Pour plus d'informations n° indigo (0,118 €/min) 08 203 203 63
À propos
Index des annonces
Les scans sur le réseau
Bonjour,
Sur le réseau, on peut détecter jusqu'à 60 scans toutes les 5 minutes.
Les scans sont effectués par des serveurs ou des PC hackés à la recherche de nouvelles victimes. Ces PC scannent tout et n'importe quoi dans tous les sens. Notre réseau est aussi scanné. Parfois les serveurs chez Ovh sont utilisés pour scanner.
Il y a 3 ans, nous avons mis en place les détections des scans fait par les serveurs hébergés chez Ovh. C'est à dire que quand un serveur hébergés chez Ovh a été utilisé pour scanner, nous avons pu le détecter et arrêté le scan/serveur.
Nous avons 2 systèmes de détections. D'un côté, nous avons placés des sondes (des faux serveurs) qui écoutent le réseau. Le trafic vers les sondes est par définition nulle. Et donc si quelqu'un lance une connexion vers la sonde, par définition c'est un scan. De l'autre côté, les routeurs envoient les logs de trafic de notre réseau (en permanence) sur des serveurs qui les analysent (toutes les 5 minutes). C'est à dire l'ensemble des paquets qui passent par notre réseau sont loggés (!!) puis analyser toutes les 5 minutes (!!!). Ceci représente beaucoup de données. Plusieurs serveurs travaillent sur cette tache. Nous avons développé les scripts qui permettent de détecter les comportements suspects comme le scan, les attaques, le spoof, et tous les types d'abus puis notre système d'alerte permet aux administrateur réseau d'être au courant de ces problèmes. Puis ils interviennent.
En 3 ans, le problème est devenu plus large. Nous avons dû améliorer ces 2 systèmes. Car en dehors de sécurité sur notre propre réseau, nous avons dû mettre en place la détection de scans provenant de l'extérieur. Ceci a été fait il y a 3 mois environ. Le scan est bloqué automatiquement pendant 6 heures. Puis si ça recommence, à nouveau il est bloqué. Grâce à ces protections, notre réseau est nettement plus sûr que dans le passé, puisqu'il s'auto protége contre les scans de l'extérieur.
Depuis 1 semaine, nous avons mis en place un système plus large qui sait analyser l'ensemble des scans sur tous les ports. C'est à dire que si une IP sur Internet scanne en même temps différents ports un peu à la fois, on le retrouve maintenant, alors qu'avant le seuil de déclenchement ne le permettait pas. Nous sommes passées de 60-80 blocages à 290-350 en même temps.
Concernant notre réseau il est "propre" depuis 2 semaines. Les détections de scans sur le port SSH, FTP, WEB, POP3 fonctionnent parfaitement bien. Avec l'amélioration du système, depuis 1 semaine nous avons beaucoup plus d'informations. Grâce à ces détections de scans, nous avons fermés l'ensemble des serveurs de hackeurs qui ont commandés les serveurs depuis 1-3 mois (et qui ont généré des impayées énormes chez Ovh). Exemple: depuis 3 jours, nous avons fermés 64 serveurs commandés depuis 1-3 mois par ces hackeurs. Le dernier scan enregistré a été fait ce matin à 4h34. On pense qu'il y a encore une dizaine de serveurs à fermer.
Aussi, nous avons encore les derniers 30 serveurs qui scannent le réseau. Il s'agit de vieux clients qui ont des serveurs depuis plusieurs mois/années. On est en train de regarder cas par cas tranquillement avec eux.
On pense que notre réseau sera "TRÈS propre" dans environ 1 semaine. S'il y a un concours de propreté du réseau, je postule avec Ovh :)
Avec la détection des scans améliorée, nous avons pu détecter les serveurs qui ont été hackés et envoient du spam. D'un coup le serveur se connecte sur énormément de ports SMTP et on le voit. On est en train de voir cas par cas si cela génère des faux positives. Mais cette détection nous permettra de bloquer tous les serveurs utilisés pour spammer 5 minutes après le début du spam et donc avant que le mal soit fait.
