[FRnOG] Incident DDOS sur serveurs japonais [TECH]

Tue, 08 Jul 2014 15:35:35 -0700 

Bonjour,
Je me doute que le sujet n'en intéressera pas beaucoup ici, mais je vais tout de même poser ma question. 


Les serveurs du jeu en ligne Phantasy Star Online 2 (PSO 2 pour les 
intimes) ont été il y a 2-3 semaines de cela victime d'une attaque DDOS.
Dans ce apparaît comme une tentative de mitiger l'attaque, il apparaît 
qu'un certain nombre d'hôtes résidant hors du Japon ont été par un moyen 
ou par un autre empêché de se connecter au jeu.



Je tiens ici à souligner que la présence de joueurs possédant des IPs 
non japonaises n'étaient que tolérée sur le jeu, les Conditions 
d'Utilisations spécifiant explicitement que le service n'était assuré 
que pour les joueurs japonais.
Il n'y avait pas de mesure technique active repoussant toute tentative 
de connexion non "locale" (du point de vue de SEGA, la compagnie opérant 
le service).
Je ne revendique donc pas ici droit de jouer, mais cherche simplement à 
comprendre.



Une chose qui m'intrigue dans cette histoire, ainsi que beaucoup 
d'autres joueurs à travers le monde est l'incapacité quasi-simultanée 
semble-t-il de centaines de joueurs à travers le monde et dépendant de 
FAI différents de se connecter aux serveurs du jeu et même à son site 
internet officiel.



Certains ont d'abord évoqués un "IP BAN". Je ne prétendrai pas expliquer 
ici ce que ce terme signifie.
Mais malgré nos maigres connaissances techniques, cette hypothèse nous 
est vite apparue comme étant peu probable. Voyez plutôt :



sudo tracepath pso2.jp
[sudo] password for darkeox:
 1?: [LOCALHOST]                                         pmtu 1500
 1:  192.168.0.254 13.975ms
 1:  192.168.0.254 13.890ms
 2:  82.234.254.254 42.418ms
 3:  rouen-6k-1-a5.routers.proxad.net 42.798ms
 4:  p11-crs16-1-be1014.intf.routers.proxad.net 45.869ms
 5:  no reply
 6:  no reply
 7:  no reply
 8:  no reply
 9:  no reply
10:  no reply
11:  no reply
12:  no reply
13:  no reply
14:  no reply
15:  no reply
16:  no reply
17:  no reply
18:  no reply
19:  no reply
20:  no reply
21:  no reply
22:  no reply
23:  no reply
24:  no reply
25:  no reply
26:  no reply
27:  no reply
28:  no reply
29:  no reply
30:  no reply
     Too many hops: pmtu 1500
     Resume: pmtu 1500


ou encore :


> traceroute --resolve-hostnames pso2.jp
traceroute to pso2.jp (210.189.209.8), 64 hops max
  1   192.168.0.254 (192.168.0.254)  4,035ms  5,549ms  3,987ms
  2   82.234.254.254 (82.234.254.254)  38,928ms  22,516ms 20,715ms

  3   213.228.11.62 (rouen-6k-1-a5.routers.proxad.net) 20,903ms  
20,493ms  21,386ms
  4   194.149.161.149 (p11-crs16-1-be1014.intf.routers.proxad.net)  
24,453ms 22,426ms  23,181ms

  5   *  *  *
  6   *  *  *
  7   *  *  *
  8   *  *  *
  9   *  *  *
 10   *  *  *
 11   *  *  *
 12   *  *  *
 13   *  *  *
 14   *  *  *
 15   *  *  *
 16   *  *  *
 17   *  *  *
 18   *  *  *
 19   *  *  *
 20   *  *  *
 21   *  *  *
 22   *  *  *
 23   *  *  *
 24   *  *  *
 25   *  *  *
 26   *  *  *
 27   *  *  *
 28   *  *  *
 29   *  *  *
 30   *  *  *




Ces résultats sont les même qu'on obtenu plusieurs confrères joueurs à 
travers le monde, d'Europe en Amérique du Sud en passant par les États-Unis.
Il s'avère que les paquets ne quittent même pas le réseau de notre FAI 
dans la plupart des cas.
Or, bien que n'étant point des professionnels, nous avons tout de même 
conclu qu'un ban sur IP n'était certainement pas le problème, car dans 
ce cas, nous atteindrions au moins les serveurs distants mais serions 
rejetés par ces derniers.
Des cas ont même été observés où des abonnés d'un FAI bénéficiant d'une 
certaine offre et n'étant apparemment pas sur le même sous-réseau 
interne que des abonnés classiques du même FAI, pouvaient se connecter 
quand les seconds ne "sortaient" pas du réseau dudit FAI.



Nous nous sommes alors tourné vers l'hypothèse suivante : SEGA aura 
demandé à différents FAI à travers le monde de bloquer le trafic vers 
les serveurs de PSO2 afin de rétablir le service et décourager les 
attaquants. Cependant, la "coupure" de l'accès a été si simultanée et si 
bien répartie à travers le monde que nous nous sommes demandé à quel 
point il était plausiblement concevable qu'un tel nombre de FAI à 
travers le monde réagissent de la même manière au même moment, et avons 
conclus que cela non plus n'était pas possible, bien le fond de la 
proposition restât recevable.



Et c'est bien ici que je m'en remets à votre expertise et si possible 
aux échos que vous auriez pu avoir à ce sujet.



Je dépends personnellement de Free SAS pour mon accès internet et suis 
comme le montre mes traceroute et tracepath incapable de joindre le 
serveur pso2.jp qui correspond au site web du service et fait parti de 
la liste des hôtes dont nous sommes certains que les serveurs sont en 
lignes mais inaccessible pour une partie du monde.


Quelqu'un sur cette mailling list aurait-il une information à ce sujet ?

Qu'en est-il exactement ? Certains ont parlé d'opérateurs de backbone en 
disant que c'était eux qui bloquaient le trafic vers les serveurs et 
qu'étant indépendants des FAIs, nous dépendions de leur bon vouloir. 
Est-ce vrai ? Car dans mon cas, Free semble opérer son propre backbone.



La dernière fois que j'ai eu un conseiller au téléphone, il m'a dit 
n'être au courant d'aucun blocage de cette sorte mais je ne crois pas 
qu'il ait cherché l'information...


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/






















					Répondre à