> David Ponzone a écrit : > http://blog.sucuri.net/2014/09/quick-analysis-of-a-ddos-attack-using-ssdp.html > Mais je ne comprend pas l'angle d'attaque de ce DDoS. Est-ce qu'on parle de > CPE mal > configurés qui honorent des requêtes SSDP SEARCH qui viennent d'Internet ?
On en est encore à analyser le post-mortem. Ce que je peux dire c'est que (dans la mesure de mes petits moyens) c'est une attaque par amplification; fondamentalement la même chose que l'amplification DNS ou SNTP : l'attaqueur dispose de x bande passante, le machinbox de mes couilles répond par x*y, y étant le facteur d'amplification. Si l'attaqueur est suffisamment proche de la vulnérabilité et envoie des datagrammes (UDP) spoofés qui ne sont pas détectés comme venant d'où il ne devraient pas (merci BCP 38 mais çà fait tellement chier que presque personne ne s'en sert) ça marche. Bon la vérité dans la pub : comme beaucoup je mets des Linksys ou Dlink de merde dans les salles de réunion pour que les droïdes pousse-propale puissent regarder leur email. Quand ils vont au Macdo ils ont accès à l'Internet, dans mes salles de réunion aussi. Comme beaucoup d'autres je mets le machin en question sur une IP dehors le firewall, en fait c'est souvent un circuit séparé, comme çà quand bitos se pointe avec un portable contaminé par du merdiciel jusqu'au trognon çà blackliste l'adresse IP du DSL que je réserve à cet usage et pas le réseau interne. Je suis le seul qui fait çà, hein. <troll> Sur les IP en question je ne change pas le reverse DNS :P </troll> Bon donc il se trouve que dans le cas en question, l'erreur a été de laisser le Dlink dans le préfixe principal. Le surdoué que j'ai envoyé pour installer la merde en plastique n'a pas désactivé uPNP qui est activé par défaut. Le plastique en question ne pompe pas GigE, mais quand même 200 ou 300 Mbps. Bon avec 10G des deux cotés c'est pas si pire, mais çà fait un peu désordre quand un de tes meilleurs clients t'appelles direct sur ton portable et demande qu'est ce que c'est ce bordel de 300 Mbps de merde que t'envoies sur son firewall. Foutez-vous de ma gueule, les enfants. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
