Donc pour résumer, ça veut quand même dire que la merde en plastique, elle laisse rentrer du SSDP vers une IP unicast sur le port WAN…
Le 4 sept. 2014 à 09:27, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : >> David Ponzone a écrit : >> http://blog.sucuri.net/2014/09/quick-analysis-of-a-ddos-attack-using-ssdp.html >> Mais je ne comprend pas l'angle d'attaque de ce DDoS. Est-ce qu'on parle de >> CPE mal >> configurés qui honorent des requêtes SSDP SEARCH qui viennent d'Internet ? > > On en est encore à analyser le post-mortem. > > Ce que je peux dire c'est que (dans la mesure de mes petits moyens) c'est une > attaque par amplification; fondamentalement la même chose que l'amplification > DNS ou SNTP : l'attaqueur dispose de x bande passante, le machinbox de mes > couilles répond par x*y, y étant le facteur d'amplification. > > Si l'attaqueur est suffisamment proche de la vulnérabilité et envoie des > datagrammes (UDP) spoofés qui ne sont pas détectés comme venant d'où il ne > devraient pas (merci BCP 38 mais çà fait tellement chier que presque personne > ne s'en sert) ça marche. > > Bon la vérité dans la pub : comme beaucoup je mets des Linksys ou Dlink de > merde dans les salles de réunion pour que les droïdes pousse-propale puissent > regarder leur email. Quand ils vont au Macdo ils ont accès à l'Internet, dans > mes salles de réunion aussi. > > Comme beaucoup d'autres je mets le machin en question sur une IP dehors le > firewall, en fait c'est souvent un circuit séparé, comme çà quand bitos se > pointe avec un portable contaminé par du merdiciel jusqu'au trognon çà > blackliste l'adresse IP du DSL que je réserve à cet usage et pas le réseau > interne. Je suis le seul qui fait çà, hein. > > <troll> > Sur les IP en question je ne change pas le reverse DNS :P > </troll> > > Bon donc il se trouve que dans le cas en question, l'erreur a été de laisser > le Dlink dans le préfixe principal. Le surdoué que j'ai envoyé pour installer > la merde en plastique n'a pas désactivé uPNP qui est activé par défaut. Le > plastique en question ne pompe pas GigE, mais quand même 200 ou 300 Mbps. > > Bon avec 10G des deux cotés c'est pas si pire, mais çà fait un peu désordre > quand un de tes meilleurs clients t'appelles direct sur ton portable et > demande qu'est ce que c'est ce bordel de 300 Mbps de merde que t'envoies sur > son firewall. > > Foutez-vous de ma gueule, les enfants. > > Michel. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
