Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé DDoS. Afficher tous les messages
Aucun message portant le libellé DDoS. Afficher tous les messages

mercredi 12 janvier 2022

Cloudflare fait appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs» ....Hackers :

 

Cloudflare fait  appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs» ....Hackers :

 Des assignations à comparaître ciblant plus de 35 000 noms de domaine de clients Cloudflare en six mois,du déja vu ;-) 

 

Alors beaucoup de nerds emploi d'autres outils pour y parvenir,comme:

 https://www.robtex.com/

 https://urlscan.io/

 https://ipsnoop.com/34.147.109.202 (exemple)

Ces outils vont vous révéler sur quel sites le hackers a enregistrés son site web frauduleux, souvent le site disparaît assez vites  ;-)

 

 Cloudflare ne supprime rien en réponse aux avis de retrait DMCA, à moins qu'il ne stocke le contenu de manière permanente sur son réseau. 

Cependant, la société remettra les données personnelles des clients aux titulaires de droits d'auteur qui obtiennent une citation à comparaître DMCA. Au cours du premier semestre 2021, des citations à comparaître civiles ont ciblé des centaines de clients liés à plus de 35 000 domaines. 

 logo cloudflare

 Service de protection CDN et DDoS populaire Cloudflare a subi de nombreuses pressions de la part des titulaires de droits d'auteur ces dernières années. L'entreprise propose ses services à des millions de sites. Cela inclut les multinationales, les gouvernements, mais aussi certains des principaux sites pirates au monde. Tous les titulaires de droits ne sont pas satisfaits de ce dernier.

 Certains ont accusé Cloudflare de faciliter la violation du droit d'auteur en continuant à fournir l'accès à ces plateformes. Dans le même temps, ils font appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs». Cloudflare voit les choses différemment. 

L'entreprise se positionne comme un fournisseur de services neutre qui n'héberge aucun contenu illicite. Ils ne font que transmettre des informations qui sont temporairement mises en cache sur ses services.(souvent des faussetés)

Demandes de suppression et de blocage

 Auparavant, les tribunaux avaient ordonné à Cloudflare de bloquer des sites spécifiques, mais aucune nouvelle ordonnance n'est intervenue au cours du premier semestre de l'année dernière(sinon Cloudflare serait en faillite car il coopère aux piéage des hackers avec les services de l'états,un Honeypot légal ). La société a répondu à plusieurs demandes de retrait DMCA. Dans ces cas, le contenu signalé est stocké sur le réseau de Cloudflare. Ces demandes régulières de retrait DMCA ont ciblé 32 comptes et 367 noms de domaine au cours de la période de référence. Il s'agit d'une augmentation significative par rapport à l'année précédente où 4 comptes et 4 noms de domaine avaient été impactés. Domaines ciblés par des avis DMCA réguliers dmca Outre les problèmes de droits d'auteur, Cloudflare répond également à d'autres demandes d'application, notamment les ordres de piégeage et de commerce et les mandats de perquisition(c'est là où est situé la cryptomonnaie,les attaques XSS,les malwares,etc...). Ceux-ci ont également augmenté au fil des ans. 

Ces augmentations ne sont pas vraiment inattendues car Cloudflare a considérablement développé son activité, explique la société. « Bien qu'il y ait eu une augmentation constante du nombre de demandes d'application de la loi depuis notre premier rapport de transparence en 2013, cela est dû en partie à l'augmentation exponentielle du nombre de domaines clients Cloudflare au cours de cette période. » 

Une copie du rapport de transparence complet de Cloudflare est disponible sur le site officiel de la société.(mais c'est seulement du papier sans volonté)

 

Nota: Un CDN c'est, un réseau de diffusion de contenu (RDC) ou en anglais content delivery network (CDN) est constitué d’ordinateurs reliés en réseau à travers Internet et qui coopèrent afin de mettre à disposition du contenu ou des données à des utilisateurs.

Ce réseau est constitué :

  • de serveurs d'origine, d'où les contenus sont « injectés » dans le RDC pour y être répliqués ;
  • de serveurs périphériques, typiquement déployés à plusieurs endroits géographiquement distincts, où les contenus des serveurs d'origine sont répliqués ;
  • d'un mécanisme de routage permettant à une requête utilisateur sur un contenu d'être servie par le serveur le « plus proche », dans le but d’optimiser le mécanisme de transmission / livraison.

Les serveurs (ou nœuds) sont généralement connectés à Internet à travers différentes dorsales Internet.

L’optimisation peut se traduire par la réduction des coûts de bande passante, l’amélioration de l’expérience utilisateur (réduction de la latence), voire les deux.

Le nombre de nœuds et de serveurs qui constituent un RDC varie selon les choix d’architecture, certains pouvant atteindre plusieurs milliers de nœuds et des dizaines de milliers de serveurs.

