attaques DOS

Toum'aï

Membre calcifié, papa de capitaine Gribouille
Modérateur
Club iGen
16 Décembre 2010
5 147
5 718
La MarWest
La question est dans le titre, c'est quoi les attaques DOS que j'ai dans mon routeur ?

(Une partie de ce que j'y trouve)

Sun, 2014-09-21 16:09:16 - UDP Packet - Source:119.188.15.41,20606 Destination:83.200.229.127,48094 - [DOS]
Sun, 2014-09-21 16:09:17 - UDP Packet - Source:89.252.24.158,60552 Destination:83.200.229.127,48094 - [DOS]
Sun, 2014-09-21 16:09:17 - UDP Packet - Source:85.26.231.45,6682 Destination:83.200.229.127,48094 - [DOS]
Sun, 2014-09-21 16:09:19 - UDP Packet - Source:74.108.24.23,51315 Destination:83.200.229.127,48094 - [DOS]
Sun, 2014-09-21 16:09:19 - UDP Packet - Source:119.188.50.139,20906 Destination:83.200.229.127,48094 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5066 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5067 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5068 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5069 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5070 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109 Destination:83.200.229.127 - [PORT SCAN]
Tue, 2014-09-23 01:17:30 - TCP Packet - Source:93.174.93.204 Destination:83.200.228.41 - [PORT SCAN]
Tue, 2014-09-23 10:38:04 - ICMP Packet - Source:176.31.91.50 Destination:83.200.228.41 - [DOS]
Wed, 2014-09-24 07:06:46 - TCP Packet - Source:184.172.43.213,18447 Destination:83.200.228.41,32000 - [DOS]
 
Une attaque DOS est une attaque par déni de service.
Le plus courant, c’est par du flooding:
Par exemple, quelqu’un qui connait ton adresse ip publique pourra t’envoyer un flux icmp continu de pings longs (via icmp) pour saturer la bande passante (côté wan du routeur).
Si, au niveau de ton routeur, il y a des règles (NAT/PAT) pour accéder à une de tes machines (via un n° de port), il pourra également saturer ce service en envoyant sure ce port un flot continu de demandes d’ouvertures de sessions.

Maintenant, dans ta trace, il y a plusieurs cas:

Sun, 2014-09-21 16:09:16 - UDP Packet - Source:119.188.15.41,20606 Destination:83.200.229.127,48094 - [DOS]
Sun, 2014-09-21 16:09:17 - UDP Packet - Source:89.252.24.158,60552 Destination:83.200.229.127,48094 - [DOS]
Sun, 2014-09-21 16:09:17 - UDP Packet - Source:85.26.231.45,6682 Destination:83.200.229.127,48094 - [DOS]
Sun, 2014-09-21 16:09:19 - UDP Packet - Source:74.108.24.23,51315 Destination:83.200.229.127,48094 - [DOS]
Sun, 2014-09-21 16:09:19 - UDP Packet - Source:119.188.50.139,20906 Destination:83.200.229.127,48094 - [DOS]

Là, pas sûr que ce soit une attaque. Ça fait plus penser à une appli (genre skype ou une appli en P2P) que tu utilises.
En utilisant ces applis, tu communiques ton adresse IP publique, et le port d’écoute de cette appli (ici 48094), et on constate que les adresses IP des machines distantes sont différentes.

Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5066 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5067 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5068 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5069 - [DOS]
Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109,5100 Destination:83.200.229.127,5070 - [DOS]

Là, c’est plus inquiétant. On voit clairement que la même machine (62.210.124.109) qui est sur le réseau d’ Iliad Free) scan des ports en séquentiel pour essayer de trouver une porte d’entrée.
Perso, si c’était récurent, j’interdirai cette adresse.

