attaque D-DOS

tabliertablier Membre
octobre 2013 modifié dans Coin canapé & détente #1

Ici (en montagne) j'ai un abonnement OVH. je reçois le magazine OVH News régulièrement. Dans le dernier magazine il y a tout un article sur la protection anti D-DOS. Leur article, pour moi qui ne suis pas informaticien, n'est pas franchement explicite. J'ai bien un schéma me montrant en haut un "Master control computer" qui attaque en descendant des Zombies, qui eux même attaquent un très grand nombre de Hosts, ces hosts attaquant tout en bas des victimes.


Y-a-t-il ici quelqu'un capable de me faire un peu de vulgarisation assez poussée?


 


 


Je ne sais pas trop ou mettre ce type de post!!


Réponses

  • Que veux-tu savoir ? Le concept ? Comment cela fonctionne ? Comment toi même faire pour un attaque D-Dos ? Te défendre ?


     


    Ou encore mieux, tu veux tout savoir :D ?


  • SmySmy Membre
    octobre 2013 modifié #3

    Pour les zombies, il y a ça : http://www.smyapps.com/strange-creatures-locator-detecteur-de-creatures-etranges


    (oui, c'était trop facile).


     


    Sinon, pour le DDOS : http://fr.wikipedia.org/wiki/Ddos 


  • tabliertablier Membre
    octobre 2013 modifié #4

    Je cherche juste à  améliorer ma culture générale. Je ne veux pas faire d'attaque et je pense avoir peu de chance d'en subir une. Je vais aller lire ça.


    Pour les zombies: je n'ai pas de iBidule mais j'ai vu la page de présentation. Pas mal.


  • Je penses que je viens de tomber sur cet article. C'est sur le OVH news numéro 2 d'octobre 2013 (celui avec de belles têtes pas du tout "tochoper" en couverture) ?


  • tabliertablier Membre
    octobre 2013 modifié #6

    Exactement. Tu as un contrat OVH?


     


    En ce qui concerne le principe (voir schémas), les Handler sont-ils partie prenante de l'opération ou ont-ils été "capturés" par la machine attaquante? Leurs possesseurs sont-ils conscients qu'ils participent à  l'attaque?


    Je pense que les Compromised sont les ordinateurs de monsieur tout le monde qui se sont fait pirater. Exact?


    Dans la réalité, je suppose que l'on peut ajouter des niveaux de machines ou augmenter énormément le nombre de machines de chaque niveau pour éloigner l'attaquant de sa cible.


     


    Nota: dans le schéma d'OVH, les Handlers sont appelés zombie! il doit y avoir une raison.


     


  • Pas un mais beaucoup de contrats chez eux.


     



     


     


    En ce qui concerne le principe (voir schémas), les Handler sont-ils partie prenante de l'opération ou ont-ils été "capturés" par la machine attaquante? Leurs possesseurs sont-ils conscients qu'ils participent à  l'attaque?

    Bien souvent ils ne sont pas conscient d'en faire partie. Souvent introduit dans le circuit par un virus ou par des sites douteux. C'est ce qu'on appel des zombies, plus à  la référence zombie de culture vaudou que de Geroge Romero. Ils sont contrôlés par le Master Control dans ton schéma OVH.


     



     


     


    Je pense que les Compromised sont les ordinateurs de monsieur tout le monde qui se sont fait pirater. Exact?

     


    Oui dans le schéma que tu affiche en effet.


     



     


     


    Dans la réalité, je suppose que l'on peut ajouter des niveaux de machines ou augmenter énormément le nombre de machines de chaque niveau pour éloigner l'attaquant de sa cible.

    C'est le principe du "handler".


     



     


     


    Nota: dans le schéma d'OVH, les Handlers sont appelés zombie! il doit y avoir une raison.

    Attention le schéma que tu met et celui d'ovh sont différents.


     


    Les "handlers" sont des postes "zombies" ou "compromised" maà®tre, qui vont gérer un ou plusieurs postes "zombies" ou "compromised". D'où la différence. Ce ne sont pas les "zombies" du schéma OVH.


     


    Client --- Handler 1


    Zombie 1

                                   


    Zombie 2

     


              --- Handler 2


    Zombie 3

                                   


    Zombie 4

              


     


    Comme tu le vois un tu peux monter très très vite un énorme réseau de zombie. D'ailleurs certains se sont spécialisé dans le nombre de poste zombie géré.


     


    OVH nous explique par leur schéma que les "zombies" vont attaquer les hosts d'un serveur (par exemple sur un serveur tu as 5 sites c'est 5 hosts) pour multiplier plus rapidement les connexion et péter un serveur ("victim" dans le schéma ovh).


  • Pour faire simple, le principe d'une attaque par dénie de service c'est faire en sorte de saturer la cible de requête pour qu'il ne soit plus opérationnel.


     


    Cela peut se faire en saturant la bande passante ou encore en saturant le nombre de socket ouvertes sur le serveur.


     


    Pour aller plus loin dans les attaques et cibler des système plus puissante qu'une simple machine, il faut passer par une attaque distribuer. Un réseau de machines sous contrôle qui vont effectué l'attaque à  plusieurs.


     


    Lors d'un DDoS, il est strictement impossible de séparer au niveau IP une connexion légitime d'une attaque, le principe du DDoS est justement d'utiliser les services public pour saturer un serveur ou un réseau.


     


    Le faux positif d'un DDoS c'est un Buzz. ça m'est déjà  arrivé sur un serveur, trop de connexions suite à  une annonce et l'exploitation à  cru à  un DDoS par ce qu'on avait éclaté les stats de connexion de tous serveurs confondu sur leur réseau.


     


    Il n'existe pas de protection viable contre les DDoS sinon couper les serveurs et attendre que ça passe. Le couper électriquement ou tout simplement refuser les connexions qui s'y rapporte en bordure du réseau.


     


    OVH en tant qu'hébergeur se la joue grand seigneur en incluant l'"anti-DDoS" pour tout le monde mais dans les fait c'est juste son réseau qu'il protège en vous faisant payer l'addition. Si un client est cible d'un DDoS, c'est tout le réseau OVH qui peut être mis à  terre. Ce genre d'attaque fait beaucoup de dommage collatéral.


     


    Pour eux, l'objectif est de repérer un changement brutal dans le trafic à  destination de votre serveur et, lorsque ça arrive, limiter le trafic en entrée de leur réseau, de sorte à  ce que leur infra reste à  un niveau nominal d'utilisation.


  • Je suppose que tout les FAI ont une détection de DDos et des protocols d'évitement ?


    Je vois mieux ce qu'est une attaque DDos. C'est intéressant à  connaitre, et pour moi ça se limite à  ça.


       ::)  merci!




  • Je suppose que tout les FAI ont une détection de DDos et des protocols d'évitement ?




     


    Pas vraiment non, voir même pas du tout. Le moyen le plus efficace de contrer un DDoS serait justement avec la participation des ISP eyeball, de sorte qu'ils coupent le trafic depuis la source, chose qu'ils ne font pas.

Connectez-vous ou Inscrivez-vous pour répondre.