Aller au contenu

Logs réseau et plaintes

Aenoa

Par Aenoa
dans Administration & Droit

 Partager

Sujets conseillés

Aenoa

Aenoa

Posté
Posté

Bonjour à tous,

Ayant un site à but communautaire et fournissant du gratuit, j'utilise un serveur dédié de chez OVH (KS24G). Nous comptons très bientôt mettre de nouveaux services (toujours gratuits) en ligne, et pour cela, nous avons décidé de passer en tant qu' association, pour des raisons juridiques.

Toutefois, je m'inquiète d'une chose:

je connais des sites fournissant des services similaires aux miens, mais celui-ci se fait régulièrement DDoS par des personnes qui n'apprécient pas trop leur gratuité, ou qui veulent simplement ennuyer leur monde.

En lançant ce service, j'ai peur de subir également du DDoS. C'est une des raisons pour laquelle je compte passer en association.

Lorsque nous porterons plainte, ce sera une entité et non une personne physique qui porte plainte contre X.

L'on m'a conseiller de donner les logs réseau de la machine attaquée, mais je ne vois pas trop de quoi il s'agit. dans /var/log, j'ai de nombreux fichiers et je suis un peu perdu.

- Dois-je tout fournir à la police ?

- L'on m'a dit de trouver un logiciel de surveillance réseau... avez vous des noms ? (gratuits)

- Ai-je vraiment d'utilité a porter plainte, si la police ne fait rien ?

-Si je suis DDoS, je perds l'entièreté du serveur dédié ? je dispose d'un ftp de 100go pour backup, mais ça me parait petit pour mon dédié, sans compter que je suis assez nul en prog Shell, donc pour automatiser... :/

Merci d'avance pour votre aide :)

Aenoa

  • Message populaire.
Kulgar

Kulgar

Posté
  • Message populaire.
Posté (modifié)

- Dois-je tout fournir à la police ?

- L'on m'a dit de trouver un logiciel de surveillance réseau... avez vous des noms ? (gratuits)

- Ai-je vraiment d'utilité a porter plainte, si la police ne fait rien ?

-Si je suis DDoS, je perds l'entièreté du serveur dédié ? je dispose d'un ftp de 100go pour backup, mais ça me parait petit pour mon dédié, sans compter que je suis assez nul en prog Shell, donc pour automatiser... :/

Alors, voilà exactement mon champ d'expertise xD.

Alors déjà, reprenons les bases. DDoS est une attaque bien plus puissante qu'un simple DoS.

Un DDoS, c'est comme un DoS mais avec un D en plus pour "distribué". Comment fonctionne cette attaque ?

En générale, il s'agit, pour un pirate, d'envoyer une requête depuis un serveur pirate vers plein d'ordinateurs contaminés par un de ses virus (aussi appelés Zombies) pour que chaque ordinateur envoie une requête ou un paquet vers la cible.

La cible recevant tellement de paquets, ne peut les traiter tous, et affiche donc "trop de trafics" pour les futurs connectés. C'est ce qu'on appelle une attaque de type : distributed denial-of-service attack, car on déni le service (autrement dit, on le met totalement HS).

Ce type d'attaque, sur un site Web, peut être faite de deux manières (les plus communes du moins) différentes :

- Soit c'est le serveur qui est directement attaqué (ou le routeur, ou un équipement réseau entre Internet et le serveur, peu importe lequel), dans ce cas il s'agit d'une attaque de type "réseau" et il faudra fournir les logs Réseaux à la police.

- Soit c'est le site Web qui est directement attaqué par des requêtes longues à gérer, comme le rafraîchissement d'une page contenant de la vidéo, ou la recherche d'articles, ça fait travailler le serveur donc c'est privilégié par les pirates. On parle plutôt là d'attaque de type "applicatif" et il faudra donc fournir les logs des requêtes (donc du site Web) à la police.

Comment détecter l'une ou l'autre des attaques ?

La première, vous ne pouvez plus accéder au serveur, ni au site... Vous ne devriez même plus être en mesure de vous connecter au serveur en tant qu'admin. Dans ce cas => contacter OVH.