REF.:   https://torrentfreak.com/subpoenas-targeted-over-35000-cloudflare-customer-domain-names-in-six-months-220109/

lundi 24 septembre 2018

La principale plateforme de DDoS à la demande fermée par Europol



La principale plateforme de DDoS à la demande fermée par Europol




DDoS, Hackers
 
Sécurité : WebStresser.org était la plus grande plateforme de DDoS à la demande. Les administrateurs du site ont été arrêtés, et Europol précise que plusieurs utilisateurs réguliers du site ont également du souci à se faire.
Si les attaques DDoS étaient auparavant une technique demandant une certaine compétence technique, l’écosystème criminel s’est depuis longtemps adapté pour répondre à la demande et les services de type stressers ont fleuri sur le web. Pour une certaine somme, ces sites internet permettent à un néophyte de diriger une attaque DDoS contre une cible de son choix : nul besoin pour cela de mettre en place une infrastructure complexe ou d’exploiter une faille de sécurité, l’utilisateur se contente de payer et de designer une cible.

Europol annonçait hier avoir fermé l’une des principales plateformes offrant ce type de service : Webstresser.org. Cette plateforme basée en Europe avait pris la place de la plateforme vdos, fermée par les autorités en 2016. Selon Europol, Webstresser.org comptait un peu plus de 136.000 utilisateurs enregistrés sur sa plateforme et plus de 4 millions d’attaques sont attribuées à cette plateforme. L’essentiel des victimes se concentre dans le secteur bancaire, des institutions gouvernementales ainsi que le secteur du jeu vidéo.
WebStresser.org fonctionnait sur la base d’un abonnement : à partir de 15 euros par mois, les utilisateurs pouvaient utiliser l’infrastructure mise à leur disposition par les administrateurs du site pour lancer leurs attaques.
Europol a annoncé avoir arrêté les administrateurs du site le 24 avril. Ceux-ci étaient situés en Grande-Bretagne, en Serbie, en Croatie et au Canada. Mais outre les administrateurs, Europol explique que des « mesures » ont également été prises contre les plus gros utilisateurs de la plateforme.
Le communiqué ne précise pas exactement quelle est la portée de ces mesures. Europol avait déjà souhaité viser les utilisateurs de ces services par le passé : en 2016, plusieurs internautes avaient ainsi été arrêtés pour avoir eu recours à des services de ce type.

A lire aussi :

Amplification d'attaque DDoS : Memcached fait exploser les compteurs

L'amplification des attaques de DDoS passe généralement par des détournements de serveurs DNS et de protocoles NTP. Mais...

REF.:

jeudi 24 mai 2018

Les USA accusent sept pirates Iraniens dont les auteurs de Havij




Posted On 27 Mar 2016
Un grand jury du district sud de New York vient d’inculper sept informaticiens iraniens pour piratage informatique. Ils seraient, entre autres, instigateurs d’un DDoS massif.
Voilà une inculpation intéressante à suivre. Elle est aussi juridique que politique. Un grand jury du district sud de New York vient d’inculper sept pirates iraniens pour une série d’actions informatique malveillantes. Les pirates Iraniens seraient, entre autres, instigateurs d’un DDoS massif. Parmi les personnes inculpées, deux informaticiens de la société de sécurité informatique iranienne ITSecTeam (ITSEC). Une entreprise qui est loin d’être inconnue. On lui doit le logiciel Havij, un outil qui permet d’extraire la moindre données offertes par une injection SQL. Je vous alertais du danger de cette société dans les colonnes du journal papier Capital (Août 2009 – n’215).
Les deux hommes, ainsi que cinq autres internautes iraniens dont certains officiant pour la société Mersad Company (MERSAD) ont été accusés d’avoir lancé un DDoS massif contre les institutions financières américaines. Une tentative de blocage qui a visé 46 entreprises US, de décembre 2011 à mai 2013.
Ahmad Fathi, 37 ans; Hamid Firoozi, 34 ans; Amin Shokohi, 25 ans; Sadegh Ahmadzadegan, aka Nitr0jen26, 23 ans; Omid Ghaffarinia, aka PLuS, 25 nas; Sina Keissar, 25 ans; and Nader Saedi, alias Turk Server, 26 ans auraient attaqué les USA à coups de DDoS durant 176 jours. Cerise sur le Basboussa (gâteau local), Hamid Firoozi est accusé d’être l’auteur du piratage de données d’un des systèmes de gestion du barrage Bowman, en Août et Septembre 2013. Les deux entreprises montrées du marteau par la justice américaine travailleraient pour le gouvernement iranien , y compris pour la garde révolutionnaire islamique (Islamic Revolutionary Guard Corps).