Mon, 2014-09-22 04:38:39 - UDP Packet - Source:62.210.124.109 Destination:83.200.229.127 - [PORT SCAN]
Tue, 2014-09-23 01:17:30 - TCP Packet - Source:93.174.93.204 Destination:83.200.228.41 - [PORT SCAN]
Tue, 2014-09-23 10:38:04 - ICMP Packet - Source:176.31.91.50 Destination:83.200.228.41 - [DOS]
Wed, 2014-09-24 07:06:46 - TCP Packet - Source:184.172.43.213,18447 Destination:83.200.228.41,32000 - [DOS

Ici, rien ne permet de dire ni que c’est un scan de port, ni une attaque DOS. Mais peut-être parce que le log n’est pas complet…
Curieux, tu as deux liaisons wan (deux adresse IP publiques) sur ce routeur?
 
Merci, je vois donc qu'il n'y a rien de méchant (si tu confirmes je mettrai le fil comme résolu).

Curieux, tu as deux liaisons wan (deux adresse IP publiques) sur ce routeur?

2 mac en semaine et 1 PC en plus le WE sur mon routeur.
 
Si tu ne vois plus l’adresse 62.210.124.109 faire du scan de ports dans le log du routeur, alors pas de pb.

2 mac en semaine et 1 PC en plus le WE sur mon routeur.
Rien à voir avec le nombre de machines sur ton réseau local.
Ce sont les adresses 83.200.229.127 et 83.200.228.41 qui m’intriguent .
Si tu n’as qu’un seul lien adsl ou fibre, c’est curieux que tu reçoives sur ton routeur des comms avec deux adresses IP publiques différentes.
A moins que tu ais un abonnement spécial.
C'est quoi ton routeur?.
 
Dernière édition:
Ce sont les adresses 83.200.229.127 et 83.200.228.41 qui m’intriguent .
Si tu n’as qu’un seul lien adsl ou fibre, c’est curieux que tu reçoives sur ton routeur des comms avec deux adresses IP publiques différentes.
A moins que tu ais un abonnement spécial.
C'est quoi ton routeur?.

Une ligne de téléphone Orange non dégroupée, un abonnement normal cuivre 8 mégas.
Routeur Netgear DG 834

J'ai lancé 2 testeurs de connexion, un me donne l'ip 83.193.21.149, l'autre 83.200.225.251

Je m'aperçois que ça a lieu la nuit quand l'ordi est éteint.
 
Dernière édition:
C'est vrai que chez orange, l'adresse IP publique n'est pas fixe (ça change de temps en temps en fct d'événements, du genre boot de la box ou autre).
Mais bon, là, ton adresse publique change vraiment souvent..

En tout cas, si tu fais les tests à suivre, ils devraient donner la même adresse (sauf grosse coincidence)
Dans le routeur, il y a quelque chose au sujet du renouvellement de bail DHCP?
 
Dernière édition:
Dans le routeur, il y a quelque chose au sujet du renouvellement de bail DHCP?

Rien à propos de ça.
Depuis tout à l'heure j'ai encore changé d'adresse ip, pourtant aucun redémarrage n'a eu lieu.
 
Rien à propos de ça.
Depuis tout à l'heure j'ai encore changé d'adresse ip, pourtant aucun redémarrage n'a eu lieu.
J'ai regardé un tuto sur le DG 834, et, effectivement, rien sur le renouvellement du bail. C'est mieux.
Par contre, que tu changes aussi souvent d'adresse IP, c'est pas normal...
Je suis aussi chez orange, et mon adresse ne change pas aussi souvent...

D'après ce que j'ai compris, tu n'as pas de livebox, et tu connectes directement la liaison adsl sur le port wan du routeur?
Ta liason ADSL est stable?
Pas de coupures qui pourraient expliquer le changement d'adresse IP (peut-être qu'après une coupure réseau, orange la change...)
En tout cas, si la liaison est stable et que l'adresse IP change très souvent, ça doit poser des pbs pour les comms en cours au moment du changement d'adresse...
 
Mes connexions sont fluides et stables, 7 mégas en down et 1 méga en up. Ma config. wan est sur automatique (préconisé par le routeur).