Une nouvelle coupure de services apparemment... plus de net plus de tel sur Ornex.
c 'est uniquement chez moi ou vous avez le meme soucis ??
Un retour a une stabilité des services proposés serait grandement apprécié... deja que tout n'est pas opérationnel...
Non ce n'est pas une panne, ni une coupure. D'après un ticket que j'ai vu passer, votre connexion a été bloquée car vous êtes à l'origine de nombreuses attaques DDOS depuis 10h00. Mes collègues doivent normalement vous contacter pour vous en informer.
Vérifiez vos machines, à mon avis vous en avez une qui est vérolée.
OK. Et je vais recuperer ma connexion quand du coup ?? J'en ai un peu besoin toute la journee....
Je n'ai eu de nouvelles de persoone... un petit mail ou tel avant aurait ete pas mal... meme si a priori le telephone ne marche pas trop du coup ici...
Le blocage est évidemment automatique, le support n'a pas encore traité le ticket en question. On peut réactiver facilement, mais ça retombera aussitôt si nouvelle attaque détectée.
Les attaques DDOS en question n'embêtent pas que le destinataire, elles embêtent aussi tous nos clients.
Un peu etonnant ces attaques DDOS tout a coup... je suis le seul impacté ? Plusieurs machines connectees mais avec Norton ou Avast... Bon certaines sont allumees depuis des jours sans reboot... Normalement ca n'impacte pas plutot des sites web les attaques DDOS ?? Wu'est ce que ca vuent taper ma pauvre adresse IP ?
En tout cas j'ai besoin de ma connexion internet... on arrive pas a trouver l'origine dey attaques ?? Dans le pire des cas on change mon ip fixe non ?
Si c'est ton pc qui est vérolé, il y a peut de chance qu'un changement d'adresse ip fonctionne.
Bonjour,
N'ayant pas de numéro de portable sur votre fiche client, nous n'avons pas de moyen de vous contacter.
Le mieux est de passer un coup d'antivirus + Malware Bytes sur chaque ordinateur pour vérifier s'il n'y pas de virus/malware/autre qui pourrait utilisé votre connexion à votre insu.
Effectivement, le changement d'ip n'y changerai rien vu que la détection est automatique.
On attend votre retour pour débloquer la connexion.
Citation de: laurentk le 03 Décembre 2014 à 11:01:23
Un peu etonnant ces attaques DDOS tout a coup... je suis le seul impacté ? Plusieurs machines connectees mais avec Norton ou Avast... Bon certaines sont allumees depuis des jours sans reboot... Normalement ca n'impacte pas plutot des sites web les attaques DDOS ?? Wu'est ce que ca vuent taper ma pauvre adresse IP ?
En tout cas j'ai besoin de ma connexion internet... on arrive pas a trouver l'origine dey attaques ?? Dans le pire des cas on change mon ip fixe non ?
Non mais c'est vous qui êtes à l'origine des attaques, vous n'êtes pas le destinataire. Changer d'IP ne changera rien, hormis déclencher les attaques depuis une nouvelle IP.
Ah OK je comprends mieux ;-) En ce moment j'ai 3 machines allumees 2 pc et un mac... les 2 pc ont des antivirus depuis longtemps et rien n'a changé sans keur utilisation ces derniers jours... En tout cas faut que l'on trouve une solution j'ai besiin de ma connexion et de min telephone rapidement...
Bonjour,
J'ai réactivé votre connexion internet depuis 10min déjà.
Cdlt,
Merci mais j'ai beau avoir redémarré le CPE et le routeur je n'ai toujours ni telephone ni internet dispo :-?
Sur la période 10h à 11h15, voici le detail:
Summary: total flows: 210324, total bytes: 6.7 G, total packets: 107.7 M, avg bps: 11.1 M, avg pps: 22434, avg bpp: 62
Vous avez envoyé en destination d'une IP russe port 80 un flood de TCP SYN de 107 millions de paquets.
Elle a pour conséquence de réserver des ressources sur la cible qui attend un acquittement pour toutes les demandes de connexions qui sont faites, mais elle n'en recevra jamais.