La deuxième, vous aurez sûrement (au mieux) une page indiquant que le site est surchargé et qu'il faut augmenter les capacités du serveur. Contacter également OVH, et couper l'accès au site attaqué, ça arrêtera immédiatement l'attaque et protègera les éventuels autres sites / services d'un déni de service par ricochet (comme j'appelle ça, j'explique ce que c'est par la suite).

Ensuite... pourquoi DDoS est bien plus puissante qu'un simple DoS ? Déjà parce que l'attaque ne provient pas d'un unique ordinateur. Ensuite parce que comme ce sont des ordinateurs Zombies qui font l'attaque, ce sont des ordinateurs de particuliers et donc, connaître leurs adresses IP ne sert à rien (beh oui, pas la faute des particuliers s'ils ont un ordi virussé). Donc les logs seront très certainement inexploitables. Enfin, si, juste pour voir qu'il s'agit effectivement d'un DDoS. Il n'y a strictement (et normalement) AUCUN moyen de remonter jusqu'au pirate (sauf s'il est maladroit, mais un pirate, c'est rarement maladroit). Le pirate n'a fait qu'envoyer une simple requête à un serveur qui l'a relayée vers tous les ordinateurs Zombies. Cette requête ne se retrouve évidemment pas dans les attaques depuis les ordinateurs Zombies.

Ce qui est ennuyeux aussi, avec ce type d'attaque, c'est qu'il n'est nul besoin d'être un véritable pirate pour l'exécuter. Les pirates "louent" ce service (si si, je déconne pas). Il est donc possible de leur acheter un "temps" de déni de service. Par exemple :

- Je veux un DOS de 48h sur ce site

- D'accord, ça vous coûtera 5000

- Vendu !

Hé ouais, les pirates sont sans scrupules et ont tout de suite vu ici, une opportunité de se faire de l'argent en exploitant les guerres que se livrent les sites concurrents. De plus, en général, s'ils sont attrapés, ils arrivent à bien s'en sortir, certes ils ont piraté, mais ils ont été payés pour ça, ils proclament donc que s'ils n'avaient pas été payés, ils n'auraient jamais attaquer, et rejettent donc la faute sur les entreprises qui ont fait appel à leur service. C'est moche... mais c'est la réalité du piratage.

En fait, il existe bien un moyen de remonter jusqu'au pirate. Mais, c'est une technique également de "piratage" que certains experts en sécurité Web peuvent mettre en oeuvre, et c'est tout autant condamnable par la police, même s'il s'agit là d'attraper un malfaiteur... Bref, si c'est la police qui le fait (pour que ça soit légal), elle aura besoin des logs.

Concernant le logiciel de surveillance réseau, ça s'appelle aussi un "sniffer" car on "snif" le réseau. Très utilisé par les pirates et par les pro de la sécurité Web, je ne peux que te conseiller Wireshark! Qui est entièrement gratuit. Avec ça, tu verras tout ce qu'il se passe sur ta machine au niveau réseau : les paquets qu'elle reçoit et ceux qu'elle envoie.

Porter plainte ? Oui, il y a toujours utilité. Notamment, tu n'es pas le seul dans cette situation, comme tu l'as si bien dit. Ca peut notamment faire qu'OVH renforce la sécurité naturelle de ses serveurs (ils sont sensés être au courant si tu portes plainte). Et, à force de plaintes et d'archivages de logs, peut-être que la police finira par trouver un truc qui leur permettra de remonter jusqu'aux pirates. Il y a de très bons analyseurs de logs dans la police, allant même jusqu'à analyser l'hexadécimal des paquets... Chose qui, je le sais par expérience, demande énormément de connaissances et compétences techniques.

Pour répondre à la dernière question, comme je le disais, ça dépend du type d'attaque DDoS. Soit c'est une attaque directe sur un équipement réseau d'OVH ou du serveur. A ce moment là, tu ne peux rien y faire, sinon le signaler à OVH qui sera très certainement déjà au courant (en général, ils aiment pas se faire pirater les hébergeurs Webs, et sont très réactifs). Soit c'est un DDoS sur ton site, via une multitude de requête effectuée toutes les secondes.

A ce moment là, c'est le serveur qui travaille directement, donc tout dépend de comment il est configuré :

- soit ses ressources sont partagées par toutes les applications et dans ce cas, tous les sites et autres applications seront atteintes (jusqu'à quel point, je ne saurais le dire, c'est ce que j'appelle le DDoS par ricochet).

