DEDIBOX-NEWS.COM

peerates · 2008-03-29 08:38:32

bonjour.

depuis 4 jours, je subis un dos sur l'une de mes dedibox.

il s'agit d'un stream attack, cad qu'on m'expedie 50 000 paquets tcp / minutes, qui balancent des tcp-ack sur mon ip et un n° de port aléatoire. l'IP d'origine est connue (208.101.41.119 ), puisqu'il s'agit d'une IP deja référencée comme source d'attaque sur certain site de surveillance.

voici un extrait du tcpdump src 208.101.41.119 -n -vv

07:53:04.010550 IP (tos 0x0, ttl 34, id 30862, offset 0, flags [DF], proto: TCP (6), length: 60) 208.101.41.119.80 > 88.191.50.xx.59583: S, cksum 0x24b2 (correct), 1335075759:1335075759(0) ack 999735104 win 32120 <mss 1460,sackOK,timestamp 13575714 587202560,nop,wscale 0>
07:53:04.011470 IP (tos 0x0, ttl 34, id 51303, offset 0, flags [DF], proto: TCP (6), length: 60) 208.101.41.119.80 > 88.191.50.xx.27689: S, cksum 0x44f2 (correct), 381822745:381822745(0) ack 2436632882 win 32120 <mss 1460,sackOK,timestamp 4425172 771751936,nop,wscale 0>
07:53:04.019060 IP (tos 0x0, ttl 34, id 50827, offset 0, flags [DF], proto: TCP (6), length: 60) 208.101.41.119.80 > 88.191.50.xx.17696: S, cksum 0x17b3 (correct), 2178416656:2178416656(0) ack 4277980453 win 32120 <mss 1460,sackOK,timestamp 14048456 1023410176,nop,wscale 0>
07:53:04.020728 IP (tos 0x0, ttl 34, id 26393, offset 0, flags [DF], proto: TCP (6), length: 60) 208.101.41.119.80 > 88.191.50.xx.5909: S, cksum 0xea48 (correct), 858051077:858051077(0) ack 2685282674 win 32120 <mss 1460,sackOK,timestamp 333935 1560281088,nop,wscale 0>
07:53:04.022532 IP (tos 0x0, ttl 34, id 55076, offset 0, flags [DF], proto: TCP (6), length: 60) 208.101.41.119.80 > 88.191.50.xx.3839: S, cksum 0x5915 (correct), 3572091375:3572091375(0) ack 1077225791 win 32120 <mss 1460,sackOK,timestamp 1866750 1493172224,nop,wscale 0>
07:53:04.024194 IP (tos 0x0, ttl 34, id 29705, offset 0, flags [DF], proto: TCP (6), length: 60) 208.101.41.119.80 > 88.191.50.xx.13289: S, cksum 0x884c (correct), 735112921:735112921(0) ack 2016840966 win 32120 <mss 1460,sackOK,timestamp 9780939 704643072,nop,wscale 0>
07:53:04.030600 IP (tos 0x0, ttl 34, id 39606, offset 0, flags [DF], proto: TCP (6), length: 60) 208.101.41.119.80 > 88.191.50.xx.43137: S, cksum 0x5bb8 (correct), 1020027761:1020027761(0) ack 3706711847 win 32120 <mss 1460,sackOK,timestamp 9526108 2030043136,nop,wscale 0>
07:53:04.032366 IP (tos 0x0, ttl 34, id 46508, offset 0, flags [DF], proto: TCP (6), length: 60) 208.101.41.119.80 > 88.191.50.xx.28253: S, cksum 0xe1c0 (correct), 2498505037:2498505037(0) ack 1198552899 win 32120 <mss 1460,sackOK,timestamp 3877430 1308622848,nop,wscale 0>

ceci a pour effet de perturber le trafic de mon site, en divisant par deux le nombre d'affichages de page.

j'ai contacté a plusieurs reprises le site web hebergé derriere l'ip d'origine duy dos, sans aucune reponse depuis 4 jours.
j'ai contacté le service abuse de l'hebergeur, a dallas, a 2 reprises, sans reponses ni reaction de leur part.

j'ai contacté le service dedibox, afin de demander le filtrage de cette ip en frontal, de maniere a soulager mon interface reseau, et la reponse qu'il ma été faite tient en 2 lignes :

> > Nous ne pouvons filtrer d'adresse particulière.
> > Je vous invite a contacter le propriétaire de cette ip.

bravo a dedibox pour sa tres grande reacitivé et sa competence technique.
bravo a dedibox, pour le service impeccable qu'il offre a ses futur ex-clients.

