[technique] DOS sur tetaneutral.net le vendredi 20120629 de 12h33 a 13h03 UTC

Laurent GUERBY laurent at guerby.net
Dim 1 Juil 17:45:55 CEST 2012


Bonjour,

Lors de FRnOG 19 le 20120629 entre 12h33 et 13h03 UTC il y eu une
attaque sur tetaneutral.net. Mehdi puis Cyril m'ont prevenu par
telephone, c'etait lors de la presentation IPv6 de FRnOG 19.

Le reseau etait a peu pres inutilisable pendant l'attaque, aucun des
routeurs n'a rebooté et tout est revenu a la normale a la fin de
l'attaque sans intervention.

D'apres les logs en volume et paquet sur les interfaces
(cat /proc/net/dev toute les 10 secondes) c'est monté vers 25000 paquets
par seconde et la taille des paquets etait autour de 50-60 byte (deduit
de volume en byte divisé par nombre de paquet). 

D'apres les logs "iptables-save -c" par IPv4 tetaneutral.net source et
destination l'IP destination de l'attaque 91.224.148.10 qui est un de
nos serveurs DNS  (donc probablement UDP port 53), physiquement
c'est gw le routeur a Paris avec le logiciel bind9.

Nous n'avons aucun log des IP hors source/destination tetaneutral.net
donc la ou les IP sources de l'attaque sont inconnues. J'ai demandé a
Jaguar Networks qui a deployé du materiel Arbor Networks s'ils avaient
une trace plus precise. Jaguar a d'ailleurs présenté avec Arbor ses
pratiques et des statistiques un peu apres a FRnOG. 

L'attaque a fait sauter les sessions BGP au fur et a mesure (elles sont
en TCP port 179 sur les interfaces avec le keepalive BGP) donc ca a fait
des aller retour entre nos different transitaires et peerings. On le
voit tres bien sur le graphe suivant en nombre de paquet toute les 10
secondes suivant nos liens sur la periode 12h33 a 13h03 :

bleu = eth0.124 = GIXE 
rouge = eth0.3009 = Absolight (partiel)
vert = eth0.4001 = Jaguar a Toulouse
marron = eth0.3011 = Gitoyen

http://guerby.org/ftp/dos-tetaneutral-20120629-12h33-13h03-pps.png

Sur les peering :

bleu-vert = eth0.502 = FR-IX
rose = eth0.126 = France-IX

L'attaquant etait present au moins partiellement sur ces deux IX
mais pas sur Equinix-IX (eth0.127) si on en croit ces logs.

On remarque aussi que sur Jaguar en PPS c'est allé plus haut,
c'est probablement du au fait que iptables n'est pas actif sur 
h3 a Toulouse alors qu'il l'est sur gw a Paris.

Gitoyen a été victime d'une attaque en PPS le 18 juin.

On ne peut pas faire grand chose contre ce type d'attaque
a part avoir un materiel sur le lien qui est capable d'encaisser
en frontal. Il est quand meme interessant de faire quelques recherches
et labo/ateliers avec le materiel dont nous disposons, page
de travail et inscriptions/contributions ici :

http://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/AtelierPPS2012

Sincerement,

Laurent





Plus d'informations sur la liste de diffusion technique