all

Le 06 Mars 2008 à 10h19

une attaque DDOS c'est par cher et pas compliqué ! Même Winnie peut le faire

bile666

Le 06 Mars 2008 à 10h22

Une attaque individuelle n'est pas chère, mais quand il s'agit de plus de 50'000 machines qui combinent une attaque, ca rend déjà la chose plus complexe et réservée à qques groupes de pirates puissants et qui font ca pour de l'argent ;-)

6rill2000

Le 06 Mars 2008 à 10h53

C'est clair qu'une attaque comme ça c'est pas innocent...

laskov

Le 06 Mars 2008 à 11h28

On estime à quasi 45% du net le nombre d'ordinateur zombie qui peuvent faire des attaques de ce styles.
Je rappelle que nombre de virus et cheval de troie font ce genre de travail. Les majors peuvent très bien avoir mis la main sur un des nécromancien (nom que je donne au programme qui active les zombies)

L'attaque étant visiblement ciblé ça donne beaucoup de crédit au fait que ce sont les majors eux même qui ont lancé l'attaque. Je rapelle aussi qu'il à était prouvé avec les emails volé de je sais plus quel société qu'il y avait déjà eux des attaques DDOS à l'encontre des serveurs...

superadmin

Le 06 Mars 2008 à 12h41

salut.

A priori, il n'y a pas que les serveurs eDonkey qui sont visés.
un certain site traitant ouvertement le sujet p2p eDonkey, meme s'il ne fait rien d'illegal, s'est retrouvé sous le feux de synflood et autre tentative de hack ou de dos. cela, a priori, durant la meme periode précitée.

mais concernant la technique et la qualité de la prestataion undergroud supposée, c'est plutot minable.
chiant, mais minable quand meme ; ils ne sont meme pas foutu d'arriver a un resultat.

remarque, cela n'a peut etre rien a voir, hein ...
c'est juste un peu de ... synchronicité.

++

CoRpO

Le 06 Mars 2008 à 12h43

Ma liste de serveurs a aussi été attaquée du 25 au 26 février ... synflood, pingflood, wget en boucle ...

Kad Redal

Le 06 Mars 2008 à 13h05

Numerama aussi, mais a priori plutôt à partir du 27/02.

bile666

Le 06 Mars 2008 à 13h23

T'étais pas la priorité Kad

ddgun2000

Le 06 Mars 2008 à 13h28

Botnet on demand...

Même ça, cela se fait en ligne:

On choisit la cible, le nombre de bots -->



et, il suffit d'y mettre le prix -->



RBN (Russian Business Network) l'a bien compris; très, très lucratif !

Elisheva

Le 06 Mars 2008 à 13h43

A qui profites le crime? Vieux précepte qui trouve ici tout son sens...

Totoffe

Le 06 Mars 2008 à 13h55

Pas que je veuille me faire l'avocat du diable, mais faut pas accuser trop vite les majors : elles auraient tout à perdre dans cette histoire si elles se font pincer. Elles sont déjà montrées du doigt pour leur acharnement judiciaire et certaines méthodes "border-line", alors si en plus elles se font choper à faire du DDOS (illégal), aie aie aie. Faut pas oublier que derrière le DDOS, il y a souvent des PC zombies, donc des PC... piratés. Lutter contre le piratage en piratant des PC pour en faire des bots, je ne suis pas sur que les majors auraient envie de prendre cette ironie à la figure.

A mon avis, c'est juste des andouilles qui se sont constitués un petit réseau de zombies, et se font de la pub pour essayer de "vendre" du DDOS avec. Pas de meilleure pub que de casser du réseau P2P, visibilité garantie.

superadmin

Le 06 Mars 2008 à 14h18

c'est une théorie.
mais dans ce cas, ils ont démontrés leur incapacité a faire vraiment 'tomber' les choses !
perso, je penche plutot pour la théorie MD, qui a deja realisé ce genre de 'prestation' , par le passé ...
vu le resultat, cela conforte mon opinion : de vrais hackeurs seraient sans doute plus efficace.

