Attaques DDoS du 21 octobre 2016

a marqué ce sujet comme résolu.

Reprise du dernier message de la page précédente

Cette réponse a aidé l’auteur du sujet

Je sais pas si ça sert à quelque chose, mais du coup j'ai configuré mon routeur pour qu'il utilise OpenDNS.

felko

Non. En soit ici le changement vers un DNS alternatif ne changera rien (enfin si ça peut marcher, mais bref ça reste pas une solution efficace). Ça marche très bien dans les cas comme celui d'Orange au début de semaine (qui avait redirigé google et wikipédia vers la page du ministère de l'intérieur). Mais en gros, tu auras toi => DNS FAI (ou alternatif) => Dyn => twitter. Le probleme de twitter c'est qu'il n'a qu'un fournisseur DNS, donc Dyn est un passage obligé en soit.

Une solution c'est de résoudre les adresses localement, c'est à dire mettre des entrées dans le fichier /etc/hosts du type :

1
2
104.244.42.193  twitter.com
199.16.156.11   t.co

Ou tout équivalent avec un résolveur local.

Sinon, voilà un petit post : https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html

Édité par AmarOk

+5 -0

Donc vous pensez que c'est du pure hasard ?

jerkoco

Question pour toi, est-ce que tu penses que la date du 21 octobre 2016, date que tu penses avoir été fixée plus de 4 ans à l'avance, est une date choisie au hasard ?

Si c'est une date choisie au hasard, le forum dont tu parles est une coïncidence. Si c'est pas une date choisie au hasard, je me réjouis de savoir la raison pour laquelle ils ont choisi précisément cette date.

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+3 -1

Salut,

À la lumière de mes connaissances basiques en réseau, il y a truc qui m'échappe : ces attaques ont, d'après les articles que j'ai lu, été en grandes parties réalisées à l'aide de caméras IP. Or, logiquement, la plupart de ces caméras font partie d'un LAN derrière un routeur qui emploie le NAT (restriction d'adresses IPv4, toussa), non ? Du coup, elles ne devraient pas être accessibles de base depuis l'extérieur du NAT puisqu'elles n'ont pas d'adresse IP publique. J'ai loupé un truc ou ces objets connectés ont des adresses IP publiques ? Et si c'est le cas, on était pas censé réduire l'attribution des adresses IPv4 ?

Édité par Taurre

#JeSuisArius

+0 -0

Salut,

À la lumière de mes connaissances basiques en réseau, il y a truc qui m'échappe : ces attaques ont, d'après les articles que j'ai lu, été en grandes parties réalisées à l'aide de caméras IP. Or, logiquement, la plupart de ces caméras font partie d'un LAN derrière un routeur qui emploie le NAT (restriction d'adresses IPv4, toussa), non ? Du coup, elles ne devraient pas être accessibles de base depuis l'extérieur du NAT puisqu'elles n'ont pas d'adresse IP publique. J'ai loupé un truc ou ces objets connectés ont des adresses IP publiques ? Et si c'est le cas, on était pas censé réduire l'attribution des adresses IPv4 ?

Taurre

Il me semble que beaucoup de boite ont des problèmes de sécurité avec leurs caméras, les ports sont ouverts et rendent donc l'accès à leur caméra très simple. Il est possible de visionner des caméras de surveillances des quatre coins du monde avec un peu de recherche.

+0 -0

Salut,

À la lumière de mes connaissances basiques en réseau, il y a truc qui m'échappe : ces attaques ont, d'après les articles que j'ai lu, été en grandes parties réalisées à l'aide de caméras IP. Or, logiquement, la plupart de ces caméras font partie d'un LAN derrière un routeur qui emploie le NAT (restriction d'adresses IPv4, toussa), non ? Du coup, elles ne devraient pas être accessibles de base depuis l'extérieur du NAT puisqu'elles n'ont pas d'adresse IP publique. J'ai loupé un truc ou ces objets connectés ont des adresses IP publiques ? Et si c'est le cas, on était pas censé réduire l'attribution des adresses IPv4 ?

