanner le net pour trouver la 
liste des Openresolvers DNS (ou autres services UDP open) pour faire de la 
reflection/amplification, de nos jours ils arrosent tout un scope d’IP sans 
faire de Scan au préalable.

« Carpet Bombing » a été utilisé depuis deux ans contre principalement des 
opérateurs fixe/broadband pour saturer leur réseau d’accès : on arrose tout un 
pool d’adresses DSLAM/BAS/CMTS (plusieurs /24 voir des /16 ou /8 dans le cas 
d’opérateurs US) et on sature le réseau d’accès/agrégation voir Core.
https://www.zdnet.com/article/carpet-bombing-ddos-attack-takes-down-south-african-isp-for-an-entire-day/

En Amérique latine en ce moment on voit du SYN Spoofé dirigé vers des CPE 
Broadband qui ont certains ports de gestion TCP ouverts et donc font du SYN/ACK 
en retour. On pense que ces vecteurs d’attaques commencent à a se démocratiser 
grâce a l’intégration dans les Botnets et autres services Booter/Stresser ce 
qui va rendre leur utilisation encore plus facile et augmenter la fréquence de 
ce vecteur d’attaque.
C’est comme le DNS Prepending (ou PRSD) qui a fait couler de l’encre en 2016 
avec l’attaque contre DYN DNS et a touché AWS plus récemment, il est intégré 
aux Botnet/Stresser et on en voit de plus en plus … vigilance donc sur la 
protection de vos DNS.

A+
Reda


From:  on behalf of Matthieu Texier 

Date: Tuesday 5 November 2019 at 13:36
To: Gaetan Allart 
Cc: Guillaume Barrot , Michel Py 
, "raph...@maunier.net" 
, frnog-tech 
Subject: Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque 
DDOS en cours

This message originated outside of NETSCOUT. Do not click links or open 
attachments unless you recognize the sender and know the content is safe.
Bonjour Gaetan,

Je confirme ton observation, les attaques se poursuivent. Hier nous avons de 
mitigé une attaque de 180 Gbps vers du paris en ligne.

Il s’agit d’attaques par amplification TCP aussi appelée "SYN/ACK amplification 
attack".

Sur la base d’un échantillon de quelques milliers de paquets durant une période 
de l’attaque (pas forcement représentatif de son intégralité) :

- Uniquement des packet TCP SYN/ACK de 60 Bytes,
- Repartition des ports src :
  22 : 12,8%
  25 : 10,7%
  53 : 4%
  80 : 29,8%
  139 : 0,8%
  443 : 32,8%
  445 : 2%
  465 : 1,8%
  587 : 2,2%
  3389 : 3,1%
- Sources : extrêmement distribuées comme toujours pour ce type d’attaques du à 
la non adoption de technique d’anti-spoofing tel que BCP 38 sur les serveurs 
(https://www.bortzmeyer.org/bcp38.html),

Du fait de son caractère asymétrique (flux retour TCP) et de l’asymétrie du 
routage BGP, le traitement de ces attaques en BGP flowspec rarement faisable et 
dépendra des implementations (un filtrage simple L4 ne donnera rien de bon). 
Ces attaques peuvent aussi cibler les machines d’état des FW's des hébergeurs 
car il faut vérifier, pour chaque SYN sortant que l’on ait le SYN/ACK 
correspondant.

Ces attaques peuvent empêcher le site d’établir toutes sortes de connexions TCP 
et donc d’accéder à son CDN ou toutes autres ressources d’authentification 
externe,

Pour autant, ce n’est pas véritablement une attaque par amplification au sens 
stricte car le facteur d’amplification est limité : x1 à x5 maximum. Donc, 
généralement ces attaques ne génèrent pas de très gros volumes.

My 2 cents,
Matthieu.




[cid:AE2A5FF4-D1EC-43AE-8414-A4F933B3C25A@home]





On 2 Nov 2019, at 11:37, Gaetan Allart 
mailto:gae...@nexylan.com>> wrote:

Bonjour Guillaume,

De mon observation (degré de conviction : 50%), quelqu'un s'amuse à
arroser les classes publiques des hébergeurs avec des TCP-SYN dont
l'IP source est forgée afin de diriger un max de ACK vers la
destination. Les ports de destination sont : 80, 443, 465, 587 et 22.