++

J.Fox

Le 06 Mars 2008 à 14h36

il est grand temps qu'emule crypte et sécurise les données échangées, il faut sauver emule !

bile666

Le 06 Mars 2008 à 14h57

T'arrives en retour, le brouillage du protocole c'est exactement ce que tu dis : cryptage des échanges en 768 bits entre clients qui activent le brouillage et pareil client-serveur.

Cela ne réduit en rien le risque d'attaque malheureusement.

Il faut relativiser car comme l'a dit SueprAdmin au final cette attaque a été un échec quasi total.

Psyonichi

Le 06 Mars 2008 à 15h41

Emule est mort. Reste plus que bittorent maintenant et le streaming.

J.Fox

Le 06 Mars 2008 à 17h14

le brouillage de protocole permet d'éviter le blocage par les FAI. je "n'arrive pas du tout en retour"(cela dit lol pour le clin d'oeil par rapport au film ).

trit

Le 06 Mars 2008 à 17h35

Ce genre d'attaque ne pose pas de problème si elle ne dure pas.
A partir du moment ou ça dure un mois voir plus, ça peut commencer a devenir agaçant, bande passante saturée, serveur qui swap en permanence avec les risque que cela entraine, hd hors service etc etc...
Quoique avec les machines actuel...
Un test avant les grandes man½uvres ?

kraftonZ

Le 06 Mars 2008 à 18h43

Et Omemo,
et ants
et emscher
et rshare
et PerfectDark
et freenet
et Gnunet
et ........

bile666

Le 06 Mars 2008 à 19h03

MDR ca fait juste 3 ans qu'on se dit qu'eMule est mort ....

bouteilledeau

Le 06 Mars 2008 à 20h22

 

tout a fait emule est loin d'etre mouru car il y a des gens qui la quitte et des nouveaux qui l'adoptent..

Hybrid Son Of Oxayotl

Le 06 Mars 2008 à 22h53

C'est vrai qu'il manque un bon client pour le réseau eMule sous GNU/Linux, alors que pour BitTorrent on est plus que servi, mais bon, je doute que ça suffise à dire qu'eMule est mort :·D.

Breizh 29

Le 07 Mars 2008 à 08h36

Et aMule ? Tu l'oublies ?

Totoffe

Le 07 Mars 2008 à 09h41

Ce qui ne servira à rien ici : l'attaque noie les serveurs sous les requêtes, donc qu'elles soient cryptées ou non n'y changerait rien. Il est très difficile de prévenir une attaque DDOS.

http://fr.wikipedia.org/wiki/Déni_de_service

laskov

Le 07 Mars 2008 à 11h41

La seule chose à faire c'est de couper le serveur et d'attendre que ça passe...

bile666

Le 07 Mars 2008 à 11h46

Pk couper quand ca tient pas trop mal

Hybrid Son Of Oxayotl

Le 07 Mars 2008 à 17h18

Malheureusement non. J'ai dit bon client :·D. Pas truc qui plante tout le temps :·D.

Breizh 29

Le 07 Mars 2008 à 17h57

Ben aMule est aussi stable qu' eMule , il n'y a aucune différences chez moi et ce à plus de 1000 connexions/secondes. C'est plutôt la LiveBox qui m'éppate en tenant çà.

L-observateur

Le 07 Mars 2008 à 18h07

1 mn de zen attitude pour les plus anxieux:





