Déni de service distribué sur XName.org

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
22
jan.
2004
Internet
XName.org est un projet de gestion de zone DNS gratuit qui compte 6000 utilisateurs et gère 16 500 zones. Il a subi cette semaine plusieurs dénis de service distribués. Le dernier en date, hier soir, a conduit administrateurs et hébergeur à couper purement et simplement l'accès au serveur principal, hébergeant le site web et l'un des deux serveurs DNS.
L'attaque a été menée depuis plusieurs milliers de machines, utilisant des adresses IP spoofées, et générant un trafic DNS entrant supérieur à 400Mb/s pendant plusieurs heures.

En attendant de trouver une solution (s'il y en a une), le service web a été coupé, ainsi que ns0.xname.org. Pour les personnes ayant leur zone sur xname.org (par exemple linuxfr.org, uucpssh.org, tribunelibre.org...), le serveur ns1.xname.org continue de fonctionner correctement.
Le site web étant déconnecté, aucune modification ne peut être faite.

Pour information il semble que l'attaque soit faite à partir d'un botnet, c'est à dire d'un ensemble de machines avec un cheval de Troie se connectant sur un serveur IRC, à partir duquel la personne malveillante donne des ordres pour saturer telle ou telle IP.
  • # Re: Déni de service distribué sur XName.org

    Posté par  . Évalué à 10.

    Si quelqu'un a une bande passante de 400Mb/s dont il ne sait pas quoi faire, j'accepte toute proposition d'hébergement !

    Et comme c'est mon jour, en plus j'offre gracieusement un lien sur xname.org pointant sur votre site (bandeau de pub à partir de 1Gb/s de bande passante)
    • [^] # Re: Déni de service distribué sur XName.org

      Posté par  . Évalué à 5.

      Vue les augmentations de bande passante des utilisateurs lambda (limité à 256Ko en upload pour l'instant) ce genre de chose risque d'arriver de plus en plus, il faudra de moins en moins de machines pour conduire le même DDOS...
    • [^] # Re: Déni de service distribué sur XName.org

      Posté par  . Évalué à 1.

      Courage Yann !!!

      je sais ce que sait, on a passé trois jours sous attaque avant de pouvoir ne serait-ce que permettre a nos client de pouvoir recevoir un peu leur mail.
      Pareil, il nous ont fait sauter la bande passante de nos liens.
  • # Re: Déni de service distribué sur XName.org

    Posté par  . Évalué à 7.

    En meme temps, pourquoi attaquer un service gratuit et puissant comme xname.org ?

    Il y a plein d'autres choses à attaquer, mais non, ce sont les gentils qui s'en prennent plein la gueule.

    C'est beau internet.
    • [^] # Re: Déni de service distribué sur XName.org

      Posté par  . Évalué à 4.

      le problème surtout c'est l'impuissance face à ça... ça faisait 2 jours que je me posais des questions sur que faire, et hier soir le coup de fil qui tue "Bon, Yann... là je crois qu'on n'a pas le choix". Et moi, la mort dans l'âme: "je sais... vas-y, coupe..."

      avec un peu de chance il existe une solution miracle...
    • [^] # Re: Déni de service distribué sur XName.org

      Posté par  . Évalué à 5.

      en meme temps, pourquoi attaquer un service gratuit et puissant comme xname.org ?

      peut-être parce qu'on fait le même produit payant ailleurs et que ça dérange un produit gratuit qui marche ?
  • # Re: Déni de service distribué sur XName.org

    Posté par  . Évalué à 0.

    est-ce que c'est possible que je n'ai pas pu accéder à uucpssh.org ou linuxfr.org hier (21 janvier) à partir de 18h et jusqu'à aujourd'hui (22 janvier) 15h (GMT) à cause de cette attaque?

    mes emails sont hébergés sur uucpssh.org et je ne pouvais plus me brancher...
    • [^] # Re: Déni de service distribué sur XName.org

      Posté par  . Évalué à 6.

      non, du tout.

      En fait cette attaque fait qu'une fois sur deux les requêtes DNS sont lentes (elles partent en timeout sur ns0, et sont résolues sur ns1).

      Le problème uucpssh et linuxfr de hier soir est tout autre, il s'agit d'un plantage du serveur suite à changement de kernel. Il a fallu que quelqu'un intervienne physiquement pour retourner dans une config correcte.
  • # Re: Déni de service distribué sur XName.org

    Posté par  . Évalué à 1.

