De plus en plus de DDOS Attack et scan de ports

[jeanaymar242]

Bonjour,

Je sais que c'est fréquent sur la toile mais en consultant régulièrement les logs de mon routeur NETGEAR, je constate de plus en plus d'attaque et de scan de port par l'extérieur sur le réseau KNET.
Au départ, une de temps en temps, maintenant plusieurs par nuit.

Voici un extrait de mon dernier log :

[DoS Attack: ACK Scan] from source: 199.59.166.47, port 80, Thursday, May 17,2012 00:08:47
[DoS Attack: RST Scan] from source: 65.54.165.136, port 443, Wednesday, May 16,2012 23:23:17
[DoS Attack: RST Scan] from source: 94.23.34.134, port 80, Wednesday, May 16,2012 22:56:11
[DoS Attack: RST Scan] from source: 94.23.34.134, port 80, Wednesday, May 16,2012 22:21:46
[DoS Attack: RST Scan] from source: 81.255.196.140, port 80, Wednesday, May 16,2012 18:03:58

Faut-il s'en inquiéter ?
L'équipe K-NET peut elle faire quelque chose contre ce fléau ?

Amicalement.

[redge76]

bienvenu dans la jungle du net......K-net ne peut rien faire (a part tout couper....)
Au mieux tu peux contacter les personnes qui te scan pour leur dire que l'un de leur serveur est un robot.... Mais bon... Hmmm Comment dire... Ca risque de te prendre du temps pour répondre a tout le monde :-P
Y en a un qui est francais en plus....
% Information related to '81.255.196.0 - 81.255.196.255'

inetnum:        81.255.196.0 - 81.255.196.255
netname:        FR-GOTO-SOFTWARE
descr:          GOTO SOFTWARE
country:        FR
admin-c:        FC2219-RIPE
tech-c:         FC2219-RIPE
remarks:        for hacking, spamming or security problems
remarks:        mail to abuse@goto.fr
status:         ASSIGNED PA
mnt-by:         RAIN-TRANSPAC
source:         RIPE # Filtered

person:         Frederic CERISIER
address:        GOTO SOFTWARE
address:        AV ANTOINE PINAY
address:        ZAC des 4 Vents
address:        59510 HEM
fax-no:         +33328328329
phone:          +33328328328
nic-hdl:        FC2219-RIPE
mnt-by:         RAIN-TRANSPAC
source:         RIPE # Filtered

[Frank]

Puis bon, sincerement, quel est le problème d'un bête scan de ports ?
C'est si commun maintenant que je ne les monitorise même plus...
Si tu verrais les gens qui essaient de s'authentifier automatiquement en SSH sur mon serveur, c'est imprésionnant, mais bon, il suffit que ce soit un minimum sécurisé, et voila..

[jeanaymar242]

Merci pour vos réponses.

[RasKal]

Effectivement, pas grand chose à faire.

Je me souviens qu'il y a déjà 10 ans de cela, lorsque nous installions un firewall chez un client, les logs montraient des scans après quelques minutes seulement.

Au jour d'aujourd'hui, cela doit être de l'ordre de quelques secondes, et je ne m'en inquiéterais pas sauf si vous hébergez un serveur Web chez vous. Dans ce cas, un firewall stateful ne suffit pas. Il faudrait plutôt un WAF (Web Application Firewall) qui permet l'inspection des paquets un peu plus haut dans les couches OSI (en bref, analyse du contenu des données, ou "payload" dans la langue de Shakespeare, afin de détecter les attaques, et encore... C'est un vaste sujet, et très intéressant car pour bien gérer (autoriser ou bloquer) les règles, il faut avoir de bonnes connaissances techniques; puis, pour lire les logs et repérer une entrée qu'il faudrait investiguer il faut alors avoir en sus des connaissances un peu plus poussées (en hacking, pour utiliser un terme générique - pas de troll svp, merci) car d'après moi on ne peut bien protéger que ce que l'on connait.

Cordialement.
Pascal 

[vivien]

Si vous réalisez bien les mises à jour du système d'exploitation et des différents logiciels exposés sur Internet, associés a des mot de passe fort, le risque est très faible.