- soit ses ressources sont bien "fragmentées et séparées" et une certaine quantité est alloué à ton site, dans ce cas tu ne perdras de la disponibilité seulement que vers ton site.

En tout cas, avec du DOS, tu ne perds que de la disponibilité. Tu ne perds pas d'intégrité ni de la confidentialité. Ce sont les 3 critères principaux utilisés en gestion de la sécurité (DIC) pour catégoriser les effets des attaques.

Bon, après, je ne te cache pas qu'il existe des attaques faisant les 2 en même temps, un DoS + récupération de fichiers dès lors qu'on a atteint un buffer overflow (dépassement de mémoire, après ça, les équipements réseaux ont tendance à faire n'importe quoi).

Tiens, je donne un exemple : à une époque, les Switch étaient programmés pour, qu'en cas de surcharge, ils repassent en fonctionnement HUB. Les pirates ont rapidement exploité cette faille, en faisant un petit DOS sur un switch, ils avaient ensuite accès à tous les ordinateurs du réseau puisque le switch était repassé en broadcast (i.e. il relaie tous les paquets à tous les PCs qui lui sont raccordés sans se soucier des adresses IP d'origine et de destination).

Bon... J'ai écrit beaucoup et je me suis lâché, désolé pour le trop plein d'informations. Mais en sécurité Web, mieux vaut plus que pas assez ^^.

En espérant que cela réponde à tes questions, si tu en as d'autres, hésite pas :P.

Kulgar.

[edit] J'ai mis un peu de mise en forme, j'ai eu peur que ça ne soit pas digeste.

Modifié par Kulgar
  • Vote 1
Aenoa

Aenoa

Posté
  • Auteur
Posté

Merci pour cet "article" ^^

ça m'a été grandement utile, et je vais tenter de voir comment "répartir" les ressources entre les services :)

Merci pour tout Kulgar :)

--

Aenoa

Dan

Dan

Posté
Posté

Bon... J'ai écrit beaucoup et je me suis lâché, désolé pour le trop plein d'informations. Mais en sécurité Web, mieux vaut plus que pas assez ^^.

On ne se plaint jamais lorsqu'un post "verbeux" atteint ce niveau qualitatif :thumbsup:

Kulgar

Kulgar

Posté
Posté

On ne se plaint jamais lorsqu'un post "verbeux" atteint ce niveau qualitatif :thumbsup:

Merci :blushing:

Après tout, si je me suis inscrit ici c'est pour partager et échanger mes connaissances, je ne suis donc pas avare en explications, surtout dans un domaine qui me passionne. :)

_AT_Aenoa : Comme tu le dis, après relecture, ça ressemble beaucoup à un "article". Ca ne te dérange pas si je reprends tes questions pour transformer tout ça en un article de blog ? Je pense que ça pourrait sûrement être utile à un bon nombre de Webmasters qui pourraient, de cette façon, tomber dessus lors de recherches Google.

Arlette

Arlette

Posté
Posté

Ca ne te dérange pas si je reprends tes questions pour transformer tout ça en un article de blog ? Je pense que ça pourrait sûrement être utile à un bon nombre de Webmasters qui pourraient, de cette façon, tomber dessus lors de recherches Google.

Si tu poses la question pour ici... C'est pas sur le blog qu'il faut poster, c'est dansles publications, et c'est avec plaisir que l'on peut t'ouvrir un compte ;)

Envoie moi un MP et on en parle en privé si tu le souhaites.

Kulgar

Kulgar

Posté
Posté

Ouip, en effet, je parlais d'un blog personnel, je ne savais même pas que je pouvais avoir le droit de faire des publications sur ce site. ^^

Merci Aenoa. ;)

  • 5 years later...
kuate fotso jean marie

kuate fotso jean marie

Posté
Posté

je suis entrain de travailler sur l'amelioration de splint pour la detection du buffer over flow sur le servur DNS.j'aimerai bie avoir vos guide SVP.tout au debut je voulait avoir tout les fichier.c utliser par le serveur DNS afins de travailler sur les plus vulnerable,en bref un abre quittant des appli>module>librairie.........>les fichier .c

 

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...