moins il y aura des utilisateurs d'eMule, moins il y aura de lowId

Kemper

Le 07 Mars 2008 à 19h54

C'est tout de suite plus simple quant on sait de quoi on parle, comme Bile. Ceux qui ont voulu mettre les serveurs Razorback à genoux peuvent avoir plusieurs raisons. Et peut-être (attention hypothèse) que le but n'était pas de faire tomber définitivement les serveurs au vu des résultats, mais d'envoyer un avertissement, d'où l'impression d'échec de ces tentatives. Comme pour les cb, y a des "bourses" où des possesseurs de botnets préférent louer (plus rentable pour eux) leurs réseaux. C'est vrai que par réflexe, on pense tout de suite aux majors ou à des organisations proches, vu les cibles. Bien sûr, une organisation légale ne va pas demander explicitement d'user de tous les moyens. Je pense qu'elle va contacter un prestataire en lui demandant en termes généraux de lutter contre le P2P illégal et basta. Le prestataire lui-même peut déléguer and so on. Louer un botnet coûte de l'argent, alors à part la piste logique des majors, peut-être quelqu'un ou un groupe qui veut se faire de la pub? Genre une démo en live de ce qu'on sait faire, et par ici la monnaie.

ddgun2000

Le 08 Mars 2008 à 07h51

Pour 185,000$ il te reste toujours la possibilité de faire l'acquisition d'un produit comme BPS-1000 qui dans sa version 1.2 permet de "tester" les réseaux/serveurs comme BitTorrent et eDonkey.

Que dire de plus:

- Que le "BreakingPoint's director of security research" n'est autre que HD Moore
- Que le CTO, Denis Cox souligne: "They can pick a [vendor] who doesn’t have our product and beat him up because he missed all the attacks"
- Que BPS-1000 vers 1.2 supporte IPv6, SSL, RADIUS, Common Internet File System (CIFS) (et d'autres App/protocoles...)
- Que BPS-1000 peut traiter plus de 280 gigabits de trafic (entre autre...)
- Que pour en savoir plus, ou pour vider ses poches, c'est par ici

superadmin

Le 08 Mars 2008 à 08h45

je vois pas trop le rapport avec les ddos concernant les serveurs edonkey sur internet ... ?
il n'y a pas besoin d'une suite telque celle la pour organiser un DDOS et concernant les dserver, n'oublions pas que ceux ci sont taillés pour traiter plusieurs milliers de requetes tcp, mais surtout udp, a la minute, et que ce genre de ddos (on le constate d'ailleur quant aux resultats) n'a que peu de chance de pertuber efficacement le reseau.


cependant, j'aimerais bien insister sur le fait qu'effectuer un DDOS sur un serveur edonkey, ou un site web, c'est parfaitement illicite et réprehensible. et meme pour un prestataire de l'industrie musicale américaine.

ddgun2000

Le 08 Mars 2008 à 09h26

C'est quand même incroyable...

Ce ddos, malgré ce que tu aimerais croire, a été une réussite, ça a fait chuter le serveur et là était le but (comme tous ddos qui se respectent).

Qu'importe l'instigateur ou les moyens mis en ½uvre, le fait est là: un serveur edonkey, malgré sa capacité à traiter des milliers voir des millions de requetes, est et reste vulnérable dans l'état.

Quand au fil de la discussion, en sachant l'évidence, normal qu'il s'oriente sur les possibilités, que cela soit pour protéger ou attaquer, d'outrepasser/intenter ce type d'attaque.

superadmin

Le 08 Mars 2008 à 09h41

ah bon ... ? j'ai pas vu les memes choses que toi.
c'est pas faute de suivre l'histoire ...

des serveurs qui tombent, il y en a tout les jours et les autres sont toujours la pour assurer la transition.
et c'est exactement ce qui s'est produit.

et meme sans serveurs du tout, KAD permet de conserver une structure minimale au reseau, le temps de voir réapparaitre des serveurs fonctionnels.

Il ne faut pas voir le reseau eDonkey juste au travers du/des serveur(s) razorback, mais dans sa globalité et le resultat de ce DDOS sur le reseau eDonkey a été completement invisible, en tout cas pour la plupart des utilisateurs. et si une news n'etait pas appartu e sur le sujet, je pense que la plupart des utilisateurs edonkey ne se serait rendu compte de rien ...

comme resultat, on fait mieux.

ddgun2000

Le 08 Mars 2008 à 10h47

Waouaw...

