Lisez cet article (c'est de l'anglais) du webmaster d'un site sur la sécurité...
 
http://grc.com/dos/grcdos.htm
 
c impressionnant :  
Résumé pour ceux qui pigent pas l'anglais :  
Le site grc a été massivement floodé avec des paquet ICMP de type ping, paquet spécifiés de taille large, de manière à ce qu'ils fragmentent...son ISP lui a donc coupé temporairement la ligne (DoS : denial of service)...une fois qu'il l'a remise sur pied, il a eu l'idée de chercher le gars qui était à l'origine de ça, un certain Wicked qui prétend avoir 13 ans...le type a alors découvert que l'attaque a été faites pas plus de 450 pc (il l'a trouvé dans les logs du firewall)...en cherchant, il s'est rendu compte que les pc étaient infectés par un troyan nommé Sub7server, lequel permet un controle total du pc lorsqu'il est online (évidemment)...il a aussi découvert que ces troyan se mettaient en fait à l'écoute d'un "master" sur un channel irc. Le troyan en lui même semble indétectable, car il est assez bien camouflé, pour le griller, il faut monitorer si des connections sortent vers le port utilisé par irc...
- le gars décide donc de se servir d'un pc cobaye, sur lequel il install un troyan modifié, qui loggue et intercepte la vie du server...il finit par découvrir un responsable (c pas le responsable de l'attaque, c un des créateur du troyan)...
Comme bilan, le mec montre que le troyan, en ce qui concerne le MASS DoS, a 3 fonctions : il peut faire un ping of death, ou un Syn flood, ou qu'il peut encore signaler que le pc est "pret" à attaquer...
 
pour finir, il teste 2 firewall windows pour voir si ils permettent de se prémunir de l'infection, et :  
-zonealarm détecte les paquets sortant, et donc permet de prouver la contamination
-blackIce ne voit rien...
 
voilà, g coupé la phase où il parle de l'enquete chez l'ISP et le FIB, en gros, personne veut/peut rien faire contre un mome de 13 ans qui fait moins de 5000$ de dommages...

Mais le site n'étais pas protégé ?
Et le gamin, il a eu quoi ?

ben si, routeur cisco...mais l'admin de l'ISP et le webmaster du site (qui a l'air d'etre une bete en sécu et prog) ont trouvé une faille dans le sys de filtrage des routeurs...ils l'ont patché, et ca marche now, mais c pas terrible, vu qu'il n'y a plus d'UDP, et plus d'ICMP type ping (je sais plus le n° )...
 
-->le gamin a pas été découvert précisément (l'ISP a pas voulu donner ses coordonnées au type, et le FIB a dit que vu que presque aucun dégats n'ont été commis (en tout cas <5000$, le FIB pouvait pas poursuivre, c la loi, et en plus, ils ont des grosses firmes qui leur pompe tous leurs agents pour des dégats <200000$, donc le site, ils s'en branlent...ils ont promis de demander ses coordonnées, et d'envoyer 2 agents chez ses parents...
 
le gars explique d'ailleurs que la protection marche parce que c coordonné à partir de machine windows, lesquels peuvent pas spoofer leur ip, c donc facilement bloquable...

petite info issue d'une newsgroup...
 
 

mouhais...c possible après tout, mais bon, le gars il apporte quoi comme preuve ?
 
c facile de dire : lui c une merde, je sais tout mieux que lui...
 
sinon j'aime bien le "snakeoil salesman who barely understands how many vowels are in  
the word "internet". "
 
très gentil

[edit]--Message édité par Jubijub--[/edit]

[citation][nom]Jubijub a écrit[/nom]
pour finir, il teste 2 firewall windows pour voir si ils permettent de se prémunir de l'infection, et :  
-zonealarm détecte les paquets sortant, et donc permet de prouver la contamination
-blackIce ne voit rien...
 
 
C' est normal Black Ice ne s' occupe que des paquets rentrant  
Il est con le mec du site d' utliser ca  
Il devrais le connaitre le firewall

Et quoi, qu'est ce qu'il y a d'extraordinaire dans cette histoire? une utilisation d'un troyen? un ISP mal configuré?

jubijub->je ne sais pas, j'essaye d'en savoir plus.
Mais apparement le mec de GRC est quand même un peu myopathe

c clair qu'il est connu que la plupart des firewall perso ne gère pas le traffic extérieur...