[Attaque DDOS] Prudence suite a l'arrestation de 'Pavel Durov'

Bambusa29

Bambusa29

Chevalier Jedi
10 Avril 2022
411
172
88
Depuis ce matin 9h00, je reçois des attaques DDOS sur mon infra provenant de deux IP de chez 'Stark Industries Solutions' (https://krebsonsecurity.com/2024/05/stark-industries-solutions-an-iron-hammer-in-the-cloud/)

Elles sont bloqués heureusement en amont par mon firewall qui les considèrent comme 'HOSTILE'.

Prudence avec vos NAS si vous avez de l'auto héberger avec IP publique.

Apparemment la France est visé depuis hier par pas mal d'activistes Russes..

Les attaques :

hostile.png
 
Dernière édition:
  • J'aime
Réactions: Asmodée, Minuit et pierre liths
Bambusa29 a dit:
Depuis ce matin 9h00, je reçois des attaques DDOS sur mon infra provenant de deux IP de chez 'Stark Industries Solutions' (https://krebsonsecurity.com/2024/05/stark-industries-solutions-an-iron-hammer-in-the-cloud/)

Elles sont bloqués heureusement en amont par mon firewall qui les considèrent comme 'HOSTILE'.

Prudence avec vos NAS si vous avez de l'auto héberger avec IP publique.

Apparemment la France est visé depuis hier par pas mal d'activistes Russes..

Les attaques :

Voir la pièce jointe 13150
Cliquez pour agrandir...
@Bambusa29
Merci pour l’information.
C’est quoi ton pare-feu ?

Vu que je n’ai plus le routeur Synology je n’ai plus les infos sur ces IP dangereuses…
 
MilesTEG a dit:
@Bambusa29
Merci pour l’information.
C’est quoi ton pare-feu ?

Vu que je n’ai plus le routeur Synology je n’ai plus les infos sur ces IP dangereuses…
Cliquez pour agrandir...

J'utilise 'IPFire' (https://www.ipfire.org/) dans une VM sous Proxmox qui reçoit tout ce qui ouvert sur la Box (à défaut d'avoir une machine dédié 4 ports Ethernet). J'ai deux cartes réseaux sur sur mon Proxmox et j'ai définis un un réseau virtuel en plus pour ma DMZ (que des Containers sur Proxmox). Le LAN est sur la 2eme carte réseau.
Les zones sont bien compartimentées au niveau du pare feu. De base la DMZ n'a aucun accès au LAN.

Il est plus simple à prendre en main que Opensense/PfSense. Le développement est actif et les mises a jour régulière. Il est basé sur une distribution Linux From Scratch donc facile a prendre en main en mode console pour ceux qui ont l'habitude des Debian, Ubuntu....
 
  • J'aime
Réactions: pierre liths
Bambusa29 a dit:
J'utilise 'IPFire' (https://www.ipfire.org/) dans une VM sous Proxmox qui reçoit tout ce qui ouvert sur la Box (à défaut d'avoir une machine dédié 4 ports Ethernet). J'ai deux cartes réseaux sur sur mon Proxmox et j'ai définis un un réseau virtuel en plus pour ma DMZ (que des Containers sur Proxmox). Le LAN est sur la 2eme carte réseau.
Les zones sont bien compartimentées au niveau du pare feu. De base la DMZ n'a aucun accès au LAN.

Il est plus simple à prendre en main que Opensense/PfSense. Le développement est actif et les mises a jour régulière. Il est basé sur une distribution Linux From Scratch donc facile a prendre en main en mode console pour ceux qui ont l'habitude des Debian, Ubuntu....
Cliquez pour agrandir...
Ha ok merci 🙏🏻
Sur mon nuc proxmox je n’ai qu’un seul port réseau…
Tu crois que c’est possible d’utiliser ipfire en VM ?
Va réduit pas trop les débits ? J’ai du 2,5G depuis la Freebox vers mon routeur puis vers les NUCs et NAS.
 
MilesTEG a dit:
Ha ok merci 🙏🏻
Sur mon nuc proxmox je n’ai qu’un seul port réseau…
Tu crois que c’est possible d’utiliser ipfire en VM ?
Va réduit pas trop les débits ? J’ai du 2,5G depuis la Freebox vers mon routeur puis vers les NUCs et NAS.
Cliquez pour agrandir...
Il faut un minimum 2 ports Ethernet pour utiliser IpFire :
1 pour la zone ROUGE entre ta Box et IPFire
1 Pour la zone VERTE (ton LAN)

Si tu définis une zone ORANGE (DMZ), tu peux la définir en virtuelle, si toutes les machines qui sont dedans sont elles aussi virtuelles et hébergées sur ton Proxmox.