Taurre

Il me semble que beaucoup de boite ont des problèmes de sécurité avec leurs caméras, les ports sont ouverts et rendent donc l'accès à leur caméra très simple. Il est possible de visionner des caméras de surveillances des quatre coins du monde avec un peu de recherche.

jerkoco

C'est aussi que bien souvent les identifiants/mots de passe de ces appareils ne sont pas changés et/ou pas sécurisés.

http://www.clubic.com/domotique/video-surveillance/actualite-738071-site-affiche-videos-73-000-cameras-ip-privees.html

http://www.01net.com/actualites/les-cameras-de-surveillance-sont-des-passoires-en-securite-informatique-593243.html

Alors qu'en sera-t-il dans le futur avec l'expansion de l'IoT ?

Édité par anonyme

+0 -0

En fait, j'ai surtout un soucis de compréhension dans le cas où il y a un NAT : ne passe que le trafic qui :

  • soit a été ouvert depuis le réseau interne (par exemple une connexion HTTP initialisée vers un serveur externe) ;
  • soit est redirigé vers une machine interne, ce qui implique une configuration préalable du routeur.

Du coup, comment une caméra IP derrière un NAT pourrait être attaquée si aucun trafic n'est dirigé vers elle ?

#JeSuisArius

+0 -0

Du coup, comment une caméra IP derrière un NAT pourrait être attaquée si aucun trafic n'est dirigé vers elle ?

Taurre

(surf sur le web | client email) => télécharge fichier pourri / pièce jointe pourrie => ouvre le fichier => malware scanne LAN, découvre IoT devices, essaie passwords par défaut => malware infecte IoT devices.

Malware sur IoT device => toutes les X minutes, E.T. téléphone maison => maison dit "maintenant, cible : 123.123.123.132" => IoT device sort sans problème, merci NAT.

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+7 -0

Voilà qui est plus clair, merci. :)
Du coup, les attaquant ne passe pas à travers le NAT, mais utilisent les voies classiques pour infecter un ordinateur du réseau et non directement la caméra.

#JeSuisArius

+0 -0

Justement il me semble pas qu'il y a une méthode d'infection genre télécharge le virus. Mirai infecte les appareils sans interventions de leur proprio.
Si tu regarde dans le code, les bots scannent des adresses et tente de se connecter Il y a la fonction get_random_ip() dans mirai/bot/scanner.c et elle est utilisée dans scanner_init() du même fichier

conseil: le thé est meilleur avec un zeste de citron

+2 -0

Si tu regarde dans le code, les bots scannent des adresses et tente de se connecter Il y a la fonction get_random_ip() dans mirai/bot/scanner.c et elle est utilisée dans scanner_init() du même fichier

d3m0t3p

Aah ! Bien vu ! Le code semble effectivement éliminer d'office les adresses invalides…

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
static ipv4_t get_random_ip(void)
{
    uint32_t tmp;
    uint8_t o1, o2, o3, o4;

    do
    {
        tmp = rand_next();

        o1 = tmp & 0xff;
        o2 = (tmp >> 8) & 0xff;
        o3 = (tmp >> 16) & 0xff;
        o4 = (tmp >> 24) & 0xff;
    }
    while (o1 == 127 ||                             // 127.0.0.0/8      - Loopback
          (o1 == 0) ||                              // 0.0.0.0/8        - Invalid address space
          (o1 == 3) ||                              // 3.0.0.0/8        - General Electric Company
          (o1 == 15 || o1 == 16) ||                 // 15.0.0.0/7       - Hewlett-Packard Company
          (o1 == 56) ||                             // 56.0.0.0/8       - US Postal Service
          (o1 == 10) ||                             // 10.0.0.0/8       - Internal network
          (o1 == 192 && o2 == 168) ||               // 192.168.0.0/16   - Internal network
          (o1 == 172 && o2 >= 16 && o2 < 32) ||     // 172.16.0.0/14    - Internal network
          (o1 == 100 && o2 >= 64 && o2 < 127) ||    // 100.64.0.0/10    - IANA NAT reserved
          (o1 == 169 && o2 > 254) ||                // 169.254.0.0/16   - IANA NAT reserved
          (o1 == 198 && o2 >= 18 && o2 < 20) ||     // 198.18.0.0/15    - IANA Special use
          (o1 >= 224) ||                            // 224.*.*.*+       - Multicast
          (o1 == 6 || o1 == 7 || o1 == 11 || o1 == 21 || o1 == 22 || o1 == 26 || o1 == 28 || o1 == 29 || o1 == 30 || o1 == 33 || o1 == 55 || o1 == 214 || o1 == 215) // Department of Defense
    );