J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit
qu'il y a un maximum de chances d'av

RE: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-05 Par sujet Benjamin BILLON 
Ca serait intéressant de voir quels sites de paris n'ont _pas_ été impactés.
Et aussi si les sites impactés on reçu des tentatives d'extorsion comme ça se 
faisait pas mal au début des années 2000

--
Benjamin

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Michel Py
Sent: mardi 5 novembre 2019 00:12
To: frnog-tech ; guillaume.bar...@gmail.com; 
raph...@maunier.net
Subject: RE: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque 
DDOS en cours

> Johann a écrit :
> A croire que les attaquants ont accès à mon planning de vacance!

Il s'appelle Murphy, tu le connais pas  ? ;-)


> Raphael Maunier a écrit :
> Principalement amplification DNS/ LDAP,  ICMP Flood

Je suis surpris que tu n'aies eu "que" 100 MPPS; quelle taille de paquet ?

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-04 Par sujet Michel Py 
> Johann a écrit :
> A croire que les attaquants ont accès à mon planning de vacance!

Il s'appelle Murphy, tu le connais pas  ? ;-)


> Raphael Maunier a écrit :
> Principalement amplification DNS/ LDAP,  ICMP Flood

Je suis surpris que tu n'aies eu "que" 100 MPPS; quelle taille de paquet ?

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-04 Par sujet Johann 
Hello,

A croire que les attaquants ont accès à mon planning de vacance!
En effet, c'est étonnant et pas normal. On va creuser cette histoire :-)

Johann

Le sam. 2 nov. 2019 à 17:27, Nedjar, Reda  a
écrit :

> Merci, je vais alors avoir une discussion avec Johann pour tirer ça au
> clair  ;)
>
>
> Le 2 nov. 2019 à 17:19, Gaetan Allart  a écrit :
>
> 
> This message originated outside of NETSCOUT. Do not click links or open
> attachments unless you recognize the sender and know the content is safe.
> Zayo ;)
>
> Le sam. 2 nov. 2019 à 16:51, Nedjar, Reda  > a écrit :
> Y a rien de plus simple a détecter/bloquer un ACK Flood ou SYN-ACK flood
> sur Arbor, c’est qui ton provider anti-DDoS ? s’il a mal configuré son
> Arbor alors je me ferai un plaisir de lui faire un piqure de rappel.
>
> Cordialement
> —
> Reda Nedjar
> Consulting Engineer
> Arbor Networks - Security Division of Netscout
>
>
> > Le 2 nov. 2019 à 11:40, Gaetan Allart  gae...@nexylan.com>> a écrit :
> >
> > This message originated outside of NETSCOUT. Do not click links or open
> attachments unless you recognize the sender and know the content is safe.
> >
> > Bonjour Guillaume,
> >
> > De mon observation (degré de conviction : 50%), quelqu'un s'amuse à
> > arroser les classes publiques des hébergeurs avec des TCP-SYN dont
> > l'IP source est forgée afin de diriger un max de ACK vers la
> > destination. Les ports de destination sont : 80, 443, 465, 587 et 22.
> >
> > J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit
> > qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont
> > répondre.
> > Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas
> > super intéressante.
> >
> > Les sources des SYN évoluent en permanence depuis vendredi : on a eu
> > LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba.
> >
> > Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté...
> >
> > Gaëtan
> >
> >
> >> Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot
> >> mailto:guillaume.bar...@gmail.com>> a
> écrit :
> >>
> >> Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus,
> >> Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les
> >> solutions AntiDDOS se sont comportées ...
> >>
> >> Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça
> ...
> >>
> >> Le ven. 1 nov. 2019 à 07:08, Michel Py <
> mic...@arneill-py.sacramento.ca.us mic...@arneill-py.sacramento.ca.us>>
> >> a écrit :
> >>
> >>> Raphael,
> >>>
> >>> Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de
> >>> spoofing ?
> >>> Il y a combien d'IP sources ?
> >>>
> >>> 700G c'est pas de la rigolade. Bon courage.
> >>>
> >>> Michel.
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>>
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
> >>>
> >>
> >>
> >> --
> >> Cordialement,
> >>
> >> Guillaume BARROT
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >>
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
> >
> >
> >
> > --
> >
> > Gaetan Allart / CEO
> > gae...@nexylan.com / 0609219512
> >
> > Nexylan
> > 274 Ter Avenue de la Marne
> > 59700 Marcq-En-Baroeul
> >
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.nexylan.com=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=dg-0koTTOu2agvcN8taJ87CGGizeQ6wDCnRvnBHi3yg=
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> >
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
> --
>
> [Nexylan]
>
> Gaetan Allart / CEO
> gae...@nexylan.com / 0609219512
>
> Nexylan
> 274 Ter Avenue de la Marne
> 59700 Marcq-En-Baroeul
> www.nexylan.com
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-02 Par sujet Nedjar, Reda 
Merci, je vais alors avoir une discussion avec Johann pour tirer ça au clair  ;)


Le 2 nov. 2019 à 17:19, Gaetan Allart  a écrit :


This message originated outside of NETSCOUT. Do not click links or open 
attachments unless you recognize the sender and know the content is safe.
Zayo ;)

Le sam. 2 nov. 2019 à 16:51, Nedjar, Reda 
mailto:reda.ned...@netscout.com>> a écrit :
Y a rien de plus simple a détecter/bloquer un ACK Flood ou SYN-ACK flood sur 
Arbor, c’est qui ton provider anti-DDoS ? s’il a mal configuré son Arbor alors 
je me ferai un plaisir de lui faire un piqure de rappel.

Cordialement
—
Reda Nedjar
Consulting Engineer
Arbor Networks - Security Division of Netscout


> Le 2 nov. 2019 à 11:40, Gaetan Allart 
> mailto:gae...@nexylan.com>> a écrit :
>
> This message originated outside of NETSCOUT. Do not click links or open 
> attachments unless you recognize the sender and know the content is safe.
>
> Bonjour Guillaume,
>
> De mon observation (degré de conviction : 50%), quelqu'un s'amuse à
> arroser les classes publiques des hébergeurs avec des TCP-SYN dont
> l'IP source est forgée afin de diriger un max de ACK vers la
> destination. Les ports de destination sont : 80, 443, 465, 587 et 22.
>
> J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit
> qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont
> répondre.
> Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas
> super intéressante.
>
> Les sources des SYN évoluent en permanence depuis vendredi : on a eu
> LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba.
>
> Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté...
>
> Gaëtan
>
>
>> Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot
>> mailto:guillaume.bar...@gmail.com>> a écrit :
>>
>> Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus,
>> Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les
>> solutions AntiDDOS se sont comportées ...
>>
>> Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça ...
>>
>> Le ven. 1 nov. 2019 à 07:08, Michel Py 
>> mailto:mic...@arneill-py.sacramento.ca.us>>
>> a écrit :
>>
>>> Raphael,
>>>
>>> Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de
>>> spoofing ?
>>> Il y a combien d'IP sources ?
>>>
>>> 700G c'est pas de la rigolade. Bon courage.
>>>
>>> Michel.
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
>>>
>>
>>
>> --
>> Cordialement,
>>
>> Guillaume BARROT
>>
>> ---
>> Liste de diffusion du FRnOG
>> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
>
>
>
> --
>
> Gaetan Allart / CEO
> gae...@nexylan.com / 0609219512
>
> Nexylan
> 274 Ter Avenue de la Marne
> 59700 Marcq-En-Baroeul
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.nexylan.com=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=dg-0koTTOu2agvcN8taJ87CGGizeQ6wDCnRvnBHi3yg=
>
>
> ---
> Liste de diffusion du FRnOG
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
--

[Nexylan]

Gaetan Allart / CEO
gae...@nexylan.com / 0609219512

Nexylan
274 Ter Avenue de la Marne
59700 Marcq-En-Baroeul
www.nexylan.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-02 Par sujet Gaetan Allart 
Zayo ;)

Le sam. 2 nov. 2019 à 16:51, Nedjar, Reda  a
écrit :