On recommence pour superadmin

Le titre:
des serveurs eDonkey victimes d'attaques DDOS

Le "des" est là pour pointer "en particulier", sinon on aurait mis "les" qui auraient été plus général ou plus global.
De ce fait, en suivant, on introduit "le particulier", qui est en l'occurrence: Les "serveurs "Razorback 3.x"

Depuis deux mois, les serveurs basés aux Pays-Bas auraient été l'objet à plusieurs repreprises d'attaques DDOS

Je ne m'arrêterais pas sur le "repreprises", tous le monde a bien compris que c'est "reprise", ce qui ne devrait pas justifier une mauvaise interprétation, enfin, je pense. Il s'agit bien donc, d'une attaque sur les serveurs Razorback et non sur le réseau edonkey.

Depuis deux mois, les serveurs basés aux Pays-Bas auraient été l'objet à plusieurs repreprises d'attaques DDOS, dont le principe est de noyer les serveurs sous un nombre insupportable de connexions et de requêtes.

L'introduction à l'exploit est bien abordé, brièvement certes mais bien abordé, il s'agit bien d'un ddos.

Le but de l'attaque a été atteint, puisque pendant la durée de l'attaque, le serveur n'était pas joignable.

"Pas joignable" laisse bien supposer que cela ne peut être lié qu'au ddos, et bien sur tous le monde l'a bien compris, on en déduit très facilement --> "serveur down".

Si on résume:

cible-->moyen-->finalité = Razorback-->ddos-->down

L'extrapolation à l'ensemble du réseau ed2k est certainement rassurante pour toi, pour des raisons que j'ignore et qui en fait ne m'intéresse pas outre mesure et je m'en excuse, mais on aurait put tout aussi bien me dire "il ne s'est rien passé, j'ai put surfer sur la toile ce jour là" que le résultat aurait été le même.

Cette attaque "ciblé" (note bien que le ciblé je ne le met ni en gras, ni en gros pour ne pas être insultant) a été un succès

bile666

Le 08 Mars 2008 à 11h25

C'est l'article de Kad, voir sa source, qui comportait une erreur. En fait les serveurs n'ont pas cédé, ils ont été injoignable pour de nouvelles connections, mais ceux qui étaient n'ont subi que des ralentissement de qq secondes.

Le serveur n'a ni planté, ni rebooté d'où la position de superadmin et de moi-même pour dire que l'attaque n'avait pas atteint son but.

Des attaques DDOS on lest avait déjà sur notre razorback2.0 en 2005, ce n'est pas nouveau tout ca .

ddgun2000

Le 08 Mars 2008 à 11h31

Voila qui a le mérite d'être clair, donc, autant pour moi...

bile666

Le 08 Mars 2008 à 11h39

Pas de soucis, tu ne pouvais pas le deviner.

A plus

trit

Le 08 Mars 2008 à 13h53

Anciens utilisateur d'amule, je tape maintenant en console un cd /emule puis un wine emule.exe
A part de minuscule probs d'interface, ça tourne nikel.
En tout cas avec kad, car cela fait un bon momment déja que je ne me connecte plus sur aucuns serveurs (non testé donc)...
wine 0.9.57...

Breizh 29

Le 08 Mars 2008 à 14h34

Comme dit Bile666, ces attaques ne sont pas nouvelles. Mon serveur aussi subissais des attaques, comme les autres FR d'ailleur. Cà ne l'a jamais empêché de fonctionner.

bile666

Le 08 Mars 2008 à 18h04

Bon maintenant on peut dire que ca fonctionne... une nouvelle attaque est en cours et certains serveurs lachent en ce moment. Perso, je ping plus raz3.0.

Breizh 29

Le 08 Mars 2008 à 18h05

Oui j'ai remarqué

superadmin

Le 08 Mars 2008 à 19h48

4 ou 5 des plus gros serveurs sont inaccessibles, dont saugstube, certain des razors, et les emule-serverlist.
cetrte fois ci, les resultats me paraissent plus probants.

ils ont du y mettre plus de moyens ...
mais les autres serveurs, encore fonctionels, sont la pour palier a ce probleme temporaire.

pendant les travaux, le spectacle continu ...

