Bonjour,
Enfin un sujet sur lequel je peux apporter mon expertise :)
Vu la description, cela ressemble à un ciblage test de l'attaquant pour valider son "botnet" et par la suite, le monétiser. C'est le fait que ça soit hyper ponctuel qui me dise cela, en général un vrai attaquant DDOS essaiera de mettre à terre l'infra sur plusieurs heures/jours au minimum.
Après, comme dit M. Ponzone, cible, pattern, forme des attaquants, toute indice est bon à prendre pour qualifier cela. A ta dispo pour en discuter dans le détail o/
Bien cordialement, Darcosion
Le vendredi 24 mai 2024 à 13:30, Daniel Caillibaud ml@lairdutemps.org a écrit :
Bonjour,
Je bosse pour une asso qui n'a rien de politique ni d'essentiel, et on se prend depuis qq jours bcp d'attaques dDOS très bourrines mais très distribuées (des centaines d'ip ≠ qui passent sous les radars anti-dos avec 3~10 req/s chacune).
Ça reste ponctuel (des tranches de 5min) et cause peu de dégâts (des erreurs 50x et un load qui monte un peu), je me demandais si c'était généralisé.
-- Daniel
Internet permet à ceux qui n'ont rien à dire de le dire quand même. Toorop _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Le 24/05/24 à 12:33, darcosion via FRsAG frsag@frsag.org a écrit :
Vu la description, cela ressemble à un ciblage test de l'attaquant pour valider son "botnet" et par la suite, le monétiser. C'est le fait que ça soit hyper ponctuel qui me dise cela, en général un vrai attaquant DDOS essaiera de mettre à terre l'infra sur plusieurs heures/jours au minimum.
Les attaques qu'on avait eu jusque là, c'était plutôt un élève vraiment énervé contre son prof de math qui allait jusqu'à sortir qq € pour se payer qq minutes d'attaques kiddies.
Ça arrivait de l'ordre d'une fois par an, montrait un pic dans les graphs ou une remontée avec bcp de 429, sans aller plus loin.
Là si c'est le cas il a insisté plus que d'habitude, d'où ma question initiale, en gros est-ce que les botnets sont devenus plus faciles à aborder, en € et en simplicité ?
Ou alors un élève s'est vanté auprès de ses potes d'avoir créé des 50x, et ils ont joué a celui qui pouvait le plus perturber le site, et c'est la 1re fois que ça nous arrive, peut-être…
Après, comme dit M. Ponzone, cible, pattern, forme des attaquants, toute indice est bon à prendre pour qualifier cela. A ta dispo pour en discuter dans le détail o/
Je pense pas que ça vaille la peine d'y dépenser trop d'énergie, ça reste du GET en boucle sur la home, et même étalé sur 3 j ça reste ponctuel et peu impactant, mais merci bcp pour la proposition :-)
Tu peux pas geofilter les pays douteux ? Je doute que les visiteurs habituels du site viennent de RU ou CN….
David
Le 24 mai 2024 à 15:45, Daniel Caillibaud ml@lairdutemps.org a écrit :
Le 24/05/24 à 12:33, darcosion via FRsAG frsag@frsag.org a écrit :
Vu la description, cela ressemble à un ciblage test de l'attaquant pour valider son "botnet" et par la suite, le monétiser. C'est le fait que ça soit hyper ponctuel qui me dise cela, en général un vrai attaquant DDOS essaiera de mettre à terre l'infra sur plusieurs heures/jours au minimum.
Les attaques qu'on avait eu jusque là, c'était plutôt un élève vraiment énervé contre son prof de math qui allait jusqu'à sortir qq € pour se payer qq minutes d'attaques kiddies.
Ça arrivait de l'ordre d'une fois par an, montrait un pic dans les graphs ou une remontée avec bcp de 429, sans aller plus loin.
Là si c'est le cas il a insisté plus que d'habitude, d'où ma question initiale, en gros est-ce que les botnets sont devenus plus faciles à aborder, en € et en simplicité ?