Il faudra prouver logs à l'appui que notre réseau n'est pas propre ...
Amicalement
Octave
Sur le réseau, on peut détecter jusqu'à 60 scans toutes les 5 minutes.
Les scans sont effectués par des serveurs ou des PC hackés à la recherche de nouvelles victimes. Ces PC scannent tout et n'importe quoi dans tous les sens. Notre réseau est aussi scanné. Parfois les serveurs chez Ovh sont utilisés pour scanner.
Il y a 3 ans, nous avons mis en place les détections des scans fait par les serveurs hébergés chez Ovh. C'est à dire que quand un serveur hébergés chez Ovh a été utilisé pour scanner, nous avons pu le détecter et arrêté le scan/serveur.
Nous avons 2 systèmes de détections. D'un côté, nous avons placés des sondes (des faux serveurs) qui écoutent le réseau. Le trafic vers les sondes est par définition nulle. Et donc si quelqu'un lance une connexion vers la sonde, par définition c'est un scan. De l'autre côté, les routeurs envoient les logs de trafic de notre réseau (en permanence) sur des serveurs qui les analysent (toutes les 5 minutes). C'est à dire l'ensemble des paquets qui passent par notre réseau sont loggés (!!) puis analyser toutes les 5 minutes (!!!). Ceci représente beaucoup de données. Plusieurs serveurs travaillent sur cette tache. Nous avons développé les scripts qui permettent de détecter les comportements suspects comme le scan, les attaques, le spoof, et tous les types d'abus puis notre système d'alerte permet aux administrateur réseau d'être au courant de ces problèmes. Puis ils interviennent.
En 3 ans, le problème est devenu plus large. Nous avons dû améliorer ces 2 systèmes. Car en dehors de sécurité sur notre propre réseau, nous avons dû mettre en place la détection de scans provenant de l'extérieur. Ceci a été fait il y a 3 mois environ. Le scan est bloqué automatiquement pendant 6 heures. Puis si ça recommence, à nouveau il est bloqué. Grâce à ces protections, notre réseau est nettement plus sûr que dans le passé, puisqu'il s'auto protége contre les scans de l'extérieur.
Depuis 1 semaine, nous avons mis en place un système plus large qui sait analyser l'ensemble des scans sur tous les ports. C'est à dire que si une IP sur Internet scanne en même temps différents ports un peu à la fois, on le retrouve maintenant, alors qu'avant le seuil de déclenchement ne le permettait pas. Nous sommes passées de 60-80 blocages à 290-350 en même temps.
Concernant notre réseau il est "propre" depuis 2 semaines. Les détections de scans sur le port SSH, FTP, WEB, POP3 fonctionnent parfaitement bien. Avec l'amélioration du système, depuis 1 semaine nous avons beaucoup plus d'informations. Grâce à ces détections de scans, nous avons fermés l'ensemble des serveurs de hackeurs qui ont commandés les serveurs depuis 1-3 mois (et qui ont généré des impayées énormes chez Ovh). Exemple: depuis 3 jours, nous avons fermés 64 serveurs commandés depuis 1-3 mois par ces hackeurs. Le dernier scan enregistré a été fait ce matin à 4h34. On pense qu'il y a encore une dizaine de serveurs à fermer.
Aussi, nous avons encore les derniers 30 serveurs qui scannent le réseau. Il s'agit de vieux clients qui ont des serveurs depuis plusieurs mois/années. On est en train de regarder cas par cas tranquillement avec eux.
On pense que notre réseau sera "TRÈS propre" dans environ 1 semaine. S'il y a un concours de propreté du réseau, je postule avec Ovh :)
Avec la détection des scans améliorée, nous avons pu détecter les serveurs qui ont été hackés et envoient du spam. D'un coup le serveur se connecte sur énormément de ports SMTP et on le voit. On est en train de voir cas par cas si cela génère des faux positives. Mais cette détection nous permettra de bloquer tous les serveurs utilisés pour spammer 5 minutes après le début du spam et donc avant que le mal soit fait.
Il faudra prouver logs à l'appui que notre réseau n'est pas propre ...
Amicalement
Octave