[RESOLU] Attaques DOS ???

[jibe]

Salut,

Quelques petits soucis de lenteur d'accès internet sur ma SME depuis quelques jours. Je surveille simplement par un tail -f /var/log/messages, et là, stupeur : un paquet de denylog, parfois plusieurs par seconde ! Ca faisait quelques mois que je n'avais pas regardé ça, à l'époque il y en avait beaucoup, certes, mais pas à ce point...

Chose encore plus curieuse, la majorité proviennent de FR-PROXAD, c'est à dire Free, mon FAI !!! Comme j'avais déjà eu quelques soucis avec eux chez un client (maintien de la connexion dialup par des trames bizarres, confirmé par guytou), je commence à me poser de sérieuses questions... Ces tentatives de log proviennent-elles de free lui-même ou de certains de ses clients ? Comment savoir ? Les @IP varient, mais on retrouve aussi les mêmes assez souvent...

Avant de contacter free ou je ne sais qui, ou de changer de FAI, j'aimerais votre avis sur la question... Avez-vous constaté tant de denylog sur votre SME, et surtout tant en provenance de Free ? Quelles sont les parades ? Semble que cela me "bouffe" pas mal de bande passante et me ralentisse sérieuxement les accès (jusqu'à faire avorter parfois par time out les résolutions de nom !) et devient insupportable...

[micjack]

Salut Jibe,

Ce n'est pas lié à la SME, mais bien au drop / reject d'iptables concerant le port 445.. Enfin, si je regarde ton log de l'autre topic..

Code: Tout sélectionner

Jul 22 16:10:57 serveur-internet kernel: denylog:IN=ippp0 OUT= MAC= SRC=62.147.68.185 DST=62.147.73.75 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=7599 DF PROTO=TCP SPT=3887 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0
Jul 22 16:11:04 serveur-internet ipppd[1594]: rcvd [0][LCP EchoReq id=0x12 8d a5 63 28 fe 11 fd 22]
Jul 22 16:11:04 serveur-internet ipppd[1594]: sent [0][LCP EchoRep id=0x12 d2 0b a0 c8 fe 11 fd 22]
Jul 22 16:11:08 serveur-internet kernel: denylog:IN=ippp0 OUT= MAC= SRC=62.147.68.185 DST=62.147.73.75 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=8839 DF PROTO=TCP SPT=3487 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0
Jul 22 16:11:11 serveur-internet kernel: denylog:IN=ippp0 OUT= MAC= SRC=62.147.68.185 DST=62.147.73.75 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=9171 DF PROTO=TCP SPT=3487 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0
Jul 22 16:11:14 serveur-internet ipppd[1594]: rcvd [0][LCP EchoReq id=0x13 8d a5 63 28 00 12 4e 06]
Jul 22 16:11:14 serveur-internet ipppd[1594]: sent [0][LCP EchoRep id=0x13 d2 0b a0 c8 00 12 4e 06]
Jul 22 16:11:24 serveur-internet kernel: denylog:IN=ippp0 OUT= MAC= SRC=62.147.44.207 DST=62.147.73.75 LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=27300 DF PROTO=TCP SPT=4390 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0

Mais par contre, je ne vois pas le rapport avec un ralentissement, c'est autre chose...

[MasterSleepy]

Salut jibe,

Comme micjack, ce genre de truc ne devrait pas ralentir ta sme, enfin pas à ce point là.

Ce que je te conseil, est de "monitorer" ta sme soit à l'aide de graph, genre sysmon ou autre, regarde surtout du coté de la mémoire.
Si tu utilises beaucoup de mémoire swap, essaye de connaitre les services qui te bouffent le plus

Code: Tout sélectionner

ps -aux

par example
Dés fois simplement redémarrer certains services suffis à redonner une nouvelle jeunesse sans redémarrer.

A+

[micjack]

Par contre,

Quelques petits soucis de lenteur d'accès internet

Si c'est à partir des postes du reseau, regarde si tu n'a pas le recent patch de M$ KB891711, c'est une horeur ce patch, il ralenti les becanes et fait planter... C'est un bug reconnu meme par M$ , ils sont encore en train de chercher la soluce pour patcher ce patch

[fraedhrim]

[TROLL]
Rhaalala quel dommage que tu n'aies pas un IPCOP.... Avec la sonde tu aurais vu tout de suite d'où ça venait....
[/TROLL]

Blaque inévitable à part je verrais bien là l'effet d'une recrudescence de vers du port 445 coïncidant avec le dernier du genre ROBmachinbidule qui date de la semaine dernière.
Je n'ai plus de machine me fournissant des logs directement sur le public mais quelqu'un pourait peut-être confirmer une augmentation drastique.
C'est vrai que ça s'était calmé.