J'ai désactivé le blocage automatique jusqu'à 14h, vous laissant le temps de corriger après ce délai vous serez automatiquement bloqué.
Je joins votre IP depuis l'extérieur (hors du réseau K-net)
Merci pour ces infos.
Toujours pas de connexion dispo chez moi :-(
J''ai desactivé une connexion a un serveur de jeu qui potentiellement pouvait etre la cause... script installé il y a des semaines nais a voir si ca change qque chose...
Mais toujours ni tel ni net ici
Je vous ping aussi depuis une connexion Orange.
Le problème est après votre routeur donc.
Faudrait vérifier qu'un petit malin n'ait pas modifié vos DNS
Je n'arrive effectivement meme plus a acceder a mon routeur en 192.168.1.1 :-(
J'en ai un de secours si jamais faudra juste changer l'adresse mac
Débranchez tout sauf le téléphone, rebootez routeur et téléphone et testez le téléphone.
Les alertes continuent, donc possible que le routeur soit inaccessible à cause de ça.
Malheureusement ca ne change rien. Je viens de rebouter le CPE puis le routeur... le telephone est passé de serveur non accessibleau classique echec enregistrement aupres fournisseur... pas de net dispo pour lui non plus a priori...
Si ta connexion sature il se peut que le tel bloque non ?
C'est simple de vérifier c'est quel PC qui envoie les données, stopper toutes utilisation du Web, ensuite regarder dans le gestionnaire des tâches (Windows) si le PC envoi des données, 11mbs devrait être facile à voir.
Après K-net j'ai un question pour vous, comment vous voyez que c'est une attaque DDOS 6.7Go ce n'est pas énorme sur plus d'un heure, c'est avec la taille des paquets + nb/s ? Car si je télécharge mon fichier ISO linux ou je ne sais quoi qui fait 7Go c'est faisable en 15 minutes (même un peu moins) pourtant je ne suis pas BAN et ça représente 5.2 millions de paquets en 15 minutes. (1450 octet par paquet)
La connexion au serveur tel s'est faite apres 30 minutes environ... le tel ne msrche toujours pas mais plus de mssg d'erreur d'enregistrement...
Pour le net c'est pareil ca sature apparemment énormément les pages s'affichent su bout de 15-20 mknutes...
Si kn peut identifier la machine posant probleme je suis preneur...
on peut aussi m'appeler sur mon 06
Il est bientot 14h00 la connexion va bientot etre a nouveau coupee...
et perso ca fait 4h que je secoue tout ca sans trop savoir quoi faire de mon côté...
15-20 minutes pour une page ce n'est pas possible, un time out devrait tomber bien avant.
Bref comme je dis sous Windows tu appuies sur les touches : CTRL + ALT + SUPPR ensuite tu as ouvrir le Gestionnaire des tâches.
Si tu es sous Windows 8 :
(http://puu.sh/dfjug/18259af0db.png)
Tu as la vitesse en bas, il faut l'émission et la réception. Dans la logique des choses ton émission doit être supérieur à la réception.
Sous Windows 7 :
(http://www.zebulon.fr/medias/Image/astuces/gestionnaire-taches-reseau.png)
Tu vois en pourcentage d'utilisation du lien, si tu comprends pas il suffit de nous donner le % et la vitesse théorique du lien c'est marqué à coté (Normalement une de ces valeurs : 72 100 130 145 300 450 1000 1G, il peut en avoir d'autres)
Edit : Si tu lances une attaque tu as un grand nombre de paquets par seconde, et peut saturer ton routeur. Même avec une vitesse basse comme 11Mbs.
Edit : A 13h tu étais encore impacté, on le voit bien sur ce graphe qui d'après ce que je vois correspond bien aux données que l'équipe K-net dit :
(http://puu.sh/dfjRK/d48e320fa2.png)
Merci pour les infos.
La seule machine Windows que j'ai laissé allumée elle tourne sous W7. Une connexion au reseau local a 100 Mbits/s qui utilise 0 - 0.02% du reseau...
Une seule sutre machine allumée c'est un mac...
Sinon doit bien y avoir pas mal d'autres appareils connectés...tablettes, Sonos, mediacenter...
Citation de: TiTi le 03 Décembre 2014 à 13:38:05
Si ta connexion sature il se peut que le tel bloque non ?
C'est simple de vérifier c'est quel PC qui envoie les données, stopper toutes utilisation du Web, ensuite regarder dans le gestionnaire des tâches (Windows) si le PC envoi des données, 11mbs devrait être facile à voir.
Après K-net j'ai un question pour vous, comment vous voyez que c'est une attaque DDOS 6.7Go ce n'est pas énorme sur plus d'un heure, c'est avec la taille des paquets + nb/s ? Car si je télécharge mon fichier ISO linux ou je ne sais quoi qui fait 7Go c'est faisable en 15 minutes (même un peu moins) pourtant je ne suis pas BAN et ça représente 5.2 millions de paquets en 15 minutes. (1450 octet par paquet)
Aggregated flows 1
Top 10 flows ordered by flows:
Date flow start Duration Src IP Addr Src Pt Dst IP Addr Dst Pt Packets Bytes bps Bpp Flows
2014-12-03 11:10:00.012 599.977 178.250.XXX.X 13458 62.117.78.9 80 16.6 M 1.0 G 13.7 M 62 32330
Summary: total flows: 32330, total bytes: 1.0 G, total packets: 16.6 M, avg bps: 13.7 M, avg pps: 27589, avg bpp: 62
Time window: 2014-12-03 11:09:00 - 2014-12-03 11:19:59
Total flows processed: 1132760, Blocks skipped: 0, Bytes read: 64701600
Sys: 0.184s flows/second: 6155936.3 Wall: 0.182s flows/second: 6217670.0
Un transfert de 1G (c'est peu) avec 17 millions de paquets (c'est beaucoup) en 10 minutes.
Le graphe de la pièce jointe montre bien cette attaque depuis 9h55.
Mac tu dois pouvoir faire pareil, le graphique que je t'ai montré a du retard, seul K-net peut te dire si tu DDOS encore.
Le mediacenter je pense pas qu'il flood, les smartphones / tablette peuvent être impactés aussi.
Ps : J'avais raison pour l'AS c'est bien celle là AS8732 :D
Edit : La Russie va refuser les Itruc d'apple à partir du 1er janvier 2015. Le iCloud est hors la loi, la Russie a voté une loi pour que dire que les données des utilisateurs Russes doivent rester en Russie, Google, Facebook seront aussi concerné mais surement plus tard.
Amérique et Russie c'est encore tendu.
Sur ton routeur, sans rien faire, il n'y a pas un port ou une interface qui clignote à mort ?
Sinon, il ne faut pas se fier aux outils de monitoring Windows par ex : on peut modifier les drivers pour faire taire les compteurs (et donc les graphs).
J'ai rallumé l'autre PC W7 qui etait allumé ce matin mais RAS... un connection 1G qui n'utilise rien...
Je regarde le mac.
Apres h'ai aussi une xbox one connectee rj45, deux demos sat,etc...enfin y'a du monde mais rien de nouveau récemment
Attention c'est environ 1% du Gigabit qui doit être utilisé.
Edit : Le meilleur moyen serait d'être en tel avec Guillaume ou quelqu'un d'autre chez k-net pour déconnecter 1 par 1 les équipements. Si Guillaume peut voir en temps réel les paquets/s c'est bon.
La c'est pas compliqué jai eteint les deux pcs et ke mac.. faudrait voir si ca DDOS toujours... si c'est le cas ca vuent d'ailleurs... sinon on les rallumera un par un... si qqun ici ou au support peut me dire...
Pas de surexcitation du routeur a priori...
Oui le support en ligne ca serait l'ideal.
j'ai envoyé min 06 a Guillaume ce midi.
En tout cas meme avec les 2 pcs et le mac eteint toujours pas de tel... mais la connexion dout etre coupee du cote knet... si qqun dusupport passe dans le coin perso j'ai passe 5h a tout secouer ici depuis ce matin...
L'attaque a stoppé à 14h30.
Ok merci.
Toujours pas de tel ici.. et bien sur pss de net... ca commence a me lasser un peu si qqun du support pouvait faire qque chose...
j'aimerai bien rallumer mes machines une par une... ca fait plus de 5h que perso je suis bloquée et ne fait que ca... ca va commencer s ne plus trop m'amuser... sans aide de votre cote ca prend vite des heures a regler alors qu'au tel on identifiait rapidement la machine en cause...
Citation de: titi
Après K-net j'ai un question pour vous, comment vous voyez que c'est une attaque DDOS 6.7Go ce n'est pas énorme sur plus d'un heure, c'est avec la taille des paquets + nb/s ? Car si je télécharge mon fichier ISO linux ou je ne sais quoi qui fait 7Go c'est faisable en 15 minutes (même un peu moins) pourtant je ne suis pas BAN et ça représente 5.2 millions de paquets en 15 minutes. (1450 octet par paquet)
Ce filtre ne compte que les TCP SYN
laurentk: débranche tout (tout = vraiment tout, aucun fil, aucun wifi), et nous verrons bien le résultat
Les attaques ont apparemment stoppés... je ne vais pas debranchet 25 appareils juste pour le fun... merci de regarder si vous avez tj des alertes chez vous... si c'est non vous reactivez la connexion... je rebranche les 2 pcs 1 par 1 avec le mac et vous me dites a chawue fous si cs recommence...
une fois de plus par telephone le pb serait deja reglé... une journee de foutue de mon côté donc vraiment pas content perso :-/
Les attaques ont stoppés car tu as était coupé.
Mais pourquoi tu n'appels pas, tu demandes le service technique et tu explique que tu as commencé sur le forum.
Nous recevons toujours des alertes. La balle est dans votre camp.
Packet limit: > 300000 packets
Aggregated flows 2
Top 200 flows ordered by flows:
Dst IP Addr Packets Bytes Flows bps pps Bpp
62.117.78.9 10.7 M 662.4 M 20867 17.7 M 35616 62
Summary: total flows: 48402, total bytes: 771.6 M, total packets: 12.3 M, avg bps: 17.7 M, avg pps: 36177, avg bpp: 62
Time window: 2014-12-03 16:04:00 - 2014-12-03 16:09:59
Total flows processed: 751390, Blocks skipped: 0, Bytes read: 42938032
Sys: 0.184s flows/second: 4083397.2 Wall: 0.183s flows/second: 4090199.0
Time window: 2014-12-03 16:04:00 - 2014-12-03 16:09:59
J'ai deja eu 3 interlocuteurs différents du support sur ce sujet depuis ce matin... ils ont coupé ma connexion automatiquement sans rien me dire c'est moi qui m'en suis apercu... ils etaient censé prendre contact avec moi des ce matin ... jamais eu de nouvelles au tel... perso j'en ai marre j'ai grillé ma journée a attendre une solution qui ne vient pas donc je sais deja ce qu'il me reste a faire...
D'apres Titi il ne se passe plus rien depuis 14h30 mais vous avez toujours des alertes chez vous ??
Les 2 pcs et le mac sont eteints c'est quand meme pas ma tablette ou ma xbox qui envoie des attaques ddos ??
Attends, juste pour être sur de comprendre ..
- tu as 25 équipements sur la box
- tu as un équipement vérolé qui consomme 100% de ta bande passante, pourri tes voisins, ton FAI et tout l'internet
- le FAI te coupe automatiquement, tu es mis au courant, tu connais comment diagnostiquer le problème
- tu refuses de chercher lequel, parmis
tes équipement, est pourri
- tu critiques knet
Tu t'attends à quoi ?
Tu veux que super-knet se téléporte chez toi pour nettoyer ta merde ?
Si tu veux, je pense qu'ils peuvent te faire une prestation .. mais ça s'arrête là.
Et pour info, changer de FAI ne change rien.
Si tu satures ton 100Mbps, tu vas saturer ton accès, chez n'importe quel FAI.
Donc oui, c'est triste d'avoir de la merde chez soi.
La seule solution est de prendre le balai et de nettoyer les déjections fécales qui hantent ton réseau local.
Citation
Les 2 pcs et le mac sont eteints c'est quand meme pas ma tablette ou ma xbox qui envoie des attaques ddos ??
Pourquoi pas ?
Tu es seule chez toi, personne ne peut le savoir, sinon toi.
Tu devrait peut-être suivre les conseils avisés de la team Knet et des autres abonnés, qui cherchent tous à t'aider. Par exemple :
Citation de: jack
débranche tout (tout = vraiment tout, aucun fil, aucun wifi), et nous verrons bien le résultat
Citation de: laurentk le 03 Décembre 2014 à 16:17:09
D'apres Titi il ne se passe plus rien depuis 14h30 mais vous avez toujours des alertes chez vous ??
Les 2 pcs et le mac sont eteints c'est quand meme pas ma tablette ou ma xbox qui envoie des attaques ddos ??
Les graphes parlent d'eux mêmes, depuis ce matin 9h55 votre port sature.
Alors deja on reste poli ... perso je n'ai insulté personne donc tu serai bien aimable d'en faire de meme...
Apres NON on ne m'a pss prevenu que ma connexion avait un soucis... on l'a coupée et derriere c'est moi qui est ouvert un sujet ici...
Apres le support m'a dit que la connexion etait a nouveau coupeet depuis 14h00 si il y avait toukours des alertes...
D'apres Titi plus d'attaques mais d'apres ke support oui..donc logiquement si plus de connexion plus d'attaques possibles ou alors je ne comprends plus trop comment fonctionne internet...
Si je debranche tous mes apoareils il va se passer quoi ?? Mon demo Sat peut envoyer 7-8 gb en 5 minutes ??
Si je debranche tout d'un coup on est pas plus avancé piur savoir lequel deconne... le gestionnaire des taches de mon demo sat ou ma xbox ne fomctionnant a priori pas encore...
j'ai commencé par debrancher depuis plus de 3h les 3 machines les plus susceptibles d'avoir un soucis...j'ai eu un oeu de mal a avoir un retour si ca avait changé qque chose ou pas...donc avant de debrancher tout le reste...
Citation de: laurentk le 03 Décembre 2014 à 16:32:17
Alors deja on reste poli ... perso je n'ai insulté personne donc tu serai bien aimable d'en faire de meme...
Apres NON on ne m'a pss prevenu que ma connexion avait un soucis... on l'a coupée et derriere c'est moi qui est ouvert un sujet ici...
Apres le support m'a dit que la connexion etait a nouveau coupeet depuis 14h00 si il y avait toukours des alertes...
D'apres Titi plus d'attaques mais d'apres ke support oui..donc logiquement si plus de connexion plus d'attaques possibles ou alors je ne comprends plus trop comment fonctionne internet...
Si je debranche tous mes apoareils il va se passer quoi ?? Mon demo Sat peut envoyer 7-8 gb en 5 minutes ??
Si je debranche tout d'un coup on est pas plus avancé piur savoir lequel deconne... le gestionnaire des taches de mon demo sat ou ma xbox ne fomctionnant a priori pas encore...
j'ai commencé par debrancher depuis plus de 3h les 3 machines les plus susceptibles d'avoir un soucis...j'ai eu un oeu de mal a avoir un retour si ca avait changé qque chose ou pas...donc avant de debrancher tout le reste...
Moi je ne dis pas qu'il y a plus d'attaques mais que ça passe plus.
K-net peut savoir moi non, je suis simple client, K-NET AURA TOUJOURS RAISON SUR MOI !
Citation de: TiTi le 03 Décembre 2014 à 16:06:34
Les attaques ont stoppés car tu as était coupé.
Ne pas déformer mes propos.
Il faudrait couper Physiquement ton Wifi pour être sur qu'un voisin ne scoite pas ta connexion.
Ensuite comme j'ai dis débrancher tout, puis remonter 1 par 1.
Citation de: laurentk le 03 Décembre 2014 à 16:32:17
Alors deja on reste poli ... perso je n'ai insulté personne donc tu serai bien aimable d'en faire de meme...
Apres NON on ne m'a pss prevenu que ma connexion avait un soucis... on l'a coupée et derriere c'est moi qui est ouvert un sujet ici...
Apres le support m'a dit que la connexion etait a nouveau coupeet depuis 14h00 si il y avait toukours des alertes...
D'apres Titi plus d'attaques mais d'apres ke support oui..donc logiquement si plus de connexion plus d'attaques possibles ou alors je ne comprends plus trop comment fonctionne internet...
Votre port a toujours été activé, nous avons filtré (envoyé dans un trou noir) votre attaque dans notre réseau afin d'empêcher celle-ci de se propager en dehors mais l'attaque était toujours là, présente avant d'arriver dans notre réseau.
Depuis 9h55 ce matin une attaque DDoS de type TCP SYN non-stop est effectué depuis l'un de vos équipements.
Citation
Si je debranche tous mes apoareils il va se passer quoi ?? Mon demo Sat peut envoyer 7-8 gb en 5 minutes ??
Ce n'est pas tant la quantité que vous pouvez envoyer qui dérange mais le type de paquets.
Citation
Si je debranche tout d'un coup on est pas plus avancé piur savoir lequel deconne... le gestionnaire des taches de mon demo sat ou ma xbox ne fomctionnant a priori pas encore...
j'ai commencé par debrancher depuis plus de 3h les 3 machines les plus susceptibles d'avoir un soucis...j'ai eu un oeu de mal a avoir un retour si ca avait changé qque chose ou pas...donc avant de debrancher tout le reste...
Couper le WIFI et débrancher tous les ports du LAN de votre BOX pendant environ 15min.
Au bout de ces 15mins, brancher un par un vos équipements en laissant un laps de temps afin d'essayer votre connexion, vu la violence de l'attaque, vous vous apercevrez que vous n'avez ni téléphone, ni internet, lors du branchement de l'équipement fautif.
On va essayer ca... nais pour info le cpe est connecté sur un routeur netgear 3700 qui part sur le boitier tel et sur un switch 8 ports gigabit qui part en grade 3 a travers les murs de la maison et qui dessert 8 pieces / rj 45 differentes... sur chaque rj45 il y a 1 a n appareils branchés a travers des switch... donc pas juste 2 cables a debrancher...
Citation de: laurentk le 03 Décembre 2014 à 16:32:17
Apres NON on ne m'a pss prevenu que ma connexion avait un soucis... on l'a coupée et derriere c'est moi qui est ouvert un sujet ici...
La priorité du support est de s'occuper des problèmes des clients pour lesquels nous sommes fautifs/responsables. Le support n'a pas à stopper toute son activité pour prévenir dans les minutes qui suivent qu'un client a été automatiquement coupé car il génère des attaques DDOS.
Juste déjà automatiser l'envoi d'un email signalant le problème et la coupure automatique de la connexion ça me paraîtrait déjà bien :-? Surtout si vous ouvrez un ticket en interne sur votre soft de suivi des problèmes il doit bien avoir moyen d'automatiser l'envoi d'un email... Vu que la coupure se fait automatiquement faudrait automatiser aussi le suivi chez le client avec juste un petit mail / la ref du ticket en interne chez vous.
Je ne demandai pas à ce que tout le support de Knet arrête de bosser pour le faire à priori... enfin perso j'dis ça c'est pas comme si j'avais jamais fait de support utilisateur en bossant dans l'IT depuis 25 ans ;-)
Que ce soit "ma" faute ou "la" votre, c'est vous qui avez coupé l'accès à ma connexion internet en tant que prestataire de services donc m'en informer me parait normal :-?
Les DDOS arrivent peu souvent (1 fois par semaine grosso modo). On ne va pas automatiser un système de mailing juste pour ça.
On avait aussi eu "souvent" des soucis avec le lan TV mal branché qui faisait tout sauter dans le même genre.
Sinon de mon côté je pense avoir identifier le coupable même si j'ai des doutes quant au fait que ce type de matériel puisse envoyer des attaques DDOS même si c'est assimilable à un petit PC... C'est un de mes NAS qui a priori dès qu'il est branché sur le réseau fait tout sauter... Un Synology DS1511+ (10*3 To) ... donc je l'ai éteint... changé le mot de passe admin pour être tranquille (c'était pas celui par défaut avant hein...) et on va le redémarrer pour voir si ça passe comme ça... après il me reste encore pas mal d'appareils à rebrancher... A partir des 8 connexions du Switch branché sur le routeur il faut que je teste tous les appareils branchés sur chaque RJ45 / Grade 3 dans les différentes pièces... A suivre...
K-net est dans le droit de couper une connexion qui fait des attaques. Après le réseau K-net peut mal de faire voir de l'extérieur, gêner les voisins et la cible.
Edit : Pour la TV c'est normal si tu fais une boucle Port TV / Data par exemple.
Citation de: laurentk le 03 Décembre 2014 à 21:18:11Sinon de mon côté je pense avoir identifier le coupable même si j'ai des doutes quant au fait que ce type de matériel puisse envoyer des attaques DDOS même si c'est assimilable à un petit PC... C'est un de mes NAS qui a priori dès qu'il est branché sur le réseau fait tout sauter... Un Synology DS1511+ (10*3 To)
Tu as bien la dernière version dessus ?
Citation de: TiTi le 03 Décembre 2014 à 21:18:32
K-net est dans le droit de couper une connexion qui fait des attaques. Après le réseau K-net peut mal de faire voir de l'extérieur, gêner les voisins et la cible.
Edit : Pour la TV c'est normal si tu fais une boucle Port TV / Data par exemple.
Oui pour la TV je disais juste ça par rapport à l'envoi automatique de mails quand on coupe automatiquement la connexion internet pour quelque raison que ce soit... Il doit y avoir pas mal de raisons différentes boucle TV, attaques DDOS, etc... d'où l'automatisation d'un email voire d'un FAQ / marche à suivre pour régler le problème côté utilisateur... sinon perso si j'ai juste ma connexion internet qui tombe sans que personne ne m'explique pourquoi c'est difficile d'avancer sur le problème...
Sinon un peu étonné qu'un NAS puisse envoyer des attaques DDOS mais je ne suis pas spécialiste réseau... qu'il boucle sur une MAJ en essayant de downloader des paquets en boucle pourquoi pas mais des attaques DDOS sur une IP en Russie ça m'épate un peu... va falloir que je le surveille de plus près celui-là ;-)
Un NAS c'est juste un mini ordinateur (le plus souvent sur linux) donc il peut très bien envoyer des attaques DDOS, de plus ce "mini ordinateur" est souvent ouvert sur internet... parfait pour le hacker et prendre le contrôle. De plus synologie a déjà connu des très grosses failles de sécurité (aujourd'hui elles sont corrigés) donc s'il n'est pas à jour ça peut faire mal.
La version du DSM est à jour dessus. Et quasiment aucun service ne tourne dessus à part un serveur PLEX, sinon le but c'est du RAID 5 et du stockage pour un serveur video c'est tout.
donc tu as bien la version du DSM 5.1-5004 update 2 dessus?
A tout hasard regarde les journaux des connections dessus.
Oui c'est bien ça pour le DSM.
J'ai pas mal de warnings dans les journaux pour des connexions Telnet qui échouent sur root ou admin (depuis le changement de mdp) à partir d'adresse IP comme 121.133.143.182 (Corée du Sud :-?), 37.45.1.233, 86.126.217.114, etc... pas encore regardé à quoi ça correspondait...
Si tu n'as pas besoin du telnet/ssh désactive le, cela evitera ce genre de soucis.
Sinon dans le syno tu peux bloquer les ip par pays .....
Et aussi bloquer les ip apres un certains nombre d'échec sur un temps donné.
J'ai viré le mode terminal via SSH / Telnet... j'ai contrôlé certaines adresses IP qui échouent à se connecter depuis une heure ça vient d'un peu partout, Belarus, Corée du Sud, Mexico, etc... sur ce NAS pas besoin de connexion SSH / Telnet donc ça fera un soucis en moins ici ;-)
Les ports pour Telnet/SSH étaient accessibles depuis l'extérieur ?
Oui par défaut sur le 22 je crois, jamais touché ce réglage sur le Syno. J'utilise une connexion SSH sur certains appareils depuis l'extérieur mais pas sur ce syno donc touché à rien par défaut à priori.
Oui effectivement sur le nas depuis l'extérieur, il n'y avait pas trop d'intérêt. Et par principe, il faut éviter les ports par défaut quand on doit tout de même ouvrir vers l'extérieur, ça évite pas mal d'ennuis.
Oui j'essaie au max d'être le plus sécurisé possible mais en même temps je ne suis pas spécialiste réseau donc j'atteint vite mes limites quand je commence a tripoter le mapping de mes ports et des connexions autorisées... :-(
Perso pour éviter que mon Syno soit saccagé, il est resté derrière le routeur. J'ai uniquement mappé les ports pour le VPN, l'interface DSM et Photostation. Et en ce qui concerne l'interface DSM j'ai même limité son accessibilité depuis l'extérieur à une et une seule adresse IP (celle de mon taf) ce qui limite encore plus le risque. Et si j'ai besoin d'y accéder d'ailleurs ben j'ouvre un VPN...
Ça fera jamais le boulot d'un firewall mais je préfère rester derrière mon routeur et maîtriser un minimum mon ouverture au monde (même si n'étant pas expert, j'imagine que je peux passer à côté de certains trucs).
Et en parlant de mise à jour Syno, ça me fait penser qu'il faut que je lance la mienne tiens ;)
Et sinon tes problèmes sont résolus du coup ?
A priori oui problème résolu.
Il faut maintenant que je me trouve un soft de monitoring réseau qui me permette d'identifier rapidement une machine posant un soucis au niveau de la bande passante histoire d'éviter de devoir tout démonter à chaque fois si besoin... un soft qui monitor les 25-30 adresses IP utilisées ici et qui m'affiche les connexions entrantes / sortantes, les protocoles utilisés, etc...
Par exemple: http://www.observium.org/ (http://www.observium.org/)
Idéalement vu que je ne suis pas un expert réseau un truc relativement "facile" à maîtriser, qui ne soit pas une usine à gaz... donc un soft qui sur le PC où il est installé scanne mon interface réseau pour trouver toutes les adresses IP internes par exemple.
Si tu veux un soft juste pour trouver toute les adresses IP sur ton réseau, tu as ça : http://www.dipisoft.com/articles.php?lng=fr&pg=2116 (http://www.dipisoft.com/articles.php?lng=fr&pg=2116)
http://nmap.org/ (http://nmap.org/)
Idéalement j'aimerai que le soft fasse un peu plus que de me trouver toutes les adresses IP de mon réseau (toujours ça j'utilise mon routeur pour le moment) mais j'aimerai qu'à partir de la liste de ces adresses IP je puisse monitorer chacune des machines (protocoles utilisées, volume envoyé/reçu, etc) pour surveiller leur activité.
J'ai utilisé pendant un moment LOOK@LAN par exemple.
Vous avez wireshark qui assez complet https://www.wireshark.org/download.html (https://www.wireshark.org/download.html)
Wireshark à l'air effectivement sympa... ça défile un peu trop à l'écran mais en jouant avec les filtres et cie je dois arriver à quelque chose de sympa et lisible je pense.
J'ai aussi commencé a tester nmap / zenmap qui dans un genre différent à l'air pas mal aussi.
En tout cas merci à tous pour vos conseils, je vais jouer un peu avec tout ça pendant le weekend en essayant de comprendre un peu mieux ce qui se passe sur mes différentes machines.
Je n'avais pas fait attention à la dernière release Notes du DSM de Synology : https://www.synology.com/fr-fr/releaseNote/DS1511+ (https://www.synology.com/fr-fr/releaseNote/DS1511+)
mais on trouve entre autre :
CitationFixed a security issue that could allow remote attackers to cause a denial of service via a crafted ECC certificate or certificate signing requests (CVE-2014-8564).
Ca pourrait expliquer pas mal de choses concernant les problèmes de laurentk...