-je doute qu'ils puissent realiser ce type de ddos sur tout les serveurs a la fois.
-je doute qu'ils puissent continuer ce type de fantaisie très très longtemps.
-les resultats concrets sont quasi nuls, mis a part pour l'audience des razorbacks.
-j'espere une réaction de la part de certains petits etres numériques et facetieux.

wait & see.

bile666

Le 08 Mars 2008 à 20h02

Pour moi c'est complètement stupide et faut avouer que les fakes serveurs US sauvent encore une fois le réseau. Sans ces derniers, les mules harcelleraient les derniers bons serveurs et le réseau tiendrait encore moins

MadlyMad

Le 08 Mars 2008 à 20h34

@ bile : ca c'est clair et net, que les nombreux fake serveurs aident considérablement à amortir la charge
en meme temps il y a forcément un problème quelque part :
- soit Beaucoup de ces serveurs fakes n'appartiennent pas aux réseaux des RIAA, MPAA et compagnie...
- soit ce n'est pas une attaque DDoS orchestrée par eux...
- soit ils sont vraiment très cons et ne pensent pas à couper leurs serveurs fake avant de lancer l'attaque

dans tous les cas, c'est bizarre =)

Neuro

Le 08 Mars 2008 à 20h36

Ou plutôt re-diriger les utilisateurs sur leurs serveurs...

Hybrid Son Of Oxayotl

Le 08 Mars 2008 à 23h49

Personnellement, j'ai essayé d'installer aMule sur un mac, ça ne marchait pas, sur une Debian, ça ne marchait pas mais l'ordi avait de la mémoire défectueuse donc c'est excusable, et sur ma Gusty actuelle, ça ne marche pas :·D.


(Je viens de retester, en fait aujourd'hui il accepte de marche. Chouette :·D.

kraftonZ

Le 09 Mars 2008 à 00h00

Humour:

on tente un DDos contre "Kad" alias Kadmelia d'emule ?

kraftonZ

Le 09 Mars 2008 à 00h18

il faut dire aussi que certains se servent d'emule comme cela:



lisez les tutos avant de rouspéter !

superadmin

Le 09 Mars 2008 à 08h01

ce matin, cela va mieux, on dirait.



cela permet effectivement de rabattre les utilisateurs sur du fakes.

mais meme sans effectuer ce ddos et comme evoqué plus avant :
pour pertuber efficacement eDonkey, ils leur suffit de couper leurs serveurs fakes.

ddgun2000

Le 09 Mars 2008 à 09h25

A se demander si le réseau n'est pas la victime d'une "spam war" ..?

Voilà ce qui m'interpelle et qui me laisserait aller à quelques spéculations: Ce petit papier sur le fameux "Storm War" qui en décrit bien le fonctionnement et la diffusion via ed2k et overnet, entre autre.

Je vous passe le côté technique pour m'arrêter sur ce point:



5511238154BD00 = 0x55.0x11.0x23.0x81:0x54BD ou 85.17.35.129:21693

85.17.35.129 ----> ça, ça me parle...

superadmin

Le 09 Mars 2008 à 10h05

cela te parle de quoi ?
mis a part que c'est une ip située sur la meme infra que certain serveur, bon ou mauvais, ou que certain clients p2p balourds et diffuseurs de fakes, powerés par tmg ?


Interesting ports on space.nebaut.net (85.17.35.129):
PORT STATE SERVICE
21693/tcp open unknown


bref, une ip reliée a un domaine dont le proprio est tralala tralali et enreigstré au canada.
a priori, en activité. :-) .. et dont voici un aperçu

client linux, avec amule, distribuant du (a priori) contrefait de maniere massive.

[Processing received data...]
[>] Protocol: eDonkey
[->] User Hash: a007e6dcdf0e8c42c31a1fd004...fe5
[->] User Id: 85.17.xx.129
[->] User Id (hex): xx112381
[-->] User Name: enterprise
[-->] User Client Program: aMule
[-->] Client Program Version: 2.8.1.0 (2.8b)
[->] User Server Ip: 0.0.0.0
[->] User Server Port: 0
[->] User Server Country Is: (null)
[->] User File Shared: 9
[----]
| [1] Hash: xxx59e4a80b7445729736f86ea14e1e8
| [->] Name: The.Wire.1x02.El.caso.[XviD.Dual.spanish-english][DVD.SAT.by.dsigual.&.Tsubasa][TusSeries.com].avi
| [-->]Size: 643(Mb) 224(Kb)
| [->] Format: avi
[----]
| [2] Hash: xxxc6367ee60648a94126f62d52a079a
| [->] Name: The.Wire.1x01.El.objetivo.[XviD.Dual.spanish-english][DVD.SAT.by.dsigual.&.Tsubasa][TusSeries.com].avi
| [-->]Size: 642(Mb) 104(Kb)
| [->] Format: avi
[----]
| [3] Hash: xxxec2279ed285a3fe695d13f6ee9a6c
| [->] Name: Knight.Rider.2008.Pilot.HDTV.XviD-LOL.srt
| [-->]Size: 72(Kb) 942(byte)
[----]
| [4] Hash: xxx7c6f3d3aec9062ed52b75f88e022d
| [->] Name: The.Wire.1x03.Las.compras.[XviD.Dual.spanish-english][DVD.SAT.by.dsigual.&.Tsubasa][TusSeries.com].avi
| [-->]Size: 641(Mb) 912(Kb)
| [->] Format: avi
[----]
| [5] Hash: xxxcdeb616584eaff5250ad178c1191
| [->] Name: Redacted.(Spanish.English).(DVD-Rip).(XviD-AC3-mp3).(by.Marina).(BlueTeam.y.PortalSEDG).avi
| [-->]Size: 1(Gb) 97(Mb)
| [->] Format: avi
[----]
| [6] Hash: xxx23a7fc7c82faa99481f01169a753d
| [->] Name: Redacted.(Subtítulos).(by.Marina).(BlueTeam.y.PortalSEDG).rar
| [-->]Size: 37(Kb) 604(byte)
| [->] Format: rar[Connection Info]
[----]
| [7] Hash: xxxe694790a2cbef24f7985cd82275af
| [->] Name: Tiger.Team_SE01.02_HD_XviD.avi
| [-->]Size: 340(Mb) 196(Kb)
| [->] Format: avi
[----]
| [8] Hash: xxx51fbd0572e88802ac62dab2da41ed
| [->] Name: Tiger.Team_SE01.01_HD_XviD.avi
| [-->]Size: 329(Mb) 642(Kb)
| [->] Format: avi
[----]
| [9] Hash: xxx245845a6383c3077351915c54c178
| [->] Name: Knight.Rider.2008.Pilot.HDTV.XviD-LOL.avi
| [-->]Size: 699(Mb) 824(Kb)
| [->] Format: avi
[----]
[->]Total File Shared Size: 4(Gb) 322(Mb) 55(Kb) 314(byte)
[Processing received data... done]


A moins que cela soit du fake.
qq pour tester ?

vous fatigués pas, les gars : c'est du contrefait

ce qui semble ecarter la these de l'espion des majors ... ? quoi que ;
'ils' sont bien obligé de participer aux echanges de contrefaçons, s'ils souhaitent savoir ce qui se passe a ce niveau la ...

++

ddgun2000

Le 09 Mars 2008 à 10h51

D'autant plus que le "Leaseweb" en question a déja eu des problèmes, l'année passé avec BREIN et les trakers torrent ce qui avait conduit à la fermeture d'un paquet de serveur.

tomy13

Le 10 Mars 2008 à 11h07

Ouais, alors pour résumer, c’est comme si on écrivait : l’autoroute A10 est bouchonnée, et le trafic routier de la France entière en pâtie, et les autoroutes c’est mort et fini. Pas vraiment crédible n’est-ce pas ?