> Y a rien de plus simple a détecter/bloquer un ACK Flood ou SYN-ACK flood
> sur Arbor, c’est qui ton provider anti-DDoS ? s’il a mal configuré son
> Arbor alors je me ferai un plaisir de lui faire un piqure de rappel.
>
> Cordialement
> —
> Reda Nedjar
> Consulting Engineer
> Arbor Networks - Security Division of Netscout
>
>
> > Le 2 nov. 2019 à 11:40, Gaetan Allart  a écrit :
> >
> > This message originated outside of NETSCOUT. Do not click links or open
> attachments unless you recognize the sender and know the content is safe.
> >
> > Bonjour Guillaume,
> >
> > De mon observation (degré de conviction : 50%), quelqu'un s'amuse à
> > arroser les classes publiques des hébergeurs avec des TCP-SYN dont
> > l'IP source est forgée afin de diriger un max de ACK vers la
> > destination. Les ports de destination sont : 80, 443, 465, 587 et 22.
> >
> > J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit
> > qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont
> > répondre.
> > Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas
> > super intéressante.
> >
> > Les sources des SYN évoluent en permanence depuis vendredi : on a eu
> > LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba.
> >
> > Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté...
> >
> > Gaëtan
> >
> >
> >> Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot
> >>  a écrit :
> >>
> >> Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus,
> >> Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les
> >> solutions AntiDDOS se sont comportées ...
> >>
> >> Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça
> ...
> >>
> >> Le ven. 1 nov. 2019 à 07:08, Michel Py <
> mic...@arneill-py.sacramento.ca.us>
> >> a écrit :
> >>
> >>> Raphael,
> >>>
> >>> Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de
> >>> spoofing ?
> >>> Il y a combien d'IP sources ?
> >>>
> >>> 700G c'est pas de la rigolade. Bon courage.
> >>>
> >>> Michel.
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>>
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
> >>>
> >>
> >>
> >> --
> >> Cordialement,
> >>
> >> Guillaume BARROT
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >>
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
> >
> >
> >
> > --
> >
> > Gaetan Allart / CEO
> > gae...@nexylan.com / 0609219512
> >
> > Nexylan
> > 274 Ter Avenue de la Marne
> > 59700 Marcq-En-Baroeul
> >
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.nexylan.com=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=dg-0koTTOu2agvcN8taJ87CGGizeQ6wDCnRvnBHi3yg=
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> >
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
>
-- 

[image: Nexylan] 

Gaetan Allart / CEO
gae...@nexylan.com / 0609219512

Nexylan
274 Ter Avenue de la Marne
59700 Marcq-En-Baroeul
www.nexylan.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-02 Par sujet Nedjar, Reda 

Y a rien de plus simple a détecter/bloquer un ACK Flood ou SYN-ACK flood sur 
Arbor, c’est qui ton provider anti-DDoS ? s’il a mal configuré son Arbor alors 
je me ferai un plaisir de lui faire un piqure de rappel.

Cordialement
—
reda.ned...@netscout.com
Consulting Engineer
+33675007958
Arbor Networks - Security Division of Netscout

> Le 2 nov. 2019 à 11:40, Gaetan Allart  a écrit :
> 
> This message originated outside of NETSCOUT. Do not click links or open 
> attachments unless you recognize the sender and know the content is safe.
> 
> Bonjour Guillaume,
> 
> De mon observation (degré de conviction : 50%), quelqu'un s'amuse à
> arroser les classes publiques des hébergeurs avec des TCP-SYN dont
> l'IP source est forgée afin de diriger un max de ACK vers la
> destination. Les ports de destination sont : 80, 443, 465, 587 et 22.
> 
> J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit
> qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont
> répondre.
> Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas
> super intéressante.
> 
> Les sources des SYN évoluent en permanence depuis vendredi : on a eu
> LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba.
> 
> Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté...
> 
> Gaëtan
> 
> 
>> Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot
>>  a écrit :
>> 
>> Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus,
>> Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les
>> solutions AntiDDOS se sont comportées ...
>> 
>> Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça ...
>> 
>> Le ven. 1 nov. 2019 à 07:08, Michel Py 
>> a écrit :
>> 
>>> Raphael,
>>> 
>>> Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de
>>> spoofing ?
>>> Il y a combien d'IP sources ?
>>> 
>>> 700G c'est pas de la rigolade. Bon courage.
>>> 
>>> Michel.
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
>>>  
>>> 
>> 
>> 
>> --
>> Cordialement,
>> 
>> Guillaume BARROT
>> 
>> ---
>> Liste de diffusion du FRnOG
>> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
>>  
> 
> 
> 
> -- 
> 
> Gaetan Allart / CEO
> gae...@nexylan.com / 0609219512
> 
> Nexylan
> 274 Ter Avenue de la Marne
> 59700 Marcq-En-Baroeul
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.nexylan.com=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=dg-0koTTOu2agvcN8taJ87CGGizeQ6wDCnRvnBHi3yg=
>  
> 
> 
> ---
> Liste de diffusion du FRnOG
> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFaQ=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM=
>  

