Je souhaiterais savoir si une attaque par déni de service (DDoS) avait un lien avec des requêtes de pings effectuer sur l'invite de commandes?
De plus, je souhaiterais connaître la différence entre l'invite de commandes windows et windows PowerShell ?(qui me semble tout à fait identique)
Salut,
on peut dans un réseau local saturer une connexion avec des ping si on adapte les droits administrateur pour les envoyer à intervalle très réduit.
Mais, ça n'est pas très efficace car le protocole va toujours attendre va enchainer rapidement si il y a réponse, mais va attendre très longtemps si il n'y en a pas...
Or le ping est très facile à bloquer dans un firewall, bien que ça ne soit pas sain du tout au niveau fonctionnement du réseau.
Les requêtes ping ont en effet un lien mais pas systématique:
pour les attaques DDoS "basiques" il s'agit d'envoyer le plus rapidement possible ces dernières, et ce, avec un corps de données conséquent (le principe de ping étant de répondre la donnée à l'identique).
Mais il existe aussi des attaques DDoS via protocole FTP, ou encore en jouant avec la stack TCP dites asymétriques): l'attaquant ouvre des connexions au serveur et ne termine pas la transaction laissant alors de multiples processus d'écoute "inutile" qui reste pendant un certain temps. En résulte alors une consommation de ressources qui peut entraîner le serveur à saturer et ne plus répondre.
Cette dernière attaque ne nécessite pas beaucoup de ressources côté attaquant et reste efficace sur des infrastructures conséquentes (pourvu qu'elles ne soit prémunies d'aucune sécurité contre)
Merci de mettre "Résolu" quand le problème est réglé!
La connaissance c'est comme la confiture: moins on en a et plus on l'étale.
Non, les Ddos les plus actifs consistent à saturer la connexion à l'internet, pas le serveur qui peut très facilement limiter le nombre de connexions tcp ouvertes.
c'est avec des paquets UDP qui ne nécessitent pas de mise en place de dialogue que ça passe les limitations des firewall,
les paquets icmp echo sont très faciles à limiter, car pas forcément utiles à la présence sur le net.
Les trames UDP peuvent aisément être bloquées également (ce qui est recommandé pour la plupart des services web).
La limitation des connexions ouvertes dans de tels cas permet au serveur de ne pas tomber mais empêches alors une bonnes partie des utilisateurs légitimes d'accéder au service, constituant alors une attaques DDoS incomplète mais bien présente.
EDIT: la parade consiste alors à configurer la stack réseau de façon à diminuer ces temps d'état d'attente côté sockets.
Je te parle de saturation du débit de la connexion contre laquelle toutes les règles de filtrage en aval sur le serveur sont inutiles puisqu'il faut agir en amont.
En fait les dns publics sont difficiles à attaquer car ils sont repartis (adresses anycast) ce qui explique que seule la côte est américaine ait été touchée par l'attaque de Dyn.
Par contre, l'effet est très large c'est sûr.
Etait-il possible de continuer à accéder a Twitter ou a Krebs si on possédait les IP des sites qui ont subi les conséquences de l'attaque de DYN?(puisque DYN est un service de DNS associant les IP aux noms des sites)
