Le 27/09/2017 à 23:36, Jeremy a écrit :
> Mais le coté random des IP ciblés toutes les 5 secondes, 

Cela m’inquiète beaucoup le côté aléatoire des cibles. Pour deux raisons:

- On ne peut plus vraiment nullrouté la cible. Solution qui permet de
préserver le reste. Les transits sont aussi content s'ils font passer
l'information, c'est ça en moins sur leur réseau aussi. Un filtrage
efficace devient nécessaire et nécessite d'en avoir une plus grosse que
l'attaquant, chose pas simple avec les bots.

- On ne peut plus identifier la cible assez simplement et, donc, on ne
peut plus faire le nécessaire pour éviter d'avoir des ennemis ou pour
l'isoler.

Tu fais apparemment de l'hébergement mutualisé et VPS. Pense-tu que tu
est la cible de ces attaques ou que c'est l'un de tes clients ?

L’intérêt d'attaquer ton réseau pour un seul site n'a guère de sens dans
la mesure où ce site ne sera jamais au courant qu'il en est la cible. Il
ne pourra donc pas prendre les mesures pour éviter d'être une cible de
DDoS ( article, contenu douteux ou autre, le mettre sur un CDN ). Au
pire, il se dira que ton réseau est pourri et ira ailleurs, mais ça sera
pareil car les attaques recommenceront et tu ne saura peut-être même pas
qui était la cible au final. Il reste qu'il peut être intéressant de
rendre inaccessible un site temporairement. On a déjà eu le cas d'un
commerçant qui se faisait DDoS juste après une pub à la radio ( pas
slashdotter, un bon DDos udp).


Les solutions :

- Maj et entretien des systèmes. On est mal barré avec tous ces IoTs,
box foireuses, téléphone non maintenu, chinoiserie. Les windows XP
deviennent le cadet de nos soucis.
- Firewall partagé à la BGP: on n'annonces que ce que l'on accepte. On
autorise que tel ports vers cette IP avec ou non une limite de traffic.
Bonjour la table avec l'IPv6. L'avantage, c'est que cela ne sortirai
même pas des AS assaillants
- Autre à voir


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à