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-02 Par sujet Caillaud Jonathan 
Pardon, correction: l’attaque de notre côté a eu lieux le 11 octobre.

Le samedi 2 novembre 2019, Caillaud Jonathan 
a écrit :

> Salut.
>
> Intéressant. On a eu une grosse attaque sur notre infra la semaine
> dernière. Online gaming aussi. On s’est prix 900gig.
>
>  Level3 a black hole notre /24 pour un petit moment. Lvl3 Ddos mitigation
> sys n’a pas tenu le coup et le system de notre data center service provider
> non plus.
>
> Par contre aujourd’hui c’est tranquille.
> Etrange.
>
> Sans faire de pub: on a réussi une bonne mitigation du problem via
> Incapsula/impreva.
>
> Bon courage au équipe en première ligne!
>
>
> Best regards.
>
>
> Le samedi 2 novembre 2019, Gaetan Allart  a écrit :
>
>> Bonjour Guillaume,
>>
>> De mon observation (degré de conviction : 50%), quelqu'un s'amuse à
>> arroser les classes publiques des hébergeurs avec des TCP-SYN dont
>> l'IP source est forgée afin de diriger un max de ACK vers la
>> destination. Les ports de destination sont : 80, 443, 465, 587 et 22.
>>
>> J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit
>> qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont
>> répondre.
>> Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas
>> super intéressante.
>>
>> Les sources des SYN évoluent en permanence depuis vendredi : on a eu
>> LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba.
>>
>> Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté...
>>
>> Gaëtan
>>
>>
>> Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot
>>  a écrit :
>> >
>> > Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus,
>> > Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les
>> > solutions AntiDDOS se sont comportées ...
>> >
>> > Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça
>> ...
>> >
>> > Le ven. 1 nov. 2019 à 07:08, Michel Py > ca.us>
>> > a écrit :
>> >
>> > > Raphael,
>> > >
>> > > Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de
>> > > spoofing ?
>> > > Il y a combien d'IP sources ?
>> > >
>> > > 700G c'est pas de la rigolade. Bon courage.
>> > >
>> > > Michel.
>> > >
>> > >
>> > > ---
>> > > Liste de diffusion du FRnOG
>> > > http://www.frnog.org/
>> > >
>> >
>> >
>> > --
>> > Cordialement,
>> >
>> > Guillaume BARROT
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>>
>> --
>>
>> Gaetan Allart / CEO
>> gae...@nexylan.com / 0609219512
>>
>> Nexylan
>> 274 Ter Avenue de la Marne
>> 59700 Marcq-En-Baroeul
>> www.nexylan.com
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-02 Par sujet Caillaud Jonathan 
Salut.

Intéressant. On a eu une grosse attaque sur notre infra la semaine
dernière. Online gaming aussi. On s’est prix 900gig.

 Level3 a black hole notre /24 pour un petit moment. Lvl3 Ddos mitigation
sys n’a pas tenu le coup et le system de notre data center service provider
non plus.

Par contre aujourd’hui c’est tranquille.
Etrange.

Sans faire de pub: on a réussi une bonne mitigation du problem via
Incapsula/impreva.

Bon courage au équipe en première ligne!


Best regards.