vendredi 4 mai 2018

Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare



CloudFlare, connu pour ses solutions de sécurité et Anti-DOS pour sites internet proposent des serveurs DNS.
Ces derniers sont réputés comme étant rapides et ne faisant pas de collectes de données (contrairement à ceux de Google).
L’adresse des serveurs DNS de CloudFlare est 1.1.1.1.
Ne vous attendez pas non plus à une révolution en terme de vitesse, il y a aussi pour beaucoup un effet d’annonce et marketting.
Un comparatif sur le site des serveurs DNS existent : Comparatif des serveurs de noms (DNS) : Google, OpenDNS, Quad9, Ultra-DNS etc.
Cet article vous explique comment changer les DNS sur votre ordinateur pour passer sur ceux de CloudFlare.

Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare

Je parle d’effets marketing, car annoncé partout comme plus rapide mais probablement vérifié par personne.
Sur ma connexion internet, les DNS CloudFlare sont plus lents que les DNS Orange.

La modification des serveurs DNS se fait sur la configuration des les interfaces réseaux.
Pour accéder à celle-ci facilement :
  • Sur votre clavier, appuyez sur la touche Windows + R
  • Dans la fenêtre exécuter, saisissez : C:\Windows\system32\control.exe npca.cpl
Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare
La page avec les interfaces réseaux s’ouvrent alors avec la liste des cartes réseaux.
Vous pouvez avoir une carte ethernet pour les connexions en filaires et une care Wifi pour les connexions Wifi.
Il faut modifier les adresses des serveurs de noms (DNS) pour les deux.
Pour entrer dans la configuration de la carte, faites un clic droit dessus puis propriétés.
Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare
La liste des des protocoles et connexions de la carte s’affiche.
Double-cliquez sur TCP/IP V4 afin d’ouvrir les paramètres de ce dernier.
En bas, cochez l’option « Utilisez l’adresse de serveurs de noms » suivantes afin de saisir les adresses DNS de CloudFlare 1.1.1.1 en serveur DNS primaire et 1.0.0.1 en serveur DNS secondaire.
Cliquez sur OK sur les deux fenêtres afin que les changements soient pris en compte.
Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare
Si vous utilisez l’IPV6, vous pouvez aussi modifier les serveurs DNS dans la configuration IPV6 : 2606:4700:4700::1111 en serveur DNS primraire et 2606:4700:4700::1001 en serveur DNS Secondaire.

Les liens autour des DNS

Les liens du site autour des serveurs DNS :
REF.:

mercredi 6 décembre 2017

Représaille a Stuxnet: Attaque par DDoS contre les systèmes web des banques américaines,avec Itsoknoproblembro et les bRobots



Le gouvernement américain accuse l'Iran de cyberattaques contre les banques américaines
Avec: Itsoknoproblembro et les bRobots
Par John Leyden
Publié le 9 janvier 2013 Les attaques par déni de service contre les systèmes web des banques américaines ont été l'œuvre de l'Iran plutôt que des activistes islamistes, selon un ancien responsable du gouvernement américain.
Un groupe appelé Izz ad-Din al-Qassam Cyber ​​Fighters a revendiqué deux vagues de cyberattaques contre des banques américaines, notamment US Bancorp, la Banque d'Amérique, Citigroup et Wells Fargo, qui ont eu lieu en septembre et en décembre. La raison invoquée pour les attaques de «protestation» était l'indignation religieuse face à la présence continue sur YouTube de la vidéo Innocence des Musulmans sur YouTube.
James A Lewis du Centre d'études stratégiques et internationales à Washington a déclaré au New York Times que les attaques étaient en fait l'œuvre de l'Iran, plutôt que des hacktivistes indignés. Il estime que le but était en réalité des représailles sur le déploiement de Stuxnet et d'autres cyber-armes contre l'Iran ainsi que des sanctions économiques.
Les chercheurs en sécurité d'Arbor Networks ont conclu le mois dernier que, dans les deux cas, le trafic d'attaques a été lancé à partir de sites Web non sécurisés plutôt que de PC infectés par des logiciels malveillants. Des applications Web PHP compromises et une installation Wordpress non sécurisée ont été mises en service dans le cadre d'un botnet de serveur Web PHP, contrôlé par des outils tels que bRobot.
L'habileté à rassembler les attaques ainsi que l'utilisation de ressources basées sur le serveur a apparemment convaincu le gouvernement américain qu'une entité parrainée par l'état, à savoir l'Iran, plutôt que des hacktivistes sont derrière les attaques. "" Il n'y a aucun doute au sein du gouvernement américain que l'Iran est derrière ces attaques ", a déclaré Lewis, un ancien fonctionnaire dans les départements d'Etat et de commerce, au NYT Lewis souligne le volume de trafic impliqué dans les attaques des banques américaines. fois "le montant que la Russie a dirigé vers l'Estonie en 2007) en essayant de justifier ses arguments, mais comme le souligne le NYT" les responsables américains n'ont offert aucune preuve technique pour étayer leurs affirmations ".
Les fournisseurs de sécurité sont en mesure de dire que les attaques contre les banques américaines sont assez sophistiquées, mais ne peuvent pas identifier qui les a développées. "L'ampleur, la portée et l'efficacité de ces attaques ont été sans précédent", a déclaré Carl Herberger, vice-président des solutions de sécurité à la société de sécurité israélienne Radware, a déclaré le NYT. "Il n'y a jamais eu autant d'institutions financières sous cette contrainte."
Les chercheurs de Radware ont découvert que les services de cloud et les serveurs d'hébergement Web publics * avaient été infectés par une variété de logiciels malveillants, appelée Itsoknoproblembro. "Le malware existe depuis des années, mais les attaques bancaires ont été les premières à utiliser des centres de données pour attaquer des victimes externes", rapporte le NYT, ajoutant que Itsoknoproblembro a été conçu pour être difficile voire impossible à retracer aux systèmes de commandement et de contrôle. Les attaquants ont utilisé des serveurs infectés pour dégorger le trafic d'attaque sur chaque site bancaire jusqu'à ce qu'il ralentisse ou s'effondre, selon Radware. Le trafic d'attaque de pointe contre les banques américaines atteint 70 Gbps.
Une entrée sur le site Web de Radware que Itsoknoproblembro est un outil de piratage basé sur PHP qui a été récemment personnalisé pour servir dans les attaques DDoS.

    
L'outil 'itsoknoproblembro' a été conçu et implémenté comme un script PHP généraliste injecté dans la machine d'une victime permettant à l'attaquant de télécharger et d'exécuter des scripts Perl arbitraires sur la machine de la cible.

    
Le script 'itsoknoproblembro' injecte une charge utile cryptée, afin de contourner les passerelles IPS et Malware dans le fichier principal du site index.php, permettant à l'attaquant de télécharger de nouveaux scripts Perl à tout moment.

    
L'infection initiale du serveur est généralement effectuée à l'aide de la technique RFI (Remote File Inclusion) bien connue. En téléchargeant des scripts Perl qui exécutent différents vecteurs d'inondation DOS, le serveur peut agir comme un bot dans une armée de botnets DDOS.

    
Bien que conçues à l'origine pour un usage général, certaines variantes de cet outil trouvées dans la nature ont été personnalisées pour agir comme un outil DDOS propriétaire, implémentant les logiques de vecteur d'inondation à l'intérieur sans avoir besoin de télécharger des scripts supplémentaires.
La société de services de protection DDoS Prolexic a lancé une série de règles SNORT et un outil d'analyse de log pour se défendre contre itsoknoproblembro la semaine dernière.
Il lie également la menace aux attaques contre le secteur bancaire américain. Mais l'outil a également été utilisé contre les industries des fournisseurs d'énergie et d'hébergement. "Les vecteurs d'attaque incluent les inondations POST, GET, TCP et UDP, avec et sans proxy, y compris un script flood Kamikaze GET qui peut relancer à plusieurs reprises les attaques automatisées", selon une déclaration de Prolexic.
L'utilisation d'un système basé sur le cloud pour lancer des attaques de déni de service plutôt que des réseaux de botnets de PC compromis montre que celui qui se cache derrière les attaques suit les dernières tendances technologiques. Ce n'est guère la preuve d'une implication de l'État, du moins par lui-même. Il n'y a rien dans ce que Prolexic, Radware ou Arbor disent pour suggérer la dernière attaque n
éanmoins, des responsables du renseignement américains non identifiés semblent catégoriques sur le fait que les cyber-combattants Izz ad-Din al-Qassam sont en fait une couverture pour l'Iran. Les serveurs WebBootnoteInfected sont appelés bRobots par Radware et Prolexic. Cette convention de nommage différencie les serveurs panés des PC compromis (zombies, bots ou drones) dans les réseaux de botnet conventionnels.

REF.:

jeudi 24 septembre 2015

Virus: Des images contenant du javascript (vulnérabilité XSS)



Le site Imgur.com a été utilisé afin d'effectuer une attaque, les motivations n'ont pas encore été établies avec certitudes.
Une vulnérabilité a été utilisée permettant d'envoyer des images contenant du javascript (vulnérabilité XSS) sur le site imgur.com
L'attaquant a utilisé cette vulnérabilité pour charger une applet Flash (swf) hébergé sur 8chan, cette applet placée est placé favoris pour les domaines 8chan et devient persistante sur le navigateur WEB. Cette applet s'active à chaque visite d'une page du site 8chan.

L'applet SWF contient un Javascript qui va pinguer un domaine créé par l'attaquant 8chan.pw, ce domaine contient une page contenant à son tour un JavaScript afin d'exécuter le code souhaité par l'attaquant.
Le site 8chan.pw sert donc en quelque sort de Command&Control, un peu comme dans le cas d'une machine infectée.
On peut parler ici en quelque sorte de XSS worm.

Concrètement donc, si un visiteur charge une image imgur contenant le Javascript puis le site 8chan, l'applet se charge et se connecte au site de l'attaquant 8chan.pw.

Imgur dit avoir corrigé la vulnérabilité :

imgur_vulnerability.png
Imgur.com et XSS Worm


Malwarebytes a bloqué le site imgur.

Certains sites de news et Malwarebytes parlent donc d'attaques DoS contre 8chan (les navigateurs WEB faisant des requêtes sur le site 8chan), mais il semblerait plutôt que le site ait été utilisé simplement comme support afin d'exécuter l'applet SWF.

imgur a corrigé la vulnérabilité permettant d'exécuté le JavaScript.
8chan a aussi bloqué l'exécution d'applet SWF.

Néanmoins, l'applet SWF étant persistante car contenu dans le cache de votre navigateur WEB (LocalStorage)
Il faut vider le cache de votre navigateur WEB afin de supprimer l'applet Flash.

Quelques discussions sur l'attaques :
https://www.reddit.com/r/KotakuInAction ... rity_hole/
https://www.reddit.com/r/technology/com ... os/cv9tzzm
https://puu.sh/kjvLI/f57b37ccc0.png

Source.:

lundi 9 février 2015

DoS : Attaque type Slowloris sur malekal.com




Aujourd'hui une attaque DoS - le Firewall ASA offert par OVH sature à 10 000 connexions.
Plutôt habitué à ces attaques, loin d'être la première et surement loin d'être la dernière - quelques exemples sur la page : Attaques DoS et Anti-DoS OVH.

Image

Un petit tour dans les logs et on voit une attaque de type Slowloris :

Image

Image

Image

Plusieurs remarques :
  • Déjà on remarque qu'il y a une "tournante" au niveau des IPs et une seule IP ne bourrine pas tant que cela. Ce qui est plutôt une bonne chose pour l'attaquant, car mes détections ne détectent aucune anomalie et ne se déclenchent pas.
  • Les mauvais côté : on voit aucun referrer/useragent ou PHP comme useragent qui provient de sites WEB hackés. Bref des patterns qui permettent de détecter les attaquants.

Je vous rappelle la structure de mes sites : Varnish en front qui agit en proxy cache et Apache derrière.
Apache est vulnérable à ces attaques HTTP qui n'est pas capable de gérer toutes connexions.

Ici le but du jeu est de faire gérer les connexions par varnish afin de ne les pas envoyer à Apache qui sera alors alléger et pourra traiter les connexions légitimes.
Une ou deux règles sur Varnish afin que les connexions de l'attaque ne soient plus envoyés à Apache, on renvoit un 403.

On voit un gros pic sur les connexions gérées par Varnish :
Image
Image

Ensuite, on blackliste les IPs en question, on voit un pic sur iptables qui redescend vite car j'envoie aussi toutes les IPs sur le Firewall ASA en front du serveur dédié qui va tout bloquer. Du coup, celles-ci n'atteignent plus le serveur dédié et le nombre de drop iptables baisse.
Image

et hop ça drop sur le Firewall ASA.
Image

On monte à 700 drop/s, ce qui n'est pas énorme (j'ai eu bien pire).
Image

Quelques tweets pour se foutre de la gueule de l'attaquant : https://twitter.com/malekal_morte/statu ... 9494216704
dont celui-ci :
Image

Quelques minutes après, l'attaque double. Dans la capture ci-dessous, on voit le nombre de connexions monter et baisser.
La baisse est due aux remontés des IPs à bloquer, mon système drop les connexions établies pour alléger le Firewall ASA.

Image

Mon système de détection détecte bien le doublement de l'attaque et ban les IPs sur le Firewall ASA.
La recrudescence de l'attaque a lieu à 11h08.
On voit que l'attaque a duré une heure.
Image

Comme cela n'a aucun effet, l'attaquant arrête... on voit le drop/s baisser.
Image

2077 IPs bloquées dans cette attaque.

Ce que j'ai remarqué, c'était aussi le cas pour le WordPress pingback DoS, c'est que les attaques ont lieu juste après que je publie des nouveautés [url=malvertising.stopmalwares.com]sur le site des malvertising[/url] pour reporter des blocages de malvertising.
Il semblerait, comme d'habitude, qu'un groupe ne soit pas très content.

Image

Je suis assez content du système que j'ai mis en place pour détecter ce type d'attaque, même si dans ce cas il a fallu effectuer des manipulations manuelles, mais ça aide beaucoup.

Source.:

mercredi 31 décembre 2014

Attaques DDOS a 5,99 dollars/mois pour des attaques de 100 secondes,Bienvenue aux Dames ,le Boxing Day !

La plate-forme de DDoS qui a fait tomber le Xbox Live et le PSN accessible à tous

Les pirates de Lizard Squad viennent de créer un service en ligne pour réaliser des attaques par déni de service distribué (DDoS). Ils estiment que c’est l’offre la plus puissante du marché actuellement.


Finalement, tout s’explique. Après avoir mis à genoux les réseaux Xbox Live et Playstation Network pendant la fête de Noël, les pirates de Lizard Squad viennent de lancer « Lizard Stresser », un service DDoS payant basé sur un gigantesque botnet. Gonflés, les « hackers » reptiliens précisent que c’est bien avec cet « outil » qu’ils ont engorgé les serveurs de jeu de Microsoft et de Sony. En somme, cette attaque de fin d’année n’était, ni plus ni moins, une action publicitaire en période de forte affluence. Ces ovipares sont des petits malins !
Lizard Stresser n’est pas la première offre packagée d’attaques DDoS en ligne. D’autres pirates ont déjà créé des services similaires, également appelés « booter » dans le jargon hacker. Mais celui de Lizard Squad se veut être le plus puissant du marché, avec une bande passante revendiquée de plusieurs Tbit/s. Ce chiffre  est évidemment impossible à vérifier. « Mais s’il s’agit bien du même botnet utilisé pour mettre K.O. Sony et Microsoft, alors ils ont bien l’un des plus grands booter disponible actuellement », estime un analyste interrogé par The Daily Dot.
Combien ça coûte ? Lizard Squard n’accepte pour l’instant que des bitcoins. L’intégration de Paypal est prévue. Huit packs sont proposés, allant de 5,99 dollars/mois pour des attaques de 100 secondes (sans limitation du nombre d’attaques) à 129,99 dollars/mois pour des attaques de 30000 secondes (soit un peu plus de huit heures). Ce qui ne parait pas très cher. Ah oui, Lizard Squad précise par ailleurs, qu’on a uniquement le droit d’utiliser Lizard Stresser que sur ses propres serveurs, histoire de les «stresser». C’est évidemment indiqué dans les conditions d'utilisation.
agrandir la photo
Source.:
Lire aussi:
 Attaques du Xbox Live et du PSN : qui se cache derrière Lizard Squad ?, le 29/12/2014
 
 

lundi 21 juillet 2014

Hackers: Les attaques par DDoS sont intensifiées dans la première moitié de 2014



Le volume et l'intensité des attaques DDoS dans la première moitié de l'année ont atteint de nouveaux sommets, selon une étude.
  Le premier semestre 2014 a vu le plus grand nombre et les plus intenses attaques DDoS enregistrées.






Selon un nouveau rapport du fournisseur de sécurité Arbor Networks, le nombre d'attaque Distributed Denial-of-Service (DDOS) a 20Gbps,répertorié dans la première moitié de l'année, a doublé par rapport à l'ensemble de l'année 2013. Plus de 100 événements a 100 Gbps ou plus ont été enregistrées dans le premier semestre de 2014.

La plus grande attaque rapportée au deuxième trimestre a été une attaque de réflexion NTP à 154.69Gbps​​, lancé contre une cible espagnol. NTP attaques de réflexion utilisent l'usurpation d'adresse pour submerger une cible avec des demandes. Ces attaques - alors que d'importants - étaient plus fréquentes dans le premier trimestre que le deuxième, selon Arbor. Les Volumes de trafic moyens NTP ont également diminués au niveau mondial.

"À la suite de la tempête d'attaques NTP par réflexion dans le premier quart de l'année(Q1),le volume des attaques  DDoS ont continué à être un problème dans le deuxième trimestre, avec un nombre record de 100 attaques sur 100GB/sec signalés jusqu'à présent cette année," a déclaré le directeur Arbor de solutions architectes Darren Anstee.

«La fréquence des très grandes attaques continue d'être un problème, et les organisations doivent adopter une approche intégrée, par protection multi-couches.Même les Organisations avec des montants significatifs de la connectivité Internet ,peuvent voir maintenant épuiser leur capacité assez facilement par les attaques qui sont en cours chez eux. "



REF.:

jeudi 25 octobre 2012

Les Méthodes d'attaque par déni de service et la façon de prévenir ou de les atténuer


Patrick Lambert couvre les attaquants diverses méthodes utiliser pour lancer des attaques par déni de service, et les précautions que vous pouvez prendre pour empêcher ou du moins, d'atténuer ces types d'événements.
Le mois dernier, un couple de nouvelles histoires fait le tour dans les grands médias au sujet de certains des attaques par déni de service ou DDoS contre certains des sites les plus connus de banques américaines . Ces types d'attaques sont certainement pas nouveau, et ils se produisent sur ​​une base constante, mais dans ce cas il était digne d'intérêt parce que les assaillants étaient apparemment tous de la même région, et aller après des objectifs très précis. Bien sûr, de nombreux spectacles grand public trop hype de la situation, parler de tentatives de piratage et les attaques cybernétiques contre notre système financier, alors qu'en fait, aucun d'entre nous qui savent ce que c'est vraiment un DDoS sait que c'est deux choses très distinctes. Mais connaissant les rudiments d'un DDoS, et étant équipé pour faire face à une attaque à grande échelle de ce type sont également deux choses très différentes. Alors que les grands sites sont souvent attaqués, il est important que les entreprises et les réseaux font tout ce qu'ils peuvent pour les détourner et restent accessibles, même sous de lourdes charges. Et même si vous gérez un petit site, comme une petite entreprise ou le réseau d'un groupe de personnes, vous ne savez jamais quand quelqu'un décide de s'en prendre à vous. Voyons quelques-uns des détails importants derrière ce qui est vraiment un DDoS, et certaines méthodes qui peuvent être utilisées pour s'assurer que votre réseau est sûr d'eux.

DDoS: méthodes multiples

Il sert à être un déni de service était le type le plus simple de l'attaque là-bas. Quelqu'un pourrait lancer la commande ping sur leur ordinateur, il vise à leur adresse cible, et laissez-le fonctionner à pleine vitesse, en essayant d'inonder littéralement de l'autre côté avec les demandes d'écho ICMP, ou des paquets de ping. Bien sûr, cela a rapidement changé, car dans ce cas, l'attaquant aurait besoin d'une connexion avec plus de bande passante que le site cible. Tout d'abord, ils sont passés à plus grande hôtes, comme compromettre un serveur dans un centre universitaire ou de la recherche - un endroit avec beaucoup de bande passante - et ont envoyé leurs attaques à partir de là. Mais maintenant, les botnets sont utilisés dans presque tous les cas, parce que c'est plus simple pour eux, et il est moins apparent, ce qui rend l'attaque complètement distribué.En fait, les auteurs de malwares ont fait une grande entreprise de gestion d'un réseau de zombies. En fait, ils louer leurs ordinateurs zombies compromis, à l'heure. Si quelqu'un veut faire tomber un site web, tout ce qu'ils ont à faire est de payer le propriétaire d'un réseau de zombies certaine somme d'argent, et ces milliers de systèmes compromis visent à la cible. Alors que d'un seul ordinateur n'aurait aucune chance d'apporter un site vers le bas, si 10.000 ordinateurs ou plus tous envoyer une demande à la fois, ce serait faire tomber n'importe quel serveur non protégé.
Le type d'attaque a évolué ainsi. ICMP, ce qui est utilisé par la commande ping, est facilement bloquée. Maintenant, il ya différentes façons dont une attaque DDoS peut être fait. D'abord il ya ce qu'on appelle une attaque SYN, ce qui signifie simplement que l'attaquant ouvre une connexion TCP, comme vous le feriez normalement se connecter à un site Web, mais ne finit jamais la poignée de main initiale. Il laisse en fait le serveur pendaison. Une autre façon intelligente consiste à utiliser des DNS. Il ya beaucoup de fournisseurs de réseaux qui ont leurs serveurs DNS configurés pour permettre à quiconque de lancer des requêtes, même les gens qui ne sont pas clients de la leur. Aussi, parce que DNS utilise UDP, qui est un protocole sans état, ces deux faits font un puissant moyen de créer un déni de service. Tout l'attaquant doit faire est de trouver ouvertes résolveurs DNS, élaborer un paquet UDP faux qui dispose d'une adresse usurpée, celui du site cible, et de l'envoyer au serveur DNS. Alors que la demande émane de l'attaquant et son réseau de zombies, le serveur pense que la demande venait du serveur à la place, et enverra la réponse à cette situation. Ainsi, au lieu d'avoir le botnet réelle mener l'attaque, la seule chose que le site cible verrez un tas de réponses DNS en provenance de nombreux résolveurs ouvertes, tout autour de l'Internet. De plus, c'est un type très évolutive de l'attaque, parce que vous pouvez envoyer un seul paquet UDP à un serveur DNS pour demander un vidage complet d'un certain domaine, et de recevoir une réponse très grande.

Comment protéger votre réseau

Donc, comme vous pouvez le voir, un DDoS peut prendre des formes multiples, et lors de la construction d'une défense contre eux, il est important de tenir compte de ces variantes. Le plus simple, bien que d'une façon coûteuse de se défendre, est d'acheter plus de bande passante. Un déni de service est un jeu de capacité. Si vous avez des 10.000 systèmes envoi de 1 Mbps à votre façon ce qui signifie que vous obtenez 10 Go de données frapper votre serveur à chaque seconde. C'est beaucoup de trafic. Dans ce cas, les mêmes règles s'appliquent que pour une redondance normale. Vous voulez plus de serveurs, répartis dans différents centres de données, et que vous souhaitez utiliser l'équilibrage de charge bien. Que le trafic ayant étalé sur plusieurs serveurs aidera la charge, et nous espérons que vos tuyaux sera assez grand pour gérer tout ce trafic. Mais modernes attaques DDoS sont de grande follement, et bien souvent, peut être beaucoup plus grand que ce que vos finances permettra en termes de bande passante. De plus, parfois ce n'est pas votre site qui sera ciblée, un fait que les administrateurs ont tendance à oublier.
Une des pièces les plus critiques de votre réseau est votre serveur DNS. C'est une mauvaise idée de le laisser comme un résolveur ouverte, et elle doit être verrouillée afin de vous éviter d'être utilisé dans le cadre d'une attaque. Mais de la même manière, si ces serveurs ont été attaqués?Même si votre site est en place, si personne ne peut se connecter à vos serveurs DNS et résoudre votre nom de domaine, c'est tout aussi mauvais. La plupart des inscriptions de domaine sont fait avec deux serveurs DNS, mais bien souvent, qui peut ne pas être suffisant. Assurez-vous que votre serveur DNS est protégé par le même type d'équilibrage de la charge que votre site Web et d'autres ressources sont. Il ya aussi des entreprises là-bas qui offrent DNS redondants que vous pouvez utiliser. Par exemple, de nombreuses personnes utilisent des réseaux de diffusion de contenu pour servir des fichiers à des clients de manière distribuée, ce qui est une excellente façon aussi de les protéger contre les attaques DDoS, mais beaucoup de ces entreprises offrent également amélioré DNS protection ainsi, ce qui est quelque chose que vous pouvez voulez regarder.
Si vous êtes au service de vos propres données, et la gestion de votre réseau, alors il ya beaucoup de choses que vous pourriez faire pour la protéger à la couche réseau. Assurez-vous que tous vos routeurs paquets inutiles baisse, les choses bloc comme ICMP si vous n'avez pas besoin de passer par, et mettre en place des pare-feux bonnes. Par exemple, il est bien évident que votre site ne va jamais demander aléatoires serveurs DNS pour les requêtes, il n'y a donc aucune raison de permettre le port UDP 53 paquets dirigés pour vos serveurs. Bloquer tout ce que vous pouvez à votre frontière du réseau, où vous avez le plus gros tuyau, ou, mieux encore, demandez à votre fournisseur d'accès pour les bloquer pour vous. De nombreux fournisseurs de services Internet offrent ce type de service aux entreprises, où vous pouvez être en contact avec leurs centres d'exploitation de réseau et assurez-vous qu'ils bloquent tout trafic indésirable, et aussi vous aider au cas où vous être attaqué. De la même manière, il existe de nombreusesfaçons de protéger votre réseau contre les attaques SYN, en augmentant votre carnet de TCP, la réduction de la minuterie Syn-Reçus ou à l'aide des caches Syn.
Enfin, vous devez également penser à des façons d'atténuer toute attaque qui fait accéder à votre site. Par exemple, les sites Web les plus modernes utilisent beaucoup de ressources dynamiques.Alors que la bande passante réelle d'une attaque peut être gérable, ce qui finit souvent défaillant est la base de données, ou les scripts personnalisés que vous pouvez être en cours d'exécution.Pensez à utiliser la mise en cache des serveurs de fournir autant que possible le contenu statique.Ayez un plan en place pour remplacer rapidement les ressources dynamiques avec les statiques, dans le cas où vous être attaqué. Et assurez-vous de disposer de systèmes de détection en place. La pire chose pour toute entreprise est pour le réseau ou un site à descendre, si vous voulez être alerté dès qu'un attaque commence, et être prêt à y faire face. En raison de la façon dont c'est fait, arrêter une attaque DDoS à la source est incroyablement difficile. Mais la mise en place d'une infrastructure qui est distribué, trempé, et sécuritaire est possible, et c'est quelque chose que vous devriez penser lorsque vous configurez votre réseau.