Aenoa, le 22 décembre 2011 - 19:00, dit :
- Dois-je tout fournir à la police ?
- L'on m'a dit de trouver un logiciel de surveillance réseau... avez vous des noms ? (gratuits)
- Ai-je vraiment d'utilité a porter plainte, si la police ne fait rien ?
-Si je suis DDoS, je perds l'entièreté du serveur dédié ? je dispose d'un ftp de 100go pour backup, mais ça me parait petit pour mon dédié, sans compter que je suis assez nul en prog Shell, donc pour automatiser... :/
Alors, voilà exactement mon champ d'expertise xD.
Alors déjà, reprenons les bases.
DDoS est une attaque bien plus puissante qu'un simple DoS.
Un DDoS, c'est comme un DoS mais avec un
D en plus pour "distribué".
Comment fonctionne cette attaque ?
En générale, il s'agit, pour un pirate, d'
envoyer une requête depuis un serveur pirate vers plein d'ordinateurs contaminés par un de ses virus (aussi appelés Zombies) pour que chaque ordinateur envoie une requête ou un paquet vers la cible.
La cible recevant tellement de paquets, ne peut les traiter tous, et affiche donc "trop de trafics" pour les futurs connectés. C'est ce qu'on appelle une attaque de type : distributed denial-of-service attack, car on déni le service (autrement dit, on le met totalement HS).
Ce type d'attaque, sur un site Web, peut être faite de deux manières (les plus communes du moins) différentes :
-
Soit c'est le serveur qui est directement attaqué (ou le routeur, ou un équipement réseau entre Internet et le serveur, peu importe lequel), dans ce cas il s'agit d'une attaque de type "réseau" et il faudra fournir les logs Réseaux à la police.
-
Soit c'est le site Web qui est directement attaqué par des requêtes longues à gérer, comme le rafraîchissement d'une page contenant de la vidéo, ou la recherche d'articles, ça fait travailler le serveur donc c'est privilégié par les pirates. On parle plutôt là d'attaque de type "applicatif" et il faudra donc fournir les logs des requêtes (donc du site Web) à la police.
Comment détecter l'une ou l'autre des attaques ?
La première, vous ne pouvez plus accéder au serveur, ni au site... Vous ne devriez même plus être en mesure de vous connecter au serveur en tant qu'admin. Dans ce cas => contacter OVH.
La deuxième, vous aurez sûrement (au mieux) une page indiquant que le site est surchargé et qu'il faut augmenter les capacités du serveur. Contacter également OVH, et couper l'accès au site attaqué, ça arrêtera immédiatement l'attaque et protègera les éventuels autres sites / services d'un déni de service par ricochet (comme j'appelle ça, j'explique ce que c'est par la suite).
Ensuite...
pourquoi DDoS est bien plus puissante qu'un simple DoS ? Déjà parce que
l'attaque ne provient pas d'un unique ordinateur. Ensuite parce que comme ce sont des ordinateurs Zombies qui font l'attaque, ce sont des ordinateurs de particuliers et donc, connaître leurs adresses IP ne sert à rien (beh oui, pas la faute des particuliers s'ils ont un ordi virussé). Donc les logs seront très certainement inexploitables. Enfin, si, juste pour voir qu'il s'agit effectivement d'un DDoS. Il n'y a strictement (et normalement) AUCUN moyen de remonter jusqu'au pirate (sauf s'il est maladroit, mais un pirate, c'est rarement maladroit). Le pirate n'a fait qu'envoyer une simple requête à un serveur qui l'a relayée vers tous les ordinateurs Zombies. Cette requête ne se retrouve évidemment pas dans les attaques depuis les ordinateurs Zombies.
Ce qui est ennuyeux aussi,
avec ce type d'attaque, c'est qu'il n'est nul besoin d'être un véritable pirate pour l'exécuter. Les pirates "louent" ce service (si si, je déconne pas). Il est donc possible de leur acheter un "temps" de déni de service. Par exemple :
- Je veux un DOS de 48h sur ce site
- D'accord, ça vous coûtera 5000 €
- Vendu !
Hé ouais, les pirates sont sans scrupules et ont tout de suite vu ici, une opportunité de se faire de l'argent en exploitant les guerres que se livrent les sites concurrents. De plus, en général, s'ils sont attrapés, ils arrivent à bien s'en sortir, certes ils ont piraté, mais ils ont été payés pour ça, ils proclament donc que s'ils n'avaient pas été payés, ils n'auraient jamais attaquer, et rejettent donc la faute sur les entreprises qui ont fait appel à leur service. C'est moche... mais c'est la réalité du piratage.
En fait, il existe bien un moyen de remonter jusqu'au pirate. Mais, c'est une technique également de "piratage" que certains experts en sécurité Web peuvent mettre en oeuvre, et c'est tout autant condamnable par la police, même s'il s'agit là d'attraper un malfaiteur... Bref, si c'est la police qui le fait (pour que ça soit légal), elle aura besoin des logs.
Concernant le logiciel de surveillance réseau, ça s'appelle aussi un "sniffer" car on "snif" le réseau. Très utilisé par les pirates et par les pro de la sécurité Web, je ne peux que te conseiller
Wireshark! Qui est entièrement gratuit. Avec ça, tu verras tout ce qu'il se passe sur ta machine au niveau réseau : les paquets qu'elle reçoit et ceux qu'elle envoie.
Porter plainte ? Oui, il y a toujours utilité. Notamment, tu n'es pas le seul dans cette situation, comme tu l'as si bien dit. Ca peut notamment faire qu'OVH renforce la sécurité naturelle de ses serveurs (ils sont sensés être au courant si tu portes plainte). Et, à force de plaintes et d'archivages de logs, peut-être que la police finira par trouver un truc qui leur permettra de remonter jusqu'aux pirates. Il y a de très bons analyseurs de logs dans la police, allant même jusqu'à analyser l'hexadécimal des paquets... Chose qui, je le sais par expérience, demande énormément de connaissances et compétences techniques.
Pour répondre à la dernière question, comme je le disais, ça dépend du type d'attaque DDoS. Soit c'est une attaque directe sur un équipement réseau d'OVH ou du serveur. A ce moment là, tu ne peux rien y faire, sinon le signaler à OVH qui sera très certainement déjà au courant (en général, ils aiment pas se faire pirater les hébergeurs Webs, et sont très réactifs). Soit c'est un DDoS sur ton site, via une multitude de requête effectuée toutes les secondes.
A ce moment là, c'est le serveur qui travaille directement, donc tout dépend de comment il est configuré :
- soit ses ressources sont partagées par toutes les applications et dans ce cas, tous les sites et autres applications seront atteintes (jusqu'à quel point, je ne saurais le dire, c'est ce que j'appelle le DDoS par ricochet).
- soit ses ressources sont bien "fragmentées et séparées" et une certaine quantité est alloué à ton site, dans ce cas tu ne perdras de la disponibilité seulement que vers ton site.
En tout cas, avec du DOS, tu ne perds que de la disponibilité. Tu ne perds pas d'intégrité ni de la confidentialité. Ce sont les 3 critères principaux utilisés en gestion de la sécurité (DIC) pour catégoriser les effets des attaques.
Bon, après, je ne te cache pas qu'il existe des attaques faisant les 2 en même temps, un DoS + récupération de fichiers dès lors qu'on a atteint un buffer overflow (dépassement de mémoire, après ça, les équipements réseaux ont tendance à faire n'importe quoi).
Tiens, je donne un exemple : à une époque, les Switch étaient programmés pour, qu'en cas de surcharge, ils repassent en fonctionnement HUB. Les pirates ont rapidement exploité cette faille, en faisant un petit DOS sur un switch, ils avaient ensuite accès à tous les ordinateurs du réseau puisque le switch était repassé en broadcast (i.e. il relaie tous les paquets à tous les PCs qui lui sont raccordés sans se soucier des adresses IP d'origine et de destination).
Bon... J'ai écrit beaucoup et je me suis lâché, désolé pour le trop plein d'informations. Mais en sécurité Web, mieux vaut plus que pas assez
.
En espérant que cela réponde à tes questions, si tu en as d'autres, hésite pas
.
Kulgar.
[edit] J'ai mis un peu de mise en forme, j'ai eu peur que ça ne soit pas digeste.
Ce message a été modifié par Kulgar - 23 décembre 2011 - 12:41.
Haut