Je ne crois pas que cela soit possible d'utiliser IPFire sans zone Verte, qu'avec la zone Rouge et une virtuelle Orange.

Pour le débit je ne serais pas te dire, je suis en 1Go chez moi et pas de ralentissement constaté avec IpFire.
Il utilise un système de Module via paquets et des options intégrées à activer comme OpenVPN, Proxy... plus tu en met et plus il vas utiliser de ressources CPU et Mémoire.
 
Salut, je n'ai pas observé d'activité particulière aujourd'hui et mon système est toujours accessible. Je vous tiens au courant si des vilains me tombent dessus.
Théoriquement mon Crowdsec doit me protéger si les attaques viennent d'un nombre limité d'adresses IP.
 
Eirikr70 a dit:
Salut, je n'ai pas observé d'activité particulière aujourd'hui et mon système est toujours accessible. Je vous tiens au courant si des vilains me tombent dessus.
Théoriquement mon Crowdsec doit me protéger si les attaques viennent d'un nombre limité d'adresses IP.
Cliquez pour agrandir...
Tu as des scénarios spécifiques sur Crowdsec pour gérer les attaques UDP sur le port 53 ?
 
Bambusa29 a dit:
Tu as des scénarios spécifiques sur Crowdsec pour gérer les attaques UDP sur le port 53 ?
Cliquez pour agrandir...
Salut, je n'ai pas ouvert le port 53. Le port qui me semble sensible à des attaques DDoS chez moi serait plutôt le 443.

EDIT : pour le port 53 si je l'avais ouvert, je compterais plutôt sur Suricata, mais il est un peu trop complexe pour que je le paramètre de manière spécifique.
 
Chez moi le port 53 est ouvert car c'est mon pare feu qui fait office de DNS (Over TLS) en mode récursif pour tout le LAN.
 
Dernière édition:
Bambusa29 a dit:
Chez moi le port 53 est ouvert car c'est mon pare feu qui fait office de DNS (Over TLS) en mode récursif pour tout le LAN.
Cliquez pour agrandir...
Ok. Si tu es un peu à l'aise avec les outils de SecNum je te suggère de regarder ce que Suricata peut faire, pour identifier les menaces sur le port 53 (je comprends qu'il est ouvert en UDP) et en informer ton IPS.
 
Mon firewall utilise Suricata. Je viens d'activer certaines règles. On verra sur le temps avec les logs et la conso mémoire/CPU.
Le DDOS UDP sur le port 53 a été bloqué par le pare feu sans les règles DNS de Suricata actives.
Vu le nombres d'options possibles; il faut être un expert :D

Les options par défaut pour le DNS qui sont actives :

suricata.png
 
Wahh, je n'ai plus rien compris ^^

Perso, seuls les ports 443 et 6690 sont ouverts. Ha si, aussi deux ports customs pour Wireguard.
 
Bambusa29 a dit:
Mon firewall utilise Suricata. Je viens d'activer certaines règles. On verra sur le temps avec les logs et la conso mémoire/CPU.
Le DDOS UDP sur le port 53 a été bloqué par le pare feu sans les règles DNS de Suricata actives.
Vu le nombres d'options possibles; il faut être un expert :D

Les options par défaut pour le DNS qui sont actives :

Voir la pièce jointe 13159
Cliquez pour agrandir...
Je ne connaissais pas l'interface graphique de Suricata. Je vais voir si elle me permet de mieux me l'approprier.
 
Nuit calme chez moi, quelques scans mais pas plus que d'habitude.
Les attaques DDOS semblent terminés, ce matin c'est plus des piratages de page d’accueil qui sont constatés.

Par exemple celle d'une mairie pendant quelques temps :

GWC78JCXYAA48GS.jpeg
 
  • J'aime
Réactions: Eirikr70
J'ai installé momentanément IDSTower, l'interface graphique de Suricata ... Je l'ai désinstallée aussi sec : la lecture des règles est tellement complexe que ça ne m'a pas aidé à me l'approprier ... :confused:
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas