Quelqu'un se prépare à détruire Internet |
1 #1 |
|
---|---|---|
Fantôme
|
Contribution le : 18/09/2016 01:35
|
|
Signaler |
Wiliwilliam | 0 #2 |
|
---|---|---|
La loi c'est moi
Inscrit: 07/04/2012 19:19
Post(s): 38225
Karma: 18958 |
Boarf... On parle d'attribution de nom de domaine et pas des hébergeurs là je me trompe?
Ça pourrait down des sites sur de longues périodes mais internet ne peut plus ne plus exister. Led serveurs sont tellement dispatchés et en backup partout sur la planète.. D'ailleurs je trouve cette formulation très puputes qui vend son cul pour des clics/de l'audience : détruire internet...
Contribution le : 18/09/2016 01:52
|
|
Signaler |
0 #3 |
||
---|---|---|
Fantôme
|
Contribution le : 18/09/2016 02:06
|
|
Signaler |
CrazyCow | 1 #4 |
|
---|---|---|
Je poste trop
Inscrit: 29/07/2008 00:26
Post(s): 18991
Karma: 29871 |
Intégration audio :
Je rejoins l'avis de @Wiliwilliam_ sur le titre. Ensuite concernant VeriSign, s'ils venaient à tomber ça poserait probablement des problèmes au niveau des serveurs DNS racines qu'ils gèrent (2 des 13 dans le monde), mais si leur coupure n'est pas très longue (moins de 24h ?), les divers serveurs DNS (FAI notamment) garderaient en mémoire les noms de domaine sans pouvoir les mettre à jour, ce qui n'est pas un gros problème. En revanche, si tout VeriSign est indisponible, c'est surtout son rôle dans l'authentification des certificats SSL qui à mon avis poserait des gros problèmes : beaucoup de sites n'apparaitraient plus comme sécurisés. Et le "quelqu'un" est assez simple : pour faire des attaques d'une telle envergure, il faut être les USA, la Russie ou la Chine. PS : Je n'ai pas encore pris le temps de lire des articles sur le sujet, je vous donne juste mon avis a priori en écoutant ce qui est dit.
Contribution le : 18/09/2016 02:09
Edité par CrazyCow sur 18/9/2016 15:31:34
|
|
Signaler |
0 #5 |
||
---|---|---|
Fantôme
|
@CrazyCow Merci pour l'intégration audio et pour les précisions
Contribution le : 18/09/2016 02:35
|
|
Signaler |
mahnmut | 0 #6 |
|
---|---|---|
Je suis accro
Inscrit: 08/05/2014 11:48
Post(s): 1938
Karma: 586 |
Pour ceux qui sont pas alergique à l'anglais :
- le rapport de verisign sur les attaques ddos : ici - et le post sur le blog de Bruce Schneier : ici
Contribution le : 18/09/2016 03:32
|
|
Signaler |
GreenBlood | 2 #7 |
|
---|---|---|
Je suis accro
Inscrit: 09/03/2007 21:46
Post(s): 689
Karma: 151 |
Citation :
Eh bah en fait pas du tout, vu qu'on a les certificats racines dans nos "trust store" qui sont stockés dans tout les navigateurs Ça empêcherait juste verisign de signer d'autres certificats mais en aucun cas ça niquerait les infra actuelles (Et quand bien même, y'a des chaînes de certificats qui permettent d'avoir des signatures venant d'autres autorités qui soient quand même valide dans le cadre de verisign) My two cents sur cette affaire : Shneier est généralement un gars plutôt confianc-able sur ce genre de domaine mais pour le coup le fait que la chine veuille casser internet ça pue 100% le sensationnalisme, aucun chiffre, aucune donnée technique, aucun protocole, pour un cryptologue ça fout mal. Que des groupes fassent des tests c'est cohérent, mais prétendre que ça soit un groupe payé par un gouvernement type chine quand on a une si grande audience, c'est potentiellement dangereux.
Contribution le : 18/09/2016 17:01
|
|
Signaler |
Gog077 | 0 #8 |
|
---|---|---|
Je suis accro
Inscrit: 01/07/2015 19:03
Post(s): 1966
Karma: 1154 |
Mouais je sais pas trop, sur ce genre d'attaques ça pourrait être à peu près n'importe qui qui s'amuserait à tester les capacités de VeriSign et autres.
J'ai pas l'impression que seul un état puisse faire ça. Ok la méthodologie rigoureuse pourrait y faire penser mais c'est loin d'être une preuve. De simples groupes de hackers malintentionnés ont aussi intérêt à bien connaître les capacités des cibles qu'ils pourraient viser un jour. En tout cas c'est une belle merde ces histoires de DDoS parce qu'il n'y a simplement de vraie solution aujourd'hui à part surenchérir toujours plus pour pas finir sous l'eau et c'est vraiment "simple" à mettre en place pour ceux qui attaquent. D'ailleurs je ne me suis jamais penché plus que ça sur la question, mais quelqu'un sait si des experts ont pondu des papiers sur des "solutions" potentielles à ce problème? P.S: pour une raison que j'ignore je ne peux pas visionner la vidéo, j'ai simplement le lecteur avec un fond blanc. Je me suis contenté de lire les liens postés plus bas.
Contribution le : 18/09/2016 20:37
|
|
Signaler |
Skity | 0 #9 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
Ca m'a rappelé cette map: http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=15895&view=map
ou http://map.norsecorp.com/#/ Mais avant que Internet tombe, il y a de la marge. De plus, il n'y a pas de points central à Internet ... Il faudrait rendre toutes les IPs inaccessible et péter les 13 (il me semble que c'est le nombre, je ne suis plus sûr) serveurs DNS root. Quant bien même, un nouveau réseau pourrait se recréer. Internet n'est rien d'autre que le réseau informatique qu'on a chez nous derrière notre box mais en version XXXXL Pour ce qui est de VeriSign, GreenBlood a bien résumé. C'est dans les internes de nos navigateurs (juste qu'à expiration du CA [Certificate Authority] et encore puisque les clés continueront d'être validées). Donc à part ne pas pouvoir signer d'autres certifs et rendre les navigateurs impossible de mettre à jour les CA, il y a de la marge... Bref, un putaclic
Contribution le : 19/09/2016 11:30
|
|
Signaler |
GreenBlood | 0 #10 |
|
---|---|---|
Je suis accro
Inscrit: 09/03/2007 21:46
Post(s): 689
Karma: 151 |
@Skity
Ah alors non, c'est même très très simple de pourrir internet, pour peu que tu ai les moyens. Justement parce que ça marche pas comme le réseau de la box. Instant technique ! Internet est composé de plein de réseaux (comme celui chez toi, à peu près) reliés entre eux par du peering, ça s'appelle. Chaque point de liaison (Autonomous System) sait le prochain point à contacter pour aller n'importe où ailleurs (tables de routages). Cependant, et pour simplifier la gestion, c'est dynamique ! Si pour aller d'un point A à un point B il faut 5 sauts, et que des nouvelles liaisons permettent de faire le trajet en seulement 2 sauts, c'est ce nouveau chemin qui va être connu des AS. Donc, pour casser internet, temporairement du moins, il suffit qu'un de ces points, un de ces AS prétende fournir un chemin plus court pour aller PARTOUT. Du coup, ça se répand, et finalement tout les paquets vont vers cet AS parce qu'il dit être le plus efficace. Pour peu que lui ensuite il ne fasse rien du tout des paquets, bah, ils seront perdus. Boum, tu as cassé internet.
Contribution le : 22/09/2016 02:33
|
|
Signaler |
Skity | 0 #11 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
Citation :
Je connais comment ça fonctionne j'ai juste essayé d'être simple et compréhensible pour tout le monde. Sinon oui on peut parler des AS qui communique entre eux via du BGP permettant de choisir la meilleure route etc.... Jusqu'à la box chez nous connecté la plupart du temps en PPP avec notre opérateur et qui permet aussi (la box) de séparer notre réseau interne et internet (enfin celui de l'operateur) via du NAT. Et le BGP (entre les AS), a une dynamique qui reste relativement simple. L'OSPF l'est beaucoup plus mais pas adapté a la communication entre AS Bref, c'était histoire d'essayer d'être simple
Contribution le : 22/09/2016 19:07
|
|
Signaler |
mahnmut | 0 #12 |
|
---|---|---|
Je suis accro
Inscrit: 08/05/2014 11:48
Post(s): 1938
Karma: 586 |
Oué enfin la il est pas question du routage qui de toute façon est géré par les opérateurs comme il y as eu déjà plusieurs le cas avec de mauvaise route annoncé.
Mais la source est rapidement identifié. Mais bon ces Ddos cache sûrement quelques chose d'autre parce que pour générer 256Gbps de trafic ça demande pas mal de ressource et ce n'est donc pas engagé de façon innocente.
Contribution le : 22/09/2016 19:26
|
|
Signaler |
GreenBlood | 0 #13 |
|
---|---|---|
Je suis accro
Inscrit: 09/03/2007 21:46
Post(s): 689
Karma: 151 |
@mahnmut
Ça me fait penser, à peine cet après midi, Octave de chez OVH montrait les statistiques d'un DDoS qu'ils se mangent actuellement, et ça montait au Tb/s de merde, a côté de ça, les 256 c'est du vent @Skity Désolé, dans le doute, tu comprends Tout Internet en OSPF ça serait fantastique quand même, un gigantesque bordel mais ça serait super drôle Cependant le problème des protocoles de routage actuels (et même de Internet/la pile IP) c'est que ça se base sur le postulat de base de "mon interlocuteur est honnête", du coup pas ou peu de vérif. Faudrait tout authentifier et là on aurait quelque chose de cool !
Contribution le : 22/09/2016 19:36
|
|
Signaler |
mahnmut | 0 #14 |
|
---|---|---|
Je suis accro
Inscrit: 08/05/2014 11:48
Post(s): 1938
Karma: 586 |
@GreenBlood oui enfin du Tbps répartie sur les datacenter et depuis différente source ( j’entends instigateur ) c'est différent.
Contribution le : 22/09/2016 19:42
|
|
Signaler |
GreenBlood | 0 #15 |
|
---|---|---|
Je suis accro
Inscrit: 09/03/2007 21:46
Post(s): 689
Karma: 151 |
@mahnmut
Visiblement c'était -une- série d'attaque mais oui, certainement j'y repensais juste. S'imaginer des Tb de SYN qui s'éclatent contre des DC je trouve ça fascinant
Contribution le : 22/09/2016 19:50
|
|
Signaler |
Skity | 0 #16 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
@GreenBlood un bon vieux MPLS XXL ça serait drôle
Pour l'authent pourquoi mais bon, potentiellement tu pourrais réduire le temps de transmission des paquets. A moins de faire une àuthent entre AS. Après, quand tu es AS normalement tu es sûr ... Normalement... Du Tbits sur un site ça paraît beaucoup pour site mais pourquoi pas. Mais ce gente de DDOS ça pu souvent les PC zombie.
Contribution le : 22/09/2016 19:53
|
|
Signaler |
mahnmut | 0 #17 |
|
---|---|---|
Je suis accro
Inscrit: 08/05/2014 11:48
Post(s): 1938
Karma: 586 |
@GreenBlood Ayant taffé pour un "petit" hébergeur web je trouve pas. Ont as déjà pris des Ddos ça a rien de plaisant
C'est une vrai plaie. Je me demande toujours qu'elles sont les solutions qui peuvent être mise en place ... Heureusement pour moi je faisait pas partie de la team réseaux
Contribution le : 22/09/2016 19:59
|
|
Signaler |
Skity | 0 #18 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
Citation :
Pour avoir travailler sur le sujet et la mise en place de détection DDoS (via l'analyse comportementale de flux) dans une équipe réseaux, si les sources sont multiples c'est vachement compliqué et tu ne peux pas faire grand chose. Après tu peux tenter l'analyse de paquet ou de connexion (genre si c'est que du web que tu héberges, tu check en injectant du JS en entrée de plateforme que c'est un navigateur légitime en client) mais bon ... Et sinon, je viens de penser: De l'OSPF avec des VRF, ça pourrait le faire en fait ^.^ A la place du BGP Mais ça oblige a avoir une entité de gestion du flux mondiale... Ca correspond pas à la mentalité d'Internet (accessible à tous)
Contribution le : 22/09/2016 20:07
|
|
Signaler |
GreenBlood | 0 #19 |
|
---|---|---|
Je suis accro
Inscrit: 09/03/2007 21:46
Post(s): 689
Karma: 151 |
@Skity
Tiens c'est lui qui le dit ! https://twitter.com/olesovhcom/status/778830571677978624 Oui non mais le DDoS c'est rigolo que quand ça arrive aux autres je le conçois ^^ Franchement, imagine le temps de propagation d'un OSPF mondial Franchement C'est scandaleux Mais ça serait super drôle j'avoue
Contribution le : 22/09/2016 20:21
|
|
Signaler |