Bonjour, bien sur, vu qu'il n'y a pas de 3-Way handshake sur l'UDP, il suffit que le(s) routeur(s) situé du côté de l'attaquant relaient les paquets avec IP sources spoofées pour qu'ils arrivent sur le serveur de destination. Si le serveur utilise des services en UDP (eg DNS), il va même traiter la requête et renvoyer une réponse. Dans le cas du thread du jour, le 80/UDP sera a priori dropé par le premier firewall venu.
Matthieu 2011/12/26 Rémi Bouhl <remibo...@gmail.com> > Bonjour, > > Le 26/12/2011 12:27, Damien Fleuriot a écrit : > > >> >> On 12/26/11 12:04 PM, Charles Delorme wrote: >> >>> Bonjour, >>> >>> Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni >>> de service depuis dimanche matin 7h heure locale. La très grosse majorité >>> des paquets est en udp/80 à destination de nos deux liens, completel ( >>> 213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un >>> peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais >>> vous vous doutez qu'elle varie beaucoup. >>> >>> >> S'agissant d'UDP les IPs source sont très probablement spoofées. >> >> > > Question naïve: on peut spoofer des IP sources si facilement? > > L'attaque dont il est ici question est une attaque DDOS, donc très > probablement envoyée depuis de multiples machines compromises. > > Naïvement, je pensais que la quasi-totalité des ISP bloquaient sur leur > réseau les paquets dont l'IP source ne correspond pas à celle de l'abonné. > Même pour l'UDP. Ils ne le font pas? > > Rémi. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