quant il faut recuperer de la tune, la, ils savent faire.
mais filtrer une ip a la con qui pollue le reseau depui 4 jours, la, il n'y a plus personne qui sait faire.
(et dire qu'ils ont tous des bac+3, au moins, la dedans ... on se demande a quoi vous servent vos etudes, jeunes dedigeek )

je me suis contenté de paramétré iptables pour ignorer ces paquets, mais cela perturbe quand meme le site, puisque l'interface est toujours sollicitée, meme si les paquets ne sont pas traités.

ce que je trouve surprenant et absolument desolant, c'est le manque de reaction des gens de dedibox : lamentable.

surtout qu'ailleurs, certain hebergeur, par exemple OVH (qui est meme mùoins cher) ou encore 1&1, n'ont PAS DU TOUT la meme reaction. ils ASSISTE leur client pour les AIDER a solutionner ce genre de souci. c'est a dire qu'ils ne se contente pas de faire une facture en s'en tapant du reste.

mais conserver des clients n'est sans doute pas la priorité des gens de dedibox.
Alors, encore bravo a l'equipe technique.

Dernière modification par peerates (2008-03-29 08:38:59)

Phach · 2008-03-29 08:57:57

peerates a écrit:
ce que je trouve surprenant et absolument desolant, c'est le manque de reaction des gens de dedibox : lamentable.

surtout qu'ailleurs, certain hebergeur, par exemple HVO (qui est meme mùoins cher) ou encore 6&6, n'ont PAS DU TOUT la meme reaction. ils ASSISTE leur client pour les AIDER a solutionner ce genre de souci. c'est a dire qu'ils ne se contente pas de faire une facture en s'en tapant du reste.

c'est bizarre moi, ce qui me choque dans ton histoire c'est surtout le silence de l'hebergeur du serveur qui fait cette attaque mais bon, on doit pas avoir les meme valeur de jugement...

peerates · 2008-03-29 09:06:41

salut.
Le probleme, c'est que c'est une attaque ciblé precisement contre l'activité en question.
il ne s'agit pas d'un 'truc' juste pour le fun.

le but est de me faire fermer ce site.
Il y a eu deja un ddos, la semaine derniere, sur une autre dedibox qui fait tourner un mini serveur edonkey ...
(je precise qu'il est parfaitement licite et n'indexe que des contenus libres et legalement telechargeables.)

donc, je sais a peu pret bien 'qui' peut m'en vouloir, surtout qu'ils ont passés un mois a essayer de hacker le site, auparavant.

ce que je regrette, c'est d'etre dans l'obligation de migrer le site chez un autre hebergeur pour une connerie a deux balles.

EXPLIQUEZ MOI juste un truc technique, les gars.
pourquoi dedibox n'est il pas capable de filtrer une ip DEJA MULTI-CONNUE comme origine de dos et de ddos ?
t'inquiete que si je me met a indexer du fichier contrefait sur le dserver, ils ne tarderont pas a retrouver leur competences techniques pour me couper la chique ...

olod · 2008-03-29 13:07:40

low cost, dois-je traduire ?

Phach · 2008-03-29 14:26:13

peerates a écrit:
pourquoi dedibox n'est il pas capable de filtrer une ip DEJA MULTI-CONNUE comme origine de dos et de ddos ?

parceque ca va etre 1 puis 2 puis 10 puis 50 ... et ainsi de suite.
c'est sans fin

Phach · 2008-03-29 14:28:24

j'ajouterai meme que du moment que ca touche pas leur infra directement à savoir tant que ca met pas down leur switch etc, pourquoi il s'en occuperait.
alors c'est sur c'est pas forcément génial mais c'est comme ça.
faut aussi considérer les effets de bord que ça implique.

Dernière modification par Phach (2008-03-29 14:28:39)

J@r0d · 2008-03-29 15:37:10

peerates a écrit:
ce que je trouve surprenant et absolument desolant, c'est le manque de reaction des gens de dedibox : lamentable.

surtout qu'ailleurs, certain hebergeur, par exemple OVH (qui est meme mùoins cher) ou encore 1&1, n'ont PAS DU TOUT la meme reaction. ils ASSISTE leur client pour les AIDER a solutionner ce genre de souci. c'est a dire qu'ils ne se contente pas de faire une facture en s'en tapant du reste.

Alors la pas daccord, je suis chez dedibox, ovh, et level3, et quand je lit dans tes propos que chez OVH on assiste les clients permet moi de te dire que tu te trompe, sur ov h ceux qui assistent les clients ce sont les membres de leur forum, oles fait des passage et règle le plus urgent mais il ne faut pas compter sur une assistance qui répondent au doigt et a l'oeil, en revanche il est vrai que chez ov h il y a possibilité de bloquer les ip sur le frontal et soulager ainsi toutes les machines et ce de façon automatique.

peerates · 2008-03-29 19:50:01

re bonjour.

olod a écrit:
low cost, dois-je traduire ?

remarque partisane sans interet.

parceque c'est pas cher, cela ne doit pas forcement fonctionner correctement ?
on ne doit pas attendre le service attendu, a savoir un dedié en ordre de marche ?

je le sais qu'a 30 euros par mois,faut pas trop la ramener.
le probleme n'est pas la mais dans le manque total de communication de l'equipe dedibox la dessus.

lowcost, ok, mais cela n'empeche pas de prendre les clients au serieux et d'eviter de se retrouver sur un forum publique et alternatif pour esperer avoir un dfialogue avec les techniciens de free.

parceque ca va etre 1 puis 2 puis 10 puis 50 ... et ainsi de suite.
c'est sans fin

malheureusement, cela fait partie de fonction de l'administrateur systeme attaché a la securité de ce sous reseau.
je suppose qu'il y en a un (j'ose l'esperer) et qu'il est payé pour cela : securisé le sous reseau dedibox afin d'assurer les clients d'un minimum de tranquilité. meme a trente euros le mois.

et d'un autre coté, j'aimerais bien voir ta reaction si ton ip etait visée ...

Alors la pas daccord, je suis chez dedibox, ovh, et level3, et quand je lit dans tes propos que chez OVH on assiste les clients permet moi de te dire que tu te trompe

je ne me trompe pas.
mais un peu de provoc fait reagir plus vite, parfois.
pour moi, OVH n'est pas un bon hebergeur, mais sur certain aspect, je dois avouer qu'ils sont plus efficace que free.

en revanche il est vrai que chez ov h il y a possibilité de bloquer les ip sur le frontal et soulager ainsi toutes les machines et ce de façon automatique.

par exemple.
et pour le coup, c'est du lowcost aussi.
comme quoi.

en attendant, mon but n'est pas de polémiquer, mais de resoudre mon probleme.
depuis ce matin, j'ai eu un retour des usa.

Il parait que l'ip d'origine du dos est elle aussi attaquée !
d'apres le mail, l'origine est de mumtiples ip du sous reseau 88.191.50.x ...

alors, que pensez vous de cela ?
cela me parait tout de meme curieux ...

que l'ip soit spoofé, soit.
mais que l'ip spoofée recoive une attaque depuis les ip attaquées de l'autre coté, on tombe ;

-soit dans le mesonge. (je ne suis pas sur de la sincerité de mon interlocuteur, le webmaster de l'ip d'origine, aux usa.)
-soit dans le grand art. (dans le genre je fout la merde, c'est pas mal, je trouve.)

cependant, meme si dedibox a dfu mal a reagir sur un dos entrant, j'ai du mal a croire qu'ils soit tout aussi inactif sur un dos sortant.

des infos de la part de l'equipe de dedibox serait les bienvenues.
(quant je parlais de l'importance de la communication, meme a 30 euros par mois ...)

merci de votre interet.

peerates · 2008-03-30 06:47:41

Bonjour,
ce matin, resolution du probleme :
Apres avoir expedié 3 mails a l'hebergeur de l'ip d'origine, le webmaster du site en question a répondu a mes mails, hier soir.

comme expliqué dans le post precedent, d'apres lui, il ne s'agit pas de sa machine, l'ip est spoofée et il est attaqué aussi.
pourtant, apres un echange de mail lui assurant que cette affaire serait résolu d'une maniere ou d'une autre, le dos a cessé curieusement à 6h00, ce matin. je n'irais pas penser qu'il m'a menti (?), mais je ne comprend pas trop pourquoi il a attendu que je balance a son hebergeur pour réagir ...

cependant, j'ai du batailler ferme et m'occuper de cela de très pret pour arriver a ce resultat.
sinon, je pense que le dos serait toujours en cours.

A defaut d'une communication des actions eventuelles de dedibox sur le sujet, on ne peut pas penser que la resolution provient d'elle.
c'est dommage de se sentir completement seul face a ce type de probleme et de ne pas avoir le soutien de son hebergeur. (meme si c'est du lowcost.)

sachez, pour information, que l'autorité competente pour ce type d'attaque est la BEFTI :
BEFTI-122/126 rue du Château des Rentiers-75013 Paris
Téléphone : 01.55.75.26.19 Télécopie : 01.55.75.26.13
A condition que le serveur victime soit à PARIS/RP.

cependant :
notez que si l'attaquant est identifié a l'etranger, il s'agira alors de contacter l'antenne local d'interpol.

notez aussi que meme si la plainte est recevable, elle risque fort de s'egarer sous une pile de dossie, a moins que votre affaire soit d'une dimension suffisement importante. autrement dit ; ne comptez pas sur la police et la justice pour agir efficacement sur ce type d'affaire.

internet, c'est (encore) la jungle ...
c'"est pourquoi l'assistance et les conseil de son hebergeur pourrait etre les bienvenues.
(au lieu de s'en foutre et de dire en trois mots 'on peut rien faire' sans rien motiver ni expliquer.)

pourvuksadur.

FAUSSE BONNE NOUVELLE :
le dos s'est interompu une heure, entre 6h00 et 7h00, et a repris de plus belle depuis.

dedibox pourrait il faire quelque chose, ou bien dois je reellement penser migrer chez un autre hebergeur lowcost quu n'a pas ma preference, maius qui permettrait a mon site web d'etre tranquille ?

ou tout le monde s'en tape chez dedibox ?
parcque c'est un peu la misere de venir pleurer ici, sur un formum non offic iel, juste parceque le support ne se sent pas concerné. c'est pas tres pro, comme attitude. (meme pour du lowcost.)

Dernière modification par peerates (2008-03-30 09:35:42)

Guillaume · 2008-03-30 12:49:25

[RienAVoir]Tu va te faire reprendre là dessus, Dedibox n'est pas Free, et inversement [/RienAVoir]

Dernière modification par Guillaume (2008-03-30 12:50:39)

J@r0d · 2008-03-30 12:58:40

Je vais reprendre une phrase de Oles: "Quand ils ont décidé de s'en prendre a ton site, la seule chose a faire pour etre tranquile c'est de supprimer le contenu qui les dérange" et a partir d'un certains niveau les protections ne suffisent meme pas et la seul chose a faire c'est de couper le serveur, ce que bien des presta font pour soulager et protéger leur réseaux.

peerates · 2008-03-30 15:44:56

>>supprimer le contenu qui les dérange

m'ouai.
sauf que quant tu fais rien d'illégal, je vois pas pourquoi il faudrait s'executer.
il me semble que c'est aussi ça, le probleme.

demain, n'importe qui, qui n'aime pas ce que tu raconte ou ce que tu fait, et paf.
super.

si l'on accepte ce genre de chose, Ms va pouvoir spammer les sites distribuants du linux, histoire de renforcer un peu plus son monopole, si besoin etait. perso, cela ne me convient pas. (je note tout de meme que 'free' & 'dedibox', c'est pas les memes.) et concernant 'mon' contenu, vous pouvez consulter un post explicatif, dans la section 'idées' de ce meme forum. (et en plus, il est prosélyte ...)

c'est tout de meme un peu paradoxal, pour un hebergeur qui est lié (un peu quand meme) a un provider dont le nom évoque la notion de liberté ... la liberté pour qui ?

bon dimanche.

DEDIBOX-NEWS.COM

#1 2008-03-29 08:38:32

deni de service sur votre dbox ? le support s'en tape ...

#2 2008-03-29 08:57:57

Re: deni de service sur votre dbox ? le support s'en tape ...

peerates a écrit:

#3 2008-03-29 09:06:41

Re: deni de service sur votre dbox ? le support s'en tape ...

#4 2008-03-29 13:07:40

Re: deni de service sur votre dbox ? le support s'en tape ...

#5 2008-03-29 14:26:13

Re: deni de service sur votre dbox ? le support s'en tape ...

peerates a écrit:

#6 2008-03-29 14:28:24

Re: deni de service sur votre dbox ? le support s'en tape ...

#7 2008-03-29 15:37:10

Re: deni de service sur votre dbox ? le support s'en tape ...

peerates a écrit:

#8 2008-03-29 19:50:01

Re: deni de service sur votre dbox ? le support s'en tape ...

olod a écrit:

#9 2008-03-30 06:47:41

Re: deni de service sur votre dbox ? le support s'en tape ...

#10 2008-03-30 12:49:25

Re: deni de service sur votre dbox ? le support s'en tape ...

#11 2008-03-30 12:58:40

Re: deni de service sur votre dbox ? le support s'en tape ...

#12 2008-03-30 15:44:56

Re: deni de service sur votre dbox ? le support s'en tape ...

Pied de page des forums