Le samedi 2 novembre 2019, Gaetan Allart  a écrit :

> Bonjour Guillaume,
>
> De mon observation (degré de conviction : 50%), quelqu'un s'amuse à
> arroser les classes publiques des hébergeurs avec des TCP-SYN dont
> l'IP source est forgée afin de diriger un max de ACK vers la
> destination. Les ports de destination sont : 80, 443, 465, 587 et 22.
>
> J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit
> qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont
> répondre.
> Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas
> super intéressante.
>
> Les sources des SYN évoluent en permanence depuis vendredi : on a eu
> LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba.
>
> Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté...
>
> Gaëtan
>
>
> Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot
>  a écrit :
> >
> > Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus,
> > Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les
> > solutions AntiDDOS se sont comportées ...
> >
> > Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça
> ...
> >
> > Le ven. 1 nov. 2019 à 07:08, Michel Py <
> mic...@arneill-py.sacramento.ca.us>
> > a écrit :
> >
> > > Raphael,
> > >
> > > Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de
> > > spoofing ?
> > > Il y a combien d'IP sources ?
> > >
> > > 700G c'est pas de la rigolade. Bon courage.
> > >
> > > Michel.
> > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> > >
> >
> >
> > --
> > Cordialement,
> >
> > Guillaume BARROT
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
>
> --
>
> Gaetan Allart / CEO
> gae...@nexylan.com / 0609219512
>
> Nexylan
> 274 Ter Avenue de la Marne
> 59700 Marcq-En-Baroeul
> www.nexylan.com
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-02 Par sujet Gaetan Allart 
Bonjour Guillaume,

De mon observation (degré de conviction : 50%), quelqu'un s'amuse à
arroser les classes publiques des hébergeurs avec des TCP-SYN dont
l'IP source est forgée afin de diriger un max de ACK vers la
destination. Les ports de destination sont : 80, 443, 465, 587 et 22.

J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit
qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont
répondre.
Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas
super intéressante.

Les sources des SYN évoluent en permanence depuis vendredi : on a eu
LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba.

Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté...

Gaëtan


Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot
 a écrit :
>
> Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus,
> Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les
> solutions AntiDDOS se sont comportées ...
>
> Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça ...
>
> Le ven. 1 nov. 2019 à 07:08, Michel Py 
> a écrit :
>
> > Raphael,
> >
> > Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de
> > spoofing ?
> > Il y a combien d'IP sources ?
> >
> > 700G c'est pas de la rigolade. Bon courage.
> >
> > Michel.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
>
> --
> Cordialement,
>
> Guillaume BARROT
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



-- 

Gaetan Allart / CEO
gae...@nexylan.com / 0609219512

Nexylan
274 Ter Avenue de la Marne
59700 Marcq-En-Baroeul
www.nexylan.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-01 Par sujet Guillaume Barrot 
Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus,
Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les
solutions AntiDDOS se sont comportées ...

Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça ...

Le ven. 1 nov. 2019 à 07:08, Michel Py 
a écrit :

> Raphael,
>
> Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de
> spoofing ?
> Il y a combien d'IP sources ?
>
> 700G c'est pas de la rigolade. Bon courage.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-11-01 Par sujet Michel Py 
Raphael,

Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de spoofing 
?
Il y a combien d'IP sources ?

700G c'est pas de la rigolade. Bon courage.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] Global DDOS was Re: [FRnOG] [TECH] Jaguar Network : Attaque DDOS en cours

2019-10-31 Par sujet raphael 


Des attaques sont en cours vers une bonne partie (si ce n'est la totalité) des 
sites de paris en ligne.

Nous avons eu des pics a plus de 700G de notre coté

Raphael


Le Jeudi, Octobre 31, 2019 19:43 CET, Nina Popravka  a 
écrit:
 Le 31/10/2019, Gaetan Allart a écrit :

> C’est plus large que ça, on reçoit du syn flood depuis ce matin qui semble
> viser les sites de paris sportifs.
>
> On a déjà bloqué les AS Unibet, Winamax, etc...
>
> Des gens qui constatent la même chose de leur côté ?

Je constate en tout cas, car je joue au poker, que Winamax est en
carafe depuis 15h45 environ..., et leur compte Twitter confirme le
DDOS
https://twitter.com/Winamax/status/1189973171518279680

--
Nina Popravka


---
Liste de diffusion du FRnOG
http://www.frnog.org/


 

---
Liste de diffusion du FRnOG
http://www.frnog.org/