Bonjour,
Mon VPS vient d'être la cible d'une attaque 'DoS' pendant près de 20 minutes et je tiens à remercier OVH car leur système de mitigation a parfaitement fonctionné.
Mais ce qui m'étonne c'est que mon VPS est configuré pour un usage personnel avec comme unique service pour l'instant un serveur de mail.
Donc pourquoi une IP du réseaux Linode viendrait perdre son temps en 'DoS' vers mon VPS ?
Serveurs Privés Virtuels (VPS) - Mon VPS ciblé par une attaque DoS
Related questions
- Perte de mot de passe
48540 
26.05.2023 13:36
- Comment configurer/utiliser un SMTP depuis un VPS ?
47188 07.10.2019 10:49
- Je connais que le mutu et besoin de node js
46741 14.04.2017 13:34
- Qu'est-ce vcore?
45727 06.01.2017 19:20
- Envoi Email via SMTP (port 587) sur VPS Pro1
44777 27.01.2017 10:02
- [résolu] Serveur Mysql - hôte inconnu
42377 19.01.2017 16:21
- Mon VPS à Timed Out
42085 15.03.2017 22:50
- Délai de livraison VPS
41827 11.07.2018 15:15
- Problème avec statisitique Plesk
39251 29.03.2017 07:44
- Accès externe base de données
38754 18.07.2018 10:29
Bonjour,
A mon avis, il ne faut pas chercher. Toutes les IP sont attaquées.
Peut-on savoir sur quel port ou protocole cette attaque a-t-elle eu lieu, ou bien si c'est au niveau couche réseau comme SYN attack ?
Bloqué par mon firewall (PF) tous les ports sont concernés :
20:04:19.732921 rule 0/0(match): block in on vtnet0: 198.58.125.16.59480 > XXX.XXX.XXX.XXX.3: Flags [S], seq 3086207163, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:19.733055 rule 0/0(match): block in on vtnet0: 198.58.125.16.51098 > XXX.XXX.XXX.XXX.6: Flags [S], seq 2720220761, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:19.733209 rule 0/0(match): block in on vtnet0: 198.58.125.16.57616 > XXX.XXX.XXX.XXX.12: Flags [S], seq 3006071332, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:19.733222 rule 0/0(match): block in on vtnet0: 198.58.125.16.54874 > XXX.XXX.XXX.XXX.4: Flags [S], seq 194929309, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:19.733264 rule 0/0(match): block in on vtnet0: 198.58.125.16.47524 > XXX.XXX.XXX.XXX.8: Flags [S], seq 3560217671, win 64240, options [mss 1460,sackOK,TS[|tcp]>
...
20:04:23.481733 rule 0/0(match): block in on vtnet0: 198.58.125.16.43750 > XXX.XXX.XXX.XXX.65308: Flags [S], seq 3168368204, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:23.481755 rule 0/0(match): block in on vtnet0: 198.58.125.16.36976 > XXX.XXX.XXX.XXX.65304: Flags [S], seq 994274089, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:23.481777 rule 0/0(match): block in on vtnet0: 198.58.125.16.39978 > XXX.XXX.XXX.XXX.65193: Flags [S], seq 2436301025, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:23.481798 rule 0/0(match): block in on vtnet0: 198.58.125.16.56378 > XXX.XXX.XXX.XXX.65300: Flags [S], seq 1762640155, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:23.481818 rule 0/0(match): block in on vtnet0: 198.58.125.16.45934 > XXX.XXX.XXX.XXX.65273: Flags [S], seq 741421543, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:23.481883 rule 0/0(match): block in on vtnet0: 198.58.125.16.35588 > XXX.XXX.XXX.XXX.65213: Flags [S], seq 3145000323, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:23.481898 rule 0/0(match): block in on vtnet0: 198.58.125.16.33276 > XXX.XXX.XXX.XXX.65214: Flags [S], seq 3230513639, win 64240, options [mss 1460,sackOK,TS[|tcp]>
20:04:23.481947 rule 0/0(match): block in on vtnet0: 198.58.125.16.51112 > XXX.XXX.XXX.XXX.65186: Flags [S], seq 3303064305, win 64240, options [mss 1460,sackOK,TS[|tcp]>
C'est juste un port scan, c'est le bruit de fond magique d'internet.
DOS c'est plus grave: dans ton cas il n'y a pas eu de "denial of service"
Mail de support@ovh.com à 20h04 :
Madame, Monsieur,
Nous venons de détecter une attaque sur l'adresse IP XXX.XXX.XXX.XXX.
Afin de protéger votre infrastructure, nous avons aspiré votre
traffic sur notre infrastructure de mitigation.
Toute l'attaque sera ainsi filtrée par notre infrastructure, et seul
le traffic légitime arrivera jusqu'à vos serveurs.
A la fin de l'attaque, votre infrastructure sera immédiatement retirée de la mitigation.
==> Mail de fin de l'attaque reçu à 20h19.
Et la même IP vient de recommencer à 13h01 pendant 15min.
Reçu nouveau mail de la part d'OVH.
Faut pas s'inquiéter, c'est la magie du web...