    return INET_ADDR(o1,o2,o3,o4);
}

Du coup, ma question reste entière, d'autant que le scan semble s'effectuer via les ports 23 et 2323…

#JeSuisArius

+0 -0

En fait, j'ai surtout un soucis de compréhension dans le cas où il y a un NAT : ne passe que le trafic qui :

  • soit a été ouvert depuis le réseau interne (par exemple une connexion HTTP initialisée vers un serveur externe) ;
  • soit est redirigé vers une machine interne, ce qui implique une configuration préalable du routeur.

Du coup, comment une caméra IP derrière un NAT pourrait être attaquée si aucun trafic n'est dirigé vers elle ?

Taurre

Pour moi, une grande partie des caméras est installée pour être accessible de l'extérieur (rien que les surveillances vidéos chez soi, le propriétaire regarde la vidéo quand il est pas chez lui, donc de l'extérieur). La plupart des caméras sont réalisées de sorte à avoir un accès facile de l'extérieur, parce que généralement le client le souhaite.

Y a la méthode de victor qui peut donner un reverse shell et après il navigue dans le réseau.

Troisième truc, qui revient grosso-mode à mon premier point, mais du point de vue technique : https://en.wikipedia.org/wiki/Universal_Plug_and_Play#NAT_traversal Je cite un petit passage :

In January 2013 the security company Rapid7 in Boston reported[30] on a six-month research programme. A team scanned for signals from UPnP-enabled devices announcing their availability for internet connection. Some 6900 network-aware products from 1500 companies at 81 million IP-addresses responded to their requests. 80% of the devices are home routers, others include printers, webcams and surveillance cameras. Using the UPnP-protocol, many of those devices can be accessed and/or manipulated.

Édité par AmarOk

+1 -0

Salut,

À la lumière de mes connaissances basiques en réseau, il y a truc qui m'échappe : ces attaques ont, d'après les articles que j'ai lu, été en grandes parties réalisées à l'aide de caméras IP. Or, logiquement, la plupart de ces caméras font partie d'un LAN derrière un routeur qui emploie le NAT (restriction d'adresses IPv4, toussa), non ? Du coup, elles ne devraient pas être accessibles de base depuis l'extérieur du NAT puisqu'elles n'ont pas d'adresse IP publique. J'ai loupé un truc ou ces objets connectés ont des adresses IP publiques ? Et si c'est le cas, on était pas censé réduire l'attribution des adresses IPv4 ?

Taurre

Tout ca me rappelle un tres bon article que j'avais lu il y a un petit moment qui montre bien comment prendre le controle de plusieurs milliers de cameras en quelques minutes. Pour ce qui est de trouver les addresses IP, Shodan/Zmap/Masscan font tres bien l'affaire.

Édité par anonyme

+1 -0

Tout ca me rappelle un tres bon article que j'avais lu il y a un petit moment qui montre bien comment prendre le controle de plusieurs milliers de cameras en quelques minutes. Pour ce qui est de trouver les addresses IP, Shodan/Zmap/Masscan font tres bien l'affaire.

Ramsey

Merci pour cet article qui répond à ma question initiale de manière limpide.

The DVRs get opened up to the Internet using port-forwarding […]

#JeSuisArius

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte