[As2piK]

Bonjour,

Je viens à vous car j'ai subit des attaques DDOS la semaine passé. J'explique le contexte :

Je réalise des vidéos sur Youtube et régulièrement des lives sur lesquels je rassemble entre 3000 et 7000 personnes. Malheureusement, cela attire également les rageux.

La semaine passé, durant deux lives, j'ai subis des crashs répétés de ma connexion. J'ai donc d'abord suspecté un problème sur la ligne, mais d'après le support, aucun dérangement n'a été enregistré dans ma région. J'ai donc commencé à suspecter une attaque DDOS.

Quelques heures après, quelqu'un a revendiqué "l'attaque" sur Twitter. Un rageux avec des arguments à la con pour justifier ses actes.

J'ai donc retéléphoné à la hotline de ma connexion pour leur demander s'ils pouvaient changer l'IP de mon routeur, qui n'avait pas changée depuis 2 mois. Ils l'ont fait et depuis je n'ai plus de problèmes. Entretemps, un petit travail de social enginering nous a permis à un ami et moi de trouver pas mal d'infos personnelles sur la personne se ventant de l'attaque et depuis plus aucun signe de vie de la personne sur Twitter.

La question qui se pose maintenant est comment a-t-il pu avoir accès à mon IP. Après quelques recherches j'ai découvert qu'une faille était présente sur Skype pour trouver l'IP des interlocuteurs, mais il semblerait qu'elle ait été corrigée il y a quelque temps. Ayant un compte public pour mes abonnés de plus de 1500 contacts, il est possible que la personne en question soit dans cette liste.

Je m'adresse donc à vous pour savoir si vous auriez des idées, ainsi que peut être des informations concernant les dispositions légales face à ce genre d'attaques. A savoir que je gagne ma vie grâce à ces lives, et si cela continue de se produire, j'aimerais pouvoir faire quelque chose. J'ai pensé faire un log Wireshark des connexions, mais si la personne utilise un réseau de zombie, je ne pense pas que ceci soit très utile.

Et désolé si je dis des inepties dans ce message, je suis une bille en réseau !

Un grans Merci !

[the lsd]

Contrer un DDoS c'pas facile. Quelles IP sont légitimes ? Quelles IP attaquent ?
Contrer un DoS, c'plus facile, il y a une seule IP attaquante, donc tu peux la bloquer assez facilement.

Par contre, t'es pas très explicite sur la méthode que tu utilises pour tes lives. Youtube ? Skype ? Autre ? J'ai pas suivi.
Si tu passes par ta connexion personnelle, c'est ta box le premier équipement qui reçoit les requêtes, et du coup, elle va morfler assez rapidement, puisqu'il n'y a à ma connaissance pas d'anti-(D)DoS intégrés. SI ta box peut gérer et ne crashes pas, c'est ensuite ton poste qui va tout recevoir. Là, tu peux installer un soft (j'imagines que certains firewall font anti-(D)DoS), sinon, Google te trouveras ça.

Tout dépend également du type de (D)DoS utilisé, certains sont facilement reconnaissables et blocables, d'autres moins.

En l'état, je peux pas t'aider plus que ça.

Enjoy

The lsd

[T3hty]

Pas si évident que ça 
Si c'est un véritable DDoS (plusieurs machines qui envoient des paquets en même temps) la seule façon efficace de s'en protéger est d'avoir une architecture réseau adapté (comme un trou noir)

Pour un DoS, comme il n'y a qu'une machine, tu peux en bloquer l'ip (si celle ci reste fixe d'une attaque sur l'autre). Il faut cependant identifier quel élément du réseau failli.
Si tu dis que c'est ta connexion et que tu es derrières une box, c'est possible que ça soit ta box, ou que ta box répond aux sollicitations de l'attaquant comme par exemple aux pings. Dans ce cas essaye de voir avec la configuration de ta box.
Si tu as ton propre routeur, il y a peut être un pare-feu intégré.

Bref il faudrait un peu de détail sur la configuration de ton réseau et les perturbations observées.

[the lsd]

Pas si évident que ça 
Si c'est un véritable DDoS (plusieurs machines qui envoient des paquets en même temps) la seule façon efficace de s'en protéger est d'avoir une architecture réseau adapté (comme un trou noir)

Pour un DoS, comme il n'y a qu'une machine, tu peux en bloquer l'ip (si celle ci reste fixe d'une attaque sur l'autre). Il faut cependant identifier quel élément du réseau failli.
Si tu dis que c'est ta connexion et que tu es derrières une box, c'est possible que ça soit ta box, ou que ta box répond aux sollicitations de l'attaquant comme par exemple aux pings. Dans ce cas essaye de voir avec la configuration de ta box.
Si tu as ton propre routeur, il y a peut être un pare-feu intégré.

Bref il faudrait un peu de détail sur la configuration de ton réseau et les perturbations observées.

Ce que j'ai dit en gros !

Concernant les black holes, je connaissais pas, et jusque là, ça m'allait très bien en fait. Ça ne contre pas plus les qu'un anti(D)DoS classique en fait, puisque le principe c'est dans les deux cas de dropper le trafic.

Il existe des "solutions" pour bloquer un peu mieux les DDoS, mais il faut installer des équipements au niveaux des routeurs opérateurs, et là, tu mets quelques zéros sur le chèque que tu donnes.

Enjoy

The lsd