Log douteux sur routeur D-LINK DIR 300

Fermé
sbarc Messages postés 2 Date d'inscription jeudi 25 juillet 2013 Statut Membre Dernière intervention 26 juillet 2013 - Modifié par sbarc le 25/07/2013 à 22:18
 Iejov - 27 juil. 2013 à 06:25
Bonjours à tous,
Que diriez vous d'un log sur 6 pages de type:

PING FLOODING ping floodind ATTACK from (cas 1,2, ou 3)
(répété sur une dizaine de lignes)
PING FLOODING ping floodind ATTACK from (cas 1,2, ou 3)
(répété sur une dizaine de lignes)
PING FLOODING ping floodind ATTACK from (cas 1,2, ou 3)

J'ai un accès distant sur un poste en 192.168.1.64

-cas 1 = une ip publique 133.95.X.X pas de ping possible depuis mon poste, ni depuis le routeur.
-cas 2 = 192.168.1.100 (première adresse de la plage DHCP) non attribué ce jour là :/ pas de ping possible depuis mon poste, ni depuis le routeur.
-cas 3 = 192.168.1.254 (adresse du routeur)
Je le ping depuis mon poste.

Log du journal du routeur en temps réel
Le routeur ping en interne et ping www.google.fr
Il y a 4 postes qui ont le routeur en passerelle et qui n'ont plus d'accès extérieur.
Pour info, 2 autres postes ont une livebox en passerelle (192.168.1.1)
@ WAN de la Livebox différente de 133.95.X.X

Voilà voilà je ne me l'explique pas.. Si vous avez des pistes de recherches ou en savez plus sur ce type de log..

Ah oui et le ping sur le routeur n'est pas autorisé.

Bonne soirée/journée à tous ^^
A voir également:

2 réponses

Bonjour,


Des attaques par saturation, il me semble que ça ne marche plus (ping de la mort), peut être un rigolo qui s'amuse, de toute façon le routeur bloque.

Tu peux faire une règle bloquant l'ICMP type 8 code 0 sortant, donc plus de réponse au ping, mais plus de ping... si tu veux pinguer par la suite il faudra la désactiver, mais en procédant ainsi tu mets dans la m..de plus d'un hacker, surtout ceux qui sont assez bêtes pour se faire journaliser.



ps: si tu ping google, le ping est autorisé au moins en sortie.
0
Et mets en liste noire l'IP 133***.
0
sbarc Messages postés 2 Date d'inscription jeudi 25 juillet 2013 Statut Membre Dernière intervention 26 juillet 2013
26 juil. 2013 à 22:13
Bonsoir à tous, et merci Iejov!

Merci pour la précision concernant le ping flooding.
L'IP publique est sur liste noire ;)

Cependant je reste interloqué par le cas 2 et le cas 3 qui reviennent tout autant que cette IP publique.. De plus les clients sortant par le routeur n'ont pas récupéré leur connexion internet après l'arrêt du flooding par 133.95.x.x

Les logs continus avec le cas 2 et 3 après la mise en liste noire de 133.95.x.x

Je n'ai qu'un accès distant, une boucle sur e réseau serait elle envisageable d'après vous?

Bonsoir à tous.
0
Ddos peut être, mais là ça se complique, tu es en entreprise? essaye de localiser les IP internet (apparemment au Japon) et regarde si tu as un concurrent dans ce coin là,

Localiser-IP.com


"Les attaques par déni de service distribuées sont plus difficiles à contrer. Le principe même de l'attaque par déni de service distribuée est de diminuer les possibilités de stopper l'attaque. Celle-ci émanant de nombreuses machines hostiles aux adresses différentes, bloquer les adresses IP limite l'attaque mais ne l'arrête pas. Thomas Longstaff de l'université Carnegie-Mellon explique à ce sujet que : « En réalité, la prévention doit plus porter sur le renforcement du niveau de sécurité des machines connectées au réseau [pour éviter qu'une machine puisse être compromise] que sur la protection des machines cibles [les serveurs Web] »"

http://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service


Donc, pour les PC sous routeur, si tu as du wifi, vérifie le WPA2, le filtrage MAC, ou passe en ethernet, il faudrait à mon avis mettre un routeur un peu plus costaud (avec un bon mot de passe),

https://www.microsoft.com/fr-fr/security/pc-security/password-checker.aspx

Avec un vrai routeur tu pourras bloquer ICMP entrant quelques temps (dont le ping), la connexion sera un peu gênée, mais si c'est du vrai Ddos... voir OVH (payant).

Essaye aussi de jouer sur ta plage d'IP locales, change la et réduis la au minimum, scan tes PC en ligne chez Kaspersky ou Bitdefender.
0