    Question "bete":

    Si internet fonctionner en IPv6, est ce que cela permettrer d'eviter ces attaques ? IPv6 n'est pas censer empecher le spoofing ?
  • # Re: Déni de service distribué sur XName.org

    Posté par  . Évalué à 2.

    D'ailleurs en parlant de Xname (je suis peut être hors sujet, mea-culpa), je me demande pourquoi vous utilisez ce mecanisme de mise à jour de Bind à partir d'une base de donnée de manière régulière (si j'ai bien compris ...) au lieux d'utiliser directement un serveur ayant comme backend la db ?
    Je pose cette question car je doit mettre en place ce service et ayant vu les deux solutions je me demande ce que sont les avantages/inconvénients des deux.
    Peut-être pourriez vous m'éclairer, vu l'expérience que vous avez ...

    Enfin ce n'est peut être pas l'endrois ... ni le moment.
    • [^] # Re: Déni de service distribué sur XName.org

      Posté par  . Évalué à 4.

      parce que lorsque j'ai commencé le développement, mi 2001, les solutions de type bind-dlz ( http://bind-dlz.sourceforge.net(...) ) n'étaient que en version béta, sans garantie de suivi des versions de bind (assez bas niveau dans le code, donc si bind change, la réactivité n'est pas garantie). De plus le support de mysql était expérimental de souvenir.

      Aujourd'hui le projet semble fiable et viable, donc c'est vrai que si je devais réécrire xname aujourd'hui, je regarderais du côté de bind-dlz.

      D'ailleurs si un provider veut bien héberger XName (2U, 400Mb/s), je vais peut-être adapter le moteur à bind-dlz.
      • [^] # Re: Déni de service distribué sur XName.org

        Posté par  (site web personnel) . Évalué à 2.

        Je suis utilisateur de XName et je trouve ça révoltant qu'on puisse s'attaquer à un projet tel que celui-là. Déjà que c'est pas super facile faire vivre un projet gratuit (et libre aussi) car il faut trouver les fonds, si en plus y a des petits guignols qui commence à prendre Internet pour leur terrain de jeu...
        Pfff..

        Voila, je voulais juste te dire bon courage Yann dans ta recherche d'un nouvel hébergeur pour le serveur et encore chapeau pour ce projet.

        Je pense que Free, Lost-Oasis ou Gitoyen peuvent être de bons interlocuteurs pour de l'hébergement de serveurs de cette taille.
        • [^] # Re: Déni de service distribué sur XName.org

          Posté par  . Évalué à 3.

          merci pour ces encouragements :-)

          En fait idéalement je voudrais ne pas changer d'hébergeur, je consomme que 256kb/s quand on cherche pas à tout détruire :-)

          Pour le coup des 400Mb/s, je doute que quelqu'un accepte un tel boulet ;-)
          (et s'ils acceptent, j'aurais clairement pas les fonds pour payer :))

          Faut juste espérer que le méchant se lasse... Mais je ne le saurais pas tant que je n'aurais pas rebranché le serveur, et si je rebranche le serveur, je risque encore d'écrouler le réseau du provider... Donc pas gagné !

          Pour rappel, comme dit dans l'article, ns1 fonctionne toujours - donc ceux qui ont leur DNS sur xname en tant que secondaire, ns1 continue de se synchroniser sur leur primaire.
          Pour ceux qui utlisaient xname en primaire, ns1 était configuré en secondaire. je suis en train de passer toutes les zones qui sont en primaire sur xname en primaire sur ns1, pour que la résolution puisse continuer à se faire dans les jours à venir.
          • [^] # Re: Déni de service distribué sur XName.org

            Posté par  . Évalué à 1.

            J'espère que tu vas trouvé une solution viable pour Xname qui est pour moi un beau projet. Bon courage.
            • [^] # Re: Déni de service distribué sur XName.org

              Posté par  (site web personnel) . Évalué à 2.

              rien à ajouter, mais ca doit toujours te faire plaisir de te sentir soutenu ! J'aimerais pouvoir t'annoncer une bonne nouvelle...
              mais même la météo veut pas !

              METEO : [Jeudi 22 janvier] Paris-Centre : Bruine (4°C à 7°C)
              METEO : [Vendredi 23 janvier] Paris-Centre : Très brumeux (5°C à 7°C)
              METEO : [Samedi 24 janvier] Paris-Centre : Nuageux (6°C à 9°C)
              METEO : [Dimanche 25 janvier] Paris-Centre : Pluie faible (4°C à 6°C)
              METEO : [Lundi 26 janvier] Paris-Centre : Pluie (2°C à 4°C)
  • # Re: Déni de service distribué sur XName.org

    Posté par  . Évalué à -2.

    Ne penssez vous pas que ce cheval de troie exploite une failles de windows ... --> le bouquet de l'emerdement ...
  • # Re: Déni de service distribué sur XName.org

    Posté par  . Évalué à 3.

    J'utlise le service dns secondaire, un grand merci pour ce projet ambitieux et dont l'interface est très bien pensée !

    Bon courage pour traverser cette épreuve difficile, mais tant que les warlordZ n'auront pas compris qu'il n'y a rien à gagner à attaquer un service de ce type...

    Une question : est-ce que des prestataires pro pour gérer les dns auraient un quelquonque intérêt à faire ce genre d'attaque eux-même ?
  • # Re: Déni de service distribué sur XName.org

    Posté par  (site web personnel) . Évalué à 2.

    Question: est-ce qu'une plainte en justice a pu être déposée ?
    • [^] # Re: Déni de service distribué sur XName.org

      Posté par  . Évalué à 1.

      Pas pour le moment, question de temps / méconnaissance de la procédure. En plus de ça on n'a pas vraiment de trace, toutes les IPs ayant été spoofées.
      Bon, par contre j'ai de fortes présomptions de l'origine... mais on engage pas des poursuites à l'étranger avec de fortes présomptions.
      En gros si je porte plainte, économiquement je ne représente rien, politiquement n'en parlons pas, et internationalement je n'ai pas d'intérêt. Donc je ne vois pas comment il pourrait y avoir une suite à ma plainte...
      • [^] # Re: Déni de service distribué sur XName.org

        Posté par  . Évalué à 3.

        >j'ai de fortes présomptions de l'origine...
        Là tu en as trops dit...... Dis nous qui est le gros méchant.
        • [^] # Re: Déni de service distribué sur XName.org

          Posté par  . Évalué à 3.

          Qui peut bien vouloir faire cela ?

          [ ] le voisin de Yann qui trouve que celui-ci fait trop de bruit
          [ ] l'ex qu'il vient de larguer
          [ ] sa boulangère qui constate qu'il n'achète plus qu'une seule baguette moulée au lieu de une "Rétrodor" et 2 pains au choc comme avant
          [ ] un concurrent faisant payer pour un service équivalent

          Faudrait changer le sondage, tiens...
          • [^] # Re: Déni de service distribué sur XName.org

            Posté par  (site web personnel) . Évalué à 2.

            [ ] un concurrent faisant payer pour un service qui n'arrive pas à la cheville (ie : tous les soi-disants entreprises expertes en internet qui proposent d'héberger un nom de domaine pour moins de 100€/mois...)
            • [^] # Re: Déni de service distribué sur XName.org

              Posté par  . Évalué à 3.

              Laissez tomber, vous n'y êtes pas...
              en fait c'est l'un des mecs cité sur http://www.grc.com/dos/grcdos.htm(...)

              Comme dit plus haut j'avais de fortes présomptions sur un mec à qui j'ai demandé poliment lundi d'aller voir ailleurs pour ses zones, suite à une plainte pour hack à son encontre. Je n'ai jamais eu de réponse écrite, mais je pense qu'il avait plein de choses à me dire, vu le débit ;)

              quelqu'un m'a conseillé de regarder l'histoire de grc.com pour essayer de trouver une solution... a défaut de solution, j'ai juste trouvé le nick du type en question dans la liste des méchants.
              • [^] # Re: Déni de service distribué sur XName.org

                Posté par  . Évalué à 1.

                Je pense qu'en général, dans ce genre d'attaque, on n'a vraiment aucune idée d'où ca vient qu'en on est attaqué.
                A mon avis, il serait dommage d'avoir la chance d'avoir de "fortes présomptions" et de ne rien tenter.
                D'accord, cela prend du temps pour un résultat très incertain ... mais faudrait pas laisser faire.

                Sinon, je n'utilise pas XName, mais vu tout le bien qu'on en dit, ca va s'en doute pas tarder.

                Bon courrage Yann !
      • [^] # Re: Déni de service distribué sur XName.org

        Posté par  . Évalué à 3.

        Circonscription Bordeaux Région Aquitaine CATG caserne Battesti
        Gendarmerie 59 r Seguineau 33700 MERIGNAC 05 56 90 44 00

        Section Recherche

        Il y'as des sympatisant des LL

        Si tu veux plus d'info sur ce genre de procédure contacte moi en PV
  • # utilisant des adresses IP spoofées ?

    Posté par  . Évalué à 1.

    " utilisant des adresses IP spoofées"


    C'est quoi ca des adresse spofés ?
    Merci.
    • [^] # Re: utilisant des adresses IP spoofées ?

      Posté par  . Évalué à 1.

      c'est lorsque une machine ayant pour adresse IP XX.YY.ZZ.12 envoie des paquets avec une adresse qui n'a rien à voir.
      Normalement un fournisseur d'accès internet bloque ce genre de chose à l'émission, et la machine ne pourra pas envoyer de paquets en dehors de XX.YY.ZZ.*.
      • [^] # Re: utilisant des adresses IP spoofées ?

        Posté par  . Évalué à 1.

        Je crois que je comprends.

        Donc on a une bécane avec l'adresse 125.125.125.125
        qui envoi à xname des demandes de page avec l'adresse
        125.125.125.01
        125.125.125.02
        125.125.125.03
        et ainsi de suite.

        C'est ca le déni de service ? Ca bloque le machine parce qu'elle cherche à répondre à des gens qui ne lui demande rien ?
        Qu'et-ce qu'il en font d'ailleur ? Est-ce que c'est possible de voir s'afficher un page xname comme ca alors qu'on surf parce que qq fait un dos ?

        Et enfin, derniére interrogation : puisque les FAI bloquent ces pratiques, comment font les pirates ? Il faut bien un acces internet pour faire ca non ?

        En tout cas faut vraiment être un peu con pour faire des trucs inutile comme ca...
        • [^] # Re: utilisant des adresses IP spoofées ?

          Posté par  . Évalué à 3.

          Non c'est pas ca.

          En gros le spoof ca revient à j'ai ma machine qui a une adresse IP 12.13.14.2
          et qui envoie un packet pretendant avoir une adresse differente (mais complemetement en general) du genre 80.15.24.8 (en gros tu réecrit l'en-tete du packet)

          En suite souvent ce qui est utilisé c'est de pingué des adresse de broadcast où plusieurs machines répondent:

          exemple:
          --- 192.168.255.255 ping statistics ---
          2 packets transmitted, 2 packets received, +16 duplicates, 0% packet loss
          round-trip min/avg/max = 0.0/1.1/3.0 ms

          J'ai envoyer deux paquets et j'en ai recu 18.

          Jusque là ca parait pas bien dangereux. Mais le truc réside a envoyer des ping en spoofant ton adresse et en te faisant passé pour ta victime. Résultat ta victime reçoit 18 pong (réponses) et toi tu envoies que 2 ping.et ceux ci de manière distribué tu peux faire très mal.

          Voila.
          • [^] # Re: utilisant des adresses IP spoofées ?

            Posté par  . Évalué à 1.

            Si on peut ajouter la technique de "teardrop" ca fait encore plus mal sur une machine non protégée.
            Mais je pense pas que ca marche encore sur ce genre de serveurs : ils sont blindés depuis longtemps
            Bret_
  • # Re: Déni de service distribué sur XName.org

    Posté par  . Évalué à 1.

    ce qui expliquerait l'impossibilité de se connecter à certains sites? cf Linuxgraphic.org et d'autres sites LL où c'est juste chez moi ?
  • # Redémarrage de ns0

    Posté par  (site web personnel) . Évalué à 1.

    Hum, est-ce qu'on ne pourrait pas rallumer ns0 ? je pense que l'autre abruti a fini son ddos là...

    Depuis la coupure de ns0, j'ai ma zone reverse (d.a.e.d.2.2.1.1.8.a.7.0.1.0.0.2.ip6.arpa) qui ne fonctionne plus, je suppose que la config n'était pas en secondaire sur ns1 ? les autres zones marchent bien.

    'Fin voilà, sans vouloir presser quoi que ce soit, ça serait cool de pouvoir accéder a la gestion web.

    ++

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.