Dyn : une attaque DDoS perturbe l'accès à des sites importants, surtout aux États-Unis

Dyn : une attaque DDoS perturbe l’accès à des sites importants, surtout aux États-Unis

Le petit DDoS du vendredi

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

21/10/2016 3 minutes
131

Dyn : une attaque DDoS perturbe l'accès à des sites importants, surtout aux États-Unis

Pendant quelques heures aujourd'hui, des internautes américains ont subi une importante latence ou des problèmes d'accès à quelques dizaines de sites importants, dont GitHub, Paypal et Twitter. Le problème serait dû à un déni de service distribué contre Dyn, la société qui gère la zone DNS de ces services.

Un service DNS manque et tout est dépeuplé. Depuis ce midi, une partie des internautes américains, principalement à l'Est des États-Unis, ont eu de grandes difficultés à se connecter à plusieurs des services les plus utilisés du Net. Selon les remontées de lecteurs de Gizmodo, qui clame que « la moitié de l'Internet est cassé (sic) », une trentaine de sites importants ont été concernés par le problème, dont GitHub, Paypal, Reddit, Spotify ou encore Twitter. Amazon Web Services, le principal fournisseur de cloud public mondial, aurait également été touché à l'Est des États-Unis.

Un problème principalement localisé outre-Atlantique

Ces problèmes, qui peuvent sembler déconnectés, viendraient pourtant d'une même source. Le fournisseur de service DNS Dyn, très utilisé outre-Atlantique, dit avoir subi aujourd'hui une attaque par déni de service distribué (DDoS), qui a limité l'accès de nombreux utilisateurs aux sites qui dépendent de lui. L'intérêt principal du service est de connecter rapidement un utilisateur, fournir une protection contre d'éventuelles attaques et des données générales sur les performances. Il s'est révélé aujourd'hui être un point de défaillance important pour certaines entreprises, au moins pour leur activité américaine.

Sur son « outage map », l'opérateur de transit Level3 indique également de nombreux problèmes dans cette zone, et dans plusieurs pays européens... Même s'il n'est pas dit que tous les soucis détectés soient liés à cet incident. Des utilisateurs français déclarent avoir eu des difficultés à se connecter à certains services, même si cela semble limité. De son côté, Dyn affirme dans son rapport d'incident que « le trafic DNS résolu depuis les serveurs de noms sur la côte Est subissent une dégradation de service ou des interruptions intermittentes ».

Deux heures d'attaque du côté de Dyn

Dans les faits, Dyn n'était plus en mesure de rediriger rapidement les internautes vers un site à partir d'un nom de domaine, ce qui est pourtant son travail. « Dès 11h10 UTC le 21 octobre 2016 [à 13h30 en France], nous avons commencé à surveiller et contrer une attaque DDoS contre notre infrastructure de DNS hébergé » explique encore l'entreprise. Elle indique que la situation est revenue à la normale de son côté à 15h30, heure française, même si tout ne semble pas encore rétabli côté internautes.

Comme le note justement le spécialiste Stéphane Bortzmeyer, d'autres entreprises ont été plus prudentes que ces mastodontes. Par exemple, Pornhub dépend de deux fournisseurs de service DNS, et non d'un seul. L'incident pose donc encore la question de la centralisation d'applications aussi essentielles, la redondance n'étant de toute évidence pas la priorité sur le sujet. Hier, nous discutions d'ailleurs longuement avec Bortzmeyer du système DNS et des nombreux soucis que pose sa gestion actuelle, notamment quand Orange bloque par accident plusieurs sites, dont Google et Wikipédia.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un problème principalement localisé outre-Atlantique

Deux heures d'attaque du côté de Dyn

Fermer

Commentaires (131)


est ce que c’est encore un coup du DNS d’orange ? <img data-src=" />


Pornhub on lui fait pas à l’envers !


C’est quand même étonnant que GitHub n’ait pas pensé à ça alors que &nbsp;PornHub oui. <img data-src=" />&nbsp;



C’est quand &nbsp;même leurs fond de commerce l’informatique et le développement.&nbsp;


Il y a aussi no-ip qui souffre d’une attaque DDOS :&nbsphttps://twitter.com/noipstatus


Plus d’accès à twitter, quelle tristesse ! <img data-src=" />


Récemment, OVH affirme avoir subi une attaque par DDoS d’1,5 Tbps ; le même jour, KerbsOnSecurity a été touché par un DDoS de 665 Gbps. Un mois plus tard, au tour de Dyn… Cela commence à faire beaucoup d’attaques sur des cibles pourtant habituées à ce type d’opérations.



Il faudra peut-être que l’ensemble des acteurs, dont les gestionnaires de transit, les FAI, les constructeurs d’objets connectés et les développeurs d’applications pensent systématiquement à mettre en place des gardes fous pour limiter ce genre de dégâts.


J’aime beaucoup la référence à Pornhub. <img data-src=" /> plus sérieusement, les sites porno prendraient ils plus au sérieux tout ce qui concerne la sécurité?








FunnyD a écrit :



J’aime beaucoup la référence à Pornhub. <img data-src=" /> plus sérieusement, les sites porno prendraient ils plus au sérieux tout ce qui concerne la sécurité?





Pas la sécurité mais la disponibilité.



Pornhub gagne du pognon parce qu’il est accéssible, c’est important l’uptime ici <img data-src=" />



C’est normal, faut une double protection pour mieux se prémunir de tout problème 😅😅😅


On dira juste que dans leur service IT, ce ne sont pas des branleurs !



—&gt;[]


Après faut pas être malin pour dépendre d’un seul fournisseur DNS quand on est aussi gros


De nouveau indisponible depuis 5mn … en France cette fois !


Bah si Pornhub est accessible tout va bien <img data-src=" />&nbsp;<img data-src=" />&nbsp;<img data-src=" />


openshift.redhat.com down

console.preview.openshift.com down



je suppose que &nbsp;c’est lié …


Tout à l’heure on avait pas trop senti l’impact du DDoS, mais la faut avouer que c’est salement down à beaucoup d’endroits.



Depuis Orange, down:




  • twitter

  • zendesk

  • spotify

  • paypal



    Reddit fonctionne par contre


Je pense que dans ces milieux les croches pattes sont courants, alors on se protège.








djfameus a écrit :



Depuis Orange, down:




  • twitter







    Depuis free avec dns FDN aussi



Attaque toujours en cours. C’est pas joyeux.


Bah c’est joli à voir ^^http://map.norsecorp.com/#/


Légèrement mérité pour OVH vu le nombre de botnet qu’ils hébergent ou autres joyeusetés que leurs utilisateurs font avec leurs serveurs dédiés.


Idem ici (orange), il y a plein de sites auxquels je ne peux plus accéder.


Idem ici (orange), il y a plein de sites auxquels je ne peux plus accéder.


Pareil ici (Bouygues) plus twitter et Spotify


Voyages-Sncf.com aussi impacté par le problème ^^&nbsp;


Les DNS Google sont impactés aussi, sans doute par relais entre résolveurs DNS.

Impossible de connecter Github ou python.org (j’avais une erreur pip sur mon script python).

&nbsp;


Vaut mieux avoir un dév pas content sur le dos, qu’un type qui veut sa dose de pr0n <img data-src=" />


Il n’y a beaucoup de sites inaccessibles ou alors il faut faire du retry pour y accéder :) gros bordel ce soir …


Je ne peux que confirmer : “la moitié de l’internet est cassé” :/


Hou, hou, hou : quelques sites ! C’est un euphémisme. Même le sitehttp://www.digitalattackmap.com/ ne fonctionne pas !


CDiscount est en panne mais on va pas les plaindre hein !


Ca serait bien que ça se généralise. Ca donnerait un sérieux coup de pouce au web décentralisé, et un magnifique doigt d’honneur aux politicards qui rêvent de tout contrôler.


Au moins, Nextinpact est toujours là. Ça aurait été c*n de ne pas savoir ce qu’il se passe ici-même. <img data-src=" />


Salut à tous.

Encore une raison de plus d’avoir son propre serveur DNS chez soit.

Unbound est mon ami.


Pas de problème ici. J’ai pas les DNS Orange, mais je sais plus lesquels j’utilise <img data-src=" />








bansan a écrit :



Il y a aussi no-ip qui souffre d’une attaque DDOS :&nbsp;https://twitter.com/noipstatus







Ouai sauf que pour ma part twitter is off aussi…donc ton lien n’est pas du grande utilité lol…



Qui n’empêche en rien d’en être victime aussi…


PSN down éganlement…








Aranud a écrit :



Ouai sauf que pour ma part twitter is off aussi…donc ton lien n’est pas du grande utilité lol…





Moi, également “Adresse introuvable”





Un problème principalement localisé outre-Atlantique





Ah bon ? Pourtant Twitter et Github sont quasiment inaccessibles chez moi…


J’espère que les petits cs qui ont fait ça sont fiers d’eux… c’est sûr que ça doit être super marrant de pourrir la vie à des millions de personnes <img data-src=" />


ovh n’hesite pas à isoler un serveur qui crache de la merde par contre tu va voir du coté online s’est la fête.

Quand je suis motivé, s’est par dizaine que j’ouvre des abuse à online&nbsp; car jean-kevin ne sait pas administrer sont serveur minecraft par contre du ovh j’en vois très rarement.




Pornhub dépend de deux&nbsp;fournisseurs de service DNS, et non d’un seul.





Voilà des gens qui se souvient vraiment du bien-être de leurs clients <img data-src=" />



J’imagine le nombre de personnes qui essayent de se connecter sur Twitter pour poster #TwitterDown <img data-src=" />


a ce niveau ce n’est pas les script kidies en vacance qui s’amuse l’attaque provient d’une entité(‘qui quoi j’en sais rien) bien plus grosse et avec la volonté de paralyser donc réellement nuire soit à la réputation soit aux profits générés.


Myspace et Caramail sont inaccessibles depuis OVH aussi <img data-src=" />


C’est pas un problème de DNS en changeant de serveur DNS ou en tapant directement les adresses IP ça ne marche pas non plus.


Hadopi.fr pareil ! Nan j’déconne. <img data-src=" />


C’est idiot ce que tu dis. Avoir son propre DNS chez soi (pour une société) revient juste à être DDoS avec son DNS…


Perso j’ai jamais eu de réponse à un abuse d’OVH.. Pourtant t’envoies capture / preuve.








Zappi a écrit :



a ce niveau ce n’est pas les script kidies en vacance qui s’amuse l’attaque provient d’une entité(‘qui quoi j’en sais rien) bien plus grosse et avec la volonté de paralyser donc réellement nuire soit à la réputation soit aux profits générés.







Je pencherais pour les russes ou les nords coréens, les chinois c’est exclus vu l’intrication de leur économie et celle des états unis, ça leurs nuirais tout autant de les affaiblir.



Les tensions entre russes et américains et les soupçons de manipulation des élection américaine par diverses fuites font d’eux les premiers suspects, mais les nord coréens et leurs puissante armée électronique ne doit pas non plus être sous estimée…



Je doute fort qu’une attaque DDoS s’attaque à tous les DNS en même temps.



Ceci dit, les logs de mon serveur DNS (dans le Syno) m’indiquent que si mon serveur fonctionne bien, il a quand même du mal à communiquer avec ses semblables…


le système DNS est semi-centralisé, et cela est une de ses faiblesses les plus importantes.



j’aime beaucoup le principe du .bit (namecoin), avec un système d’annuaire partagé en peer-to-peer (blockchain)


Faut arrêter de croire à l’implication de pays dans ce genre de situation un peu trop médiatisée ;)

L’intérêt économique de groupuscule oui, plus plausible…&nbsp;


Impossible d’accéder à Twitter, Github, StumbleUpon, etc depuis chez moi, donc ça ne semble pas fini.

&nbsp;

ERR_NAME_RESOLUTION_FAILED








HortY a écrit :



Faut arrêter de croire à l’implication de pays dans ce genre de situation un peu trop médiatisée ;)

L’intérêt économique d

e groupuscule oui, plus plausible…&nbsp;







Comme s’est idiot de ne pas penser possible l’implication d’état.

S’est vrai que stuxnest ou flame ont été développés dans un garage pas 2 gus m



twitter toujours ko pour moi. (orange)


Même si tu utilises l’IP brute ? : 104.244.42.65








Bobmoutarde a écrit :



Légèrement mérité pour OVH vu le nombre de botnet qu’ils hébergent ou autres joyeusetés que leurs utilisateurs font avec leurs serveurs dédiés.





&nbsp;Il semble en effet qu’OVH filtre mieux les attaques entrantes que sortantes. Cependant, personne ne mérite d’être agressé. Dans un monde où la justice consiste à rendre oeil pour oeil,&nbsp;dent pour dent, chacun finit borgne et édenté. Ceci étant, ce n’est pas tant l’hébergeur qui était visé, mais une poignée de clients hébergés.



moi je n’arrive pas a me connecter depuis un long moment sur ma PS3 à cause du DNS&nbsp;


J’ai testé des DNS d’OpenNic puis Google, mais pas mal de sites toujours down..

En passant par OpenDNS, plus de soucis <img data-src=" />(sauf le PSN…)


Wow, c’est monstrueux ce qui est encore injoignable à cette heure (avec DNS numericable-SFR) :



twitter

Agence France Presse (AFP)

Associated Press (AP)

The Guardian

Reuters

reddit





Impressionnant !


Twitter et github.com toujours down, Spotify fonctionne bien sûr mobile (dns Google et videotron).


merci

mais non ça ne fonctionne pas. page blanche..



(et c’est probablement configuré comme ça mais ça répond pas au ping 128.242.240.244

et un site comme downforeveryoneorjustme donne everyone)


Questions naïves (la flegme de chercher):




  • Les adresses IP brutes des sites sont-elles fixes ou dynamiques ?

  • Si elles sont dynamiques, existe-t-il un répertoire (e.g. tiré de DNS auto-hébergés par exemple) qui lierait le nom de domaine à l’IP fixe ?

    L’idée serait de se prémunir contre ce genre de panne de serveur DNS en entrant directement une adresse IP (prise dans un répertoire stocké localement), pour ne pas se retrouver coupé de tout…








picoteras a écrit :



Wow, c’est monstrueux ce qui est encore injoignable à cette heure (avec DNS numericable-SFR) :




twitter      

Agence France Presse (AFP)

Associated Press (AP)

The Guardian

Reuters

reddit







Pour ma part il n’y a : twitter, The Guardian et github.

DNS FDN

&nbsp;

Petit /etc/hosts à conservé en cas où cela casserait :



104.25.125.6 www.nextinpact.com nextinpact.com

65.52.141.8 forum.nextinpact.com

92.123.182.65 www.ap.org

208.175.66.114 fr.reuters.com fr.reutersmedia.net

206.132.6.134 reuters.com

151.101.121.140 www.reddit.com

158.50.210.34 www.afp.com

216.58.208.238 www.youtube.com

&nbsp;

Pour www.ap.org il y a deux IPs : 92.123.182.65 et 92.123.182.58

Pour nextinpact.com aussi : 104.25.125.6 et 104.25.124.6



C’est un coup des hommes-crabes, j’en suit persuadé ce coup ci.


&nbsp;Çarend tout un tas de sites inaccessibles, ok. Mais ça ralentit tout l’internet non?



&nbsp;D’habitude je peux regarder du 4k sur youtube sans broncher mais là, en mode auto, ça descend facilement en 480p. Facebook est lent, sur Twitch, les vidéos s’arrêtent pour charger (ma première fois avec 120s de latence ^^)



C’est pas très très grave mais ça commence à être un peu irritant








Maicka a écrit :



C’est un coup des hommes-crabes, j’en suit persuadé ce coup ci.





ou le début de la 3eme guerre mondiale déja sur les médias russes depuis début octobre <img data-src=" />

Joyeux Week End <img data-src=" />

&nbsp;



EVE Online est inacessible, impossible de se logger. Il n’y a pas que les sites qui sont touchés.


Twitter est partiellement accessible via openDNS (c est lent et pas mal de liens/images sont cassés).


quelques tests 4k (orange/somewhere near paris).. pas de ralentissement sauf l’ouverture initiale de youtube qui prend 2s au lieu de 0.5. non significatif dans mon cas.


On nous vole notre Internet :southpark:


Bizarre quand même ; si c’est un problème purement DNS comment ça se fait que je puisse y accéder (depuis le Portugal) et pas maxscript avec une IP brute ? En tout cas je n’ai aucune problème d’accès depuis ici après un /flushdns et avec les DNS du provider.


Sachant qu’ils sont de mèche avec les Chinois du Efbiaïe, c’est possible oui.








RaphAstronome a écrit :



Pour ma part il n’y a : twitter, The Guardian et github.



DNS FDN      

&nbsp;

Petit /etc/hosts à conservé en cas où cela casserait :






104.25.125.6 www.nextinpact.com nextinpact.com      

65.52.141.8 forum.nextinpact.com

92.123.182.65 www.ap.org

208.175.66.114 fr.reuters.com fr.reutersmedia.net

206.132.6.134 reuters.com

151.101.121.140 www.reddit.com



158.50.210.34 www.afp.com

216.58.208.238 www.youtube.com



&nbsp;      

Pour www.ap.org il y a deux IPs : 92.123.182.65 et 92.123.182.58

Pour nextinpact.com aussi : 104.25.125.6 et 104.25.124.6







si tu pouvais rajouter youporn en cas de cataclysme majeur

<img data-src=" />



ouais en fait je refais le test car j’ai mis 8.8.8.8 par habitude… je reviens ;)



edit : dns orange marche pas non plus


taper les adresses direct ne sert pas à grand chose.

sur les serveur bien configurés, ça ne renvoie rien


Le plus affreