Comment faire en sorte que le monde entier envoie des signalements d’abus à votre meilleur ami

 (delroth.net)
1 points par GN⁺ 2024-10-30 | 1 commentaires | Partager sur WhatsApp

Introduction

  • Cet article traite d’une expérience personnelle liée à la sécurité, au networking et aux signalements d’abus.
  • L’auteur a reçu un signalement indiquant que son serveur était infecté par un malware, mais l’enquête a confirmé qu’il n’y avait en réalité aucun problème.

Début de l’incident

  • L’auteur a reçu un e-mail de Hetzner l’informant que son adresse IP faisait l’objet d’un signalement d’abus.
  • Des tentatives de connexion SSH inhabituelles ont été observées sur le serveur, mais en réalité, il ne s’agissait pas de connexions sortantes depuis le serveur : des paquets TCP RST étaient envoyés depuis l’extérieur vers le serveur.

IP spoofing

  • Sur Internet, l’IP spoofing consiste à envoyer des paquets en falsifiant l’adresse IP source.
  • BCP38 recommande de n’autoriser, lors du transit de paquets IP entre réseaux, que les adresses IP attendues, mais tous les réseaux ne respectent pas cette règle.

Hypothèse sur la motivation

  • L’attaquant falsifie l’IP source pour envoyer des requêtes de connexion vers le port 22, ce qui déclenche des signalements d’abus automatisés.
  • Il pourrait s’agir d’une attaque visant certains nœuds du réseau Tor.

Lien avec Tor

  • Les relais Tor servent à acheminer du trafic anonymisé et ne se connectent pas directement à l’Internet public.
  • Cependant, certains utilisateurs d’Internet détestent Tor et peuvent tenter de le désactiver.

Conclusion

  • Internet avait déjà des problèmes il y a 25 ans, et c’est toujours le cas aujourd’hui.
  • L’IP spoofing reste un problème, et des règles de sécurité comme BCP38 ne sont toujours pas correctement appliquées.
  • Si vous recevez ce type de signalement d’abus, vous saurez désormais comment expliquer à votre hébergeur que votre serveur est en réalité la victime.

# Le résumé de GN⁺

  • Cet article traite d’un problème de sécurité lié à l’IP spoofing et explique son lien avec le réseau Tor.
  • Il souligne l’importance de la sécurité sur Internet et la nécessité d’appliquer BCP38.
  • Parmi les projets aux fonctionnalités similaires, on peut recommander divers outils de sécurité réseau.

À lire aussi

1 commentaires

 
GN⁺ 2024-10-30
Commentaire Hacker News

  • Le problème de l'usurpation d'IP est difficile à résoudre, car les acteurs malveillants et les utilisateurs innocents peuvent invoquer la même excuse

    • Internet a ce problème depuis 25 ans, et il n'est toujours pas résolu
    • Le problème des adresses IP usurpées existe encore en 2024, et la communauté Internet n'impose pas de règles de sécurité pour le résoudre

  • Des règles de pare-feu basiques ont été mises en place par le passé, mais des problèmes sont survenus à cause de paquets usurpés

    • Des paquets usurpés ont été reçus depuis une IP donnée, et les règles du pare-feu ont été ajustées pour régler le problème
    • Il est important d'exploiter plusieurs adresses IP, et si le FAI applique un filtrage basé sur la source, il faut changer de FAI

  • Si l'on trouve un opérateur de transit qui ne fait pas de filtrage BCP38, on peut envoyer des paquets avec l'IP source de son choix

    • L'origine de BCP38 remonte à 1998, mais il existe encore des fournisseurs réseau qui ne l'implémentent pas
    • Pour empêcher l'usurpation, il faudrait rejeter le trafic de tous les AS qui n'implémentent pas BCP38

  • La théorie de quelqu'un qui déteste les relais Tor semble sans valeur

    • Cela pourrait être une tentative de supprimer des relais légitimes tout en exploitant un relais malveillant

  • C'est un problème similaire au swatting, car il repose sur le fait que les autorités prennent des mesures graves sur la base d'une origine de problème non vérifiée

    • La différence est que la plainte passe par des parties non liées

  • Des réflecteurs DrDoS ont été scannés dans le passé, et des fournisseurs cloud ont reçu un grand volume de plaintes

    • Les serveurs qui envoient des paquets de scan usurpés ne sont pas détectés, et ils peuvent scanner Internet de manière répétée
    • Il est possible de remonter à la source des paquets usurpés, mais cela nécessite une coopération avec l'opérateur de transit

  • Le système ne devrait pas signaler automatiquement un abus pour un seul paquet, mais seulement s'il s'agit d'un volume de trafic au niveau d'un déni de service

    • Dans le cas de SSH, ce n'est pas une tentative de connexion valide tant que le handshake n'a pas eu lieu

  • L'usurpation d'IP est un problème similaire au swatting, au patent trolling et au fait de faire porter le chapeau à des innocents

    • Cela consiste à utiliser comme arme les mécanismes de protection contre les abus pour attaquer une cible que l'on n'aime pas
    • Les autorités peuvent devenir le maillon faible et être instrumentalisées par des acteurs malveillants

  • Si l'on détourne l'attaque pour envoyer des paquets à tout le monde, on peut submerger les fournisseurs d'e-mails d'abus au point que l'attaque cesse de fonctionner

    • Les honeypots peuvent ne pas envoyer d'e-mails d'abus, ou les fournisseurs peuvent les filtrer