Freenews

Free - Offres, abonnement et gestion du compte Freebox => Services : dysfonctionnement ligne, Freebox Server et interface => Discussion démarrée par: Mohamed RACHID le 13 February 2021 16:51:35

Titre: Attaques par déni de services (DDoS) - informations & identification
Posté par: Mohamed RACHID le 13 February 2021 16:51:35

Chère lectrice, cher lecteur,

Comme il y a fort peu d'informations au sujet de la gestion des attaques par déni de service par le réseau de Free, je pose ici ma pierre.
Cela vous permettra de :

• reconnaître lorsque votre connexion subit une attaque par déni de service bloquée par Free
• distinguer une authentique panne d'une attaque par déni de service

Attaque par déni de service ?
Une attaque DoS / DDoS consiste à rendre inutilisable un service ou une connexion. Article Wikipedia (https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service)
Lorsqu'une connexion telle que la votre est attaquée, vous êtes sûrement victime de représailles de la part d'une personne ayant réussi à collecter votre adresse IP (IPv4 ou IPv6), par exemple via un lien piégé, via la connexion à un serveur de jeux, en vous connectant sur un forum, etc. Ou alors vous êtes peut-être une victime collatérale ou vous avez été identifié à tort à l'origine d'une attaque précédente (qui parfois est une simple panne).
Si l'attaque est suffisamment puissante, votre connexion devient inutilisable.
Notez qu'il est souvent impossible pour l'organisateur de l'attaque de l'interrompre à son gré.

Limites de mes connaissances
Je tiens à préciser que je suppose que les attaques dont j'ai été victime ont toujours sûrement eu lieu sur des adresses IPv4. En IPv6 je ne connais pas les conséquences, et il est possible que l'attaque sur l'adresse de la Freebox (se terminant par "::1") réagisse différemment de celle sur l'adresse d'un périphérique connecté et de celle sur une adresse non associée à un périphérique. De plus, les migrations sur le réseau de Free rendent difficiles les analyses, entre le partage d'adresses IPv4 entre abonnés et la migration des liaisons natives en IPv6 en remplacement d'IPv4.
Je n'ai aucune expérience sur la réaction du réseau de Free avec les liaisons fibre optique et DSL non dégroupé.

Que fait Free pour nous protéger ?
Free, connue pour ses décisions délirantes (souvent justifiées), a mis en place une protection contre certaines attaques par déni de service.
Je présume que cette protection se déclenche lorsqu'un volume de paquets très important arrive sur l'adresse IP des abonnés concernés.
Lorsqu'une attaque est détectée, votre accès à l'Internet est interrompu par Free. Votre téléphone et votre télévision restent ainsi parfaitement opérationnelles, ne subissant pas la pression du trafic illégitime.
Contrairement aux protection anti-DDoS proposées par les hébergeurs de serveurs, l'objectif de Free n'a pas été de maintenir le service en fonctionnement malgré l'attaque. Le filtrage des attaques ayant un coût élevé, il a été préféré de simplement bloquer le trafic Internet.
Comme pour les autres protection anti-DDoS, le trafic étant éliminé, il n'est pas possible de l'analyser en le redirigeant vers une DMZ.

Les symptômes évidents

• Après le redémarrage de la Freebox, l'authentification auprès du réseau s'effectue sans souci et le fonctionnement reprend comme avant le redémarrage.
• La TV continue de fonctionner.
• Le téléphone continue de fonctionner.
• L'accès à l'interface web Freebox OS fonctionne (au moins par son adresse IP), mais la navigation Internet est impossible avec des noms et des adresses IP.
• La "Connexion internet" est indiquée "OK" sur l'interface web Freebox OS.
• La connexion au réseau "FreeWifi_secure" échoue (peut réussir l'étape d'authentification, mais obtention d'adresse IP impossible).

Les symptômes en fouillant un peu

• Le "Débit IP descendant" reste à 0 "- (-)" sur l'interface web Freebox OS, hormis des petits pics à quelques centaines d'octets par seconde. Il n'est pas nécessaire de stopper la TV car son débit consommé n'est pas comptabilisé ici.
• Si vous avez une adresse IPv4 dédiée (ports 0 à 65535) sur la même plage d'adresses que le DSLAM :
  • Vous pouvez envoyer en IPv4 un ping ICMP au DSLAM, il répondra. Il s'agit du premier routeur après la Freebox lorsque vous procédez à un traceroute.
  • Le reste du trafic IPv4 est bloqué.
  • Tout le trafic IPv6 est bloqué.
• Si vous avez une adresse IPv4 partagée (ports 0 à 16383, 16384 à 32767, 32768 à 49151 ou 49152 à 65535) :
  • Tout le trafic IPv4 est bloqué.
  • Tout le trafic IPv6 est bloqué.
  • Les 4 abonnés raccordés la même adresse IPv4 subissent forcément le même sort. Suivant la protection en place, il est peu probable mais possible que si l'attaque s'effectue exclusivement sur les ports de l'abonné visé alors les 3 autres seront épargnés.

Ce qui est différent avec une vraie panne
Une panne authentique implique un dysfonctionnement non maîtrisé. Pour des pannes, voici donc les différences que j'ai pu constater par rapport aux attaques par déni de service.

• La télévision ou le téléphone peuvent cesser de fonctionner.
• L'absence de liaison xDSL ou la chute du débit négocié de la liaison ne peuvent pas provenir d'une cyber-attaque. En revanche un voisin ou un colocataire indélicat pourrait avoir mis son nez dans le câblage de la ligne.
• Le redémarrage de la Freebox peut s'effectuer douloureusement, avec l'authentification impossible ou l'absence de réponse DHCP. Je déconseille le redémarrage car si la téléphonie et la TV fonctionnaient avant le redémarrage, elles risquent de passer hors-service jusqu'à la résolution de la panne.

Pour finir
Le filtrage possible est différent suivant les protocoles attaqués. Certains protocoles IP n'ont pas de numéros de port, tels que PPTP. Les attaques ne visent pas obligatoirement les protocoles à numéros de ports UDP / TCP / UDP-lite / RCTP.
Les attaques par déni de service sont une pollution de l'Internet. Tantôt les attaques visent la mauvaise personne, tantôt c'est une vengeance pour une attaque qui en fait était juste une panne, et souvent il y a un impact sur des utilisateurs innocents (colocataires, famille, abonnés sur la même adresse IPv4 partagée).
Si Free mettait en place une protection par filtrage, les attaques deviendraient inopérantes et par conséquent inutiles.

Dans ce message, j'ai été très précautionneux pour ne pas susciter l'envie de passer du mauvais côté. Merci de faire de même et d'éviter les suggestions négatives.
Je vous invite à compléter avec vos retours d'expérience et vos connaissances en réseaux.