Quelle fréquence ces logs ?

[guytou]

salut a tous

J'ai remarqué que depuis un petit moment il y a des problemes d'acces (temps de reponse) sur free.
en particulier sur les dns de free.

c'est long mais long.

donc ne t'affole pas trop au niveau des attaques de type dos (enfin a surveiller quand meme !!).


A+

[jibe]

Salut,

Merci à tous pour vos réponses. Comme je le disais, je me suis un peu inquiété parce que j'ai trouvé beaucoup (variable, mais parfois 4 ou 5 dans la même seconde) de denylog par rapport à la dernière fois que je m'étais penché sur un problème similaire.

[TROLL]
Cela prouve donc bien que la SME joue bien son rôle de firewall
[/TROLL]

Bon, trève de troll, je pense que guytou a la réponse : en fait, ce sont surtout les accès DNS qui sont ralentis, et donc ce serait Free le responsable...

En fait, je craignais un peu d'être la victime d'un quelconque spyware ou autre trojan (ma femme n'a jamais compris que sur internet, il faut éviter de cliquer n'importe où...). Mais ça m'étonnait quand même un peu : mes postes windows sont privés d'accès internet (Re-troll : pas besoin d'Ipcop pour personnaliser son firewall ) et je voyais mal un truc du genre dans mon réseau quand même assez bien protégé...

Bon, on va donc considérer le problème résolu et voir quoi faire avec Free...

[leso]

La en ce moment (ces temps ci ) je mange un max d'attaque sur tcp/445 et tcp/139 , les récents ver a la noix doivent y être pour quelque chose...

[sibsib]

Salut,

Je ne suis freenaute que depuis Juillet, mais effectivement, au niveau des logs, çà craint...

J'ai installé l'excellente contrib de swert knudsen pour dshield, et j'envoie tous les jours environ 8000 lignes de denylog, dont 90 % doivent provenir de chez free

Au niveau variation, je n'ai pas d'historique pour le moment.

A+,
Pascal

[jibe]

Salut,

Je ne suis freenaute que depuis Juillet

Tu t'es fait virer de chez Nerim ?
Bon, la raison m'intéresse, parce que je me demande de plus en plus si je vais rester chez Free, et chez qui je pourrais aller...

tous les jours environ 8000 lignes de denylog, dont 90 % doivent provenir de chez free

Pas compté, mais ça doit bien être cet ordre de grandeur (tant pour le nombre que pour le rapport)
je me demande vraiment de plus en plus si je vais rester chez Free,

[sibsib]

Non (ils m'auraient bien gardé, chez Nerim - encore que la séparation s'est passé sans aucun problème),

Mais je suis dégroupé Free, et donc :
512/128 à 38€00 par mois --> 12000/1000 à 29€99 ( + le tel qui marche bien)...

Même si je me fais bouffer de la bande passante par des tentatives d'intrusions à deux balles, il y a de beaux restes

Dans mon cas, il s'agit d'un accès purement perso.

A+,
Pascal

[jibe]

Salut,

C'est certain que débit+téléphone gratos, c'est un bon motif. Mais je trouve que Free n'est plus ce qu'il a été, tant techniquement que commercialement (pour rester poli...). J'espère que tu ne sera pas déçu...

Les problèmes de DNS semblent s'être calmés... Coïncidence ou non, j'ai l'impression que c'est depuis que j'ai envoyé un post sur le forum de l'aduf !

[micjack]

Faut pas s'alarmer Jibe, il est normal que certains FAI se retrounent en condition de maintenance durant un certain temp, (serveurs DNS en locurence) meme si j'ai j'amais compris du topic si dessous qui est justement contraire à ton post concernant Free....
http://forums.fr.ixus.net/viewtopic.php?t=18918

[jibe]

Salut,

@ mickjack :
Rien compris... Maintenance ? Admettons. Mais tu crois que cela explique que tu avais un problème de DNS que hb ne constatait pas ? Et en quoi ton topic est contraire à mon post ?

@ guytou : Peux-tu me dire si tu constates encore le problème ou pas ?

[micjack]

Et en quoi ton topic est contraire à mon post ?

Pas ton topic, mais au sujet des DNS concernant ton probleme avec ceux de Free ... Mais bon, du coup, libre à chacun de donner son avis ou une exeperience, mais pas forcement une solution comme tu te la forge ...

Tu as eu des avis de tout poils, à toi de faire le trie (log qui fout le bronx, ou le serveur DNS qui a du mal) moi par exemple avec Free, j'ai aucun probleme

Mais pour en revenir à ta question (sujet du topic) ce n'est en aucun cas avec une attaque DOS... C'est deja ca.