Ou alors un élève s'est vanté auprès de ses potes d'avoir créé des 50x, et ils ont joué a celui qui pouvait le plus perturber le site, et c'est la 1re fois que ça nous arrive, peut-être…
Après, comme dit M. Ponzone, cible, pattern, forme des attaquants, toute indice est bon à prendre pour qualifier cela. A ta dispo pour en discuter dans le détail o/
Je pense pas que ça vaille la peine d'y dépenser trop d'énergie, ça reste du GET en boucle sur la home, et même étalé sur 3 j ça reste ponctuel et peu impactant, mais merci bcp pour la proposition :-)
-- Daniel
En 1969 j'ai arrêté les femmes et l'alcool, ça a été les 20 minutes les plus dures de ma vie George Best _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Le 24/05/24 à 16:03, David Ponzone david.ponzone@gmail.com a écrit :
Tu peux pas geofilter les pays douteux ?
Ça ajoute une couche et…
Je doute que les visiteurs habituels du site viennent de RU ou CN….
…on peut pas, car on a des utilisateurs légitimes dans tous ces pays, peu mais y'en a, et la devise de l'asso étant "les maths pour tous" on peut décemment pas décider d'en virer certains ;-)
Par ailleurs, j'aime pas trop le principe du geofilter, on est clairement dans le délit de sale gueule, et ça pose d'autres pbs (cf un fil sur frnog sur l'impossibilité de faire corriger une erreur de geoloc d'ip).
Le 24 mai 2024 à 16:52, Daniel Caillibaud ml@lairdutemps.org a écrit :
Le 24/05/24 à 16:03, David Ponzone david.ponzone@gmail.com a écrit :
Tu peux pas geofilter les pays douteux ?
Ça ajoute une couche et…
Euh, nginx sait faire ça, y a pas de surcouche.
Je doute que les visiteurs habituels du site viennent de RU ou CN….
…on peut pas, car on a des utilisateurs légitimes dans tous ces pays, peu mais y'en a, et la devise de l'asso étant "les maths pour tous" on peut décemment pas décider d'en virer certains ;-)
Par ailleurs, j'aime pas trop le principe du geofilter, on est clairement dans le délit de sale gueule, et ça pose d'autres pbs (cf un fil sur frnog sur l'impossibilité de faire corriger une erreur de geoloc d'ip).
Ca c’est un autre problème. Et quand tu vois que certains pays ont 75% de leur traffic agrégé qui est causé par des DDOS qui viennent d'eux, ça commence à faire souci de vouloir rester le preux chevalier aux ACL ouvertes.
Sinon, NGINX a un module WAF aussi je crois. Il serait peut-être de bloquer très tôt ces requêtes si ça vient d’un pays shady.
David
Hello,
Et puis c'est triste à dire, mais peut-être que si une bonne partie du trafic émanant de ces pays est malveillant, c'est peut-être parce qu'ils entretiennent une politique de laisser-faire et une approche agressive envers les autres pays (dont nous), ce qui justifierais largement l'approche de blocage par geofiltrage.
Est-ce que la population en souffrirait ? Oui sans doute, mais c'est à elle (et à l'état concerné) de prendre des dispositions pour faire en sorte d'entretenir des relations saine avec ses paires.
Bien cordialement,
Darcosion.
Le vendredi 24 mai 2024 à 17:10, David Ponzone david.ponzone@gmail.com a écrit :
Le 24 mai 2024 à 16:52, Daniel Caillibaud ml@lairdutemps.org a écrit :
Le 24/05/24 à 16:03, David Ponzone david.ponzone@gmail.com a écrit :
Tu peux pas geofilter les pays douteux ?
Ça ajoute une couche et…
Euh, nginx sait faire ça, y a pas de surcouche.
Je doute que les visiteurs habituels du site viennent de RU ou CN….
…on peut pas, car on a des utilisateurs légitimes dans tous ces pays, peu mais y'en a, et la devise de l'asso étant "les maths pour tous" on peut décemment pas décider d'en virer certains ;-)
Par ailleurs, j'aime pas trop le principe du geofilter, on est clairement dans le délit de sale gueule, et ça pose d'autres pbs (cf un fil sur frnog sur l'impossibilité de faire corriger une erreur de geoloc d'ip).
Ca c’est un autre problème. Et quand tu vois que certains pays ont 75% de leur traffic agrégé qui est causé par des DDOS qui viennent d'eux, ça commence à faire souci de vouloir rester le preux chevalier aux ACL ouvertes.
Sinon, NGINX a un module WAF aussi je crois. Il serait peut-être de bloquer très tôt ces requêtes si ça vient d’un pays shady.
David
Liste de diffusion du %(real_name)s http://www.frsag.org/
Bonjour,
Pour te faire gagner du temps, oui, les cybercriminels monétisent bien plus facilement les botnets dans l'approche DDoS. On trouve des channel Telegram / Serveurs Discord / Service darknet de DDoS de manière assez courante maintenant.
De plus, ces derniers sont assez populaires dans les milieux kiddies avec une bonne porosité dans le monde du jeux vidéo, et donc particulièrement au niveau de Discord.
De ce que je comprend, si vous êtes organisme de formation pour des jeunes, c'est une hypothèse probable, néanmoins l'exploitation du site web par un attaquant effectuant ses tests de la sorte serait tout aussi logique. :/
Pour le GET en boucle, souvent une erreur bête qui est faite est de supprimer ou rendre statique des header qui ne doivent pas l'être (Etag, Cookie, ...), ça te donnera une bonne piste de réduction des attaques. :P Ajouter un header de WAF (même si tu n'en a pas) est aussi une façon amusante de sortir un attaquant qui t'utilise juste pour ses tests.
Sinon, comme M. Ponzone dit, bannir chine, russie, ukraine et amérique du sud règle pas mal de soucis, même si les Pays bas sont très actif en ce moment malheureusement...
Bien cordialement,
Darcosion
Le vendredi 24 mai 2024 à 15:45, Daniel Caillibaud ml@lairdutemps.org a écrit :
Le 24/05/24 à 12:33, darcosion via FRsAG frsag@frsag.org a écrit :
Vu la description, cela ressemble à un ciblage test de l'attaquant pour valider son "botnet" et par la suite, le monétiser. C'est le fait que ça soit hyper ponctuel qui me dise cela, en général un vrai attaquant DDOS essaiera de mettre à terre l'infra sur plusieurs heures/jours au minimum.
Les attaques qu'on avait eu jusque là, c'était plutôt un élève vraiment énervé contre son prof de math qui allait jusqu'à sortir qq € pour se payer qq minutes d'attaques kiddies.
Ça arrivait de l'ordre d'une fois par an, montrait un pic dans les graphs ou une remontée avec bcp de 429, sans aller plus loin.
Là si c'est le cas il a insisté plus que d'habitude, d'où ma question initiale, en gros est-ce que les botnets sont devenus plus faciles à aborder, en € et en simplicité ?
Ou alors un élève s'est vanté auprès de ses potes d'avoir créé des 50x, et ils ont joué a celui qui pouvait le plus perturber le site, et c'est la 1re fois que ça nous arrive, peut-être…
Après, comme dit M. Ponzone, cible, pattern, forme des attaquants, toute indice est bon à prendre pour qualifier cela. A ta dispo pour en discuter dans le détail o/
Je pense pas que ça vaille la peine d'y dépenser trop d'énergie, ça reste du GET en boucle sur la home, et même étalé sur 3 j ça reste ponctuel et peu impactant, mais merci bcp pour la proposition :-)
-- Daniel
En 1969 j'ai arrêté les femmes et l'alcool, ça a été les 20 minutes les plus dures de ma vie George Best _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
-
Daniel Caillibaud -
darcosion@protonmail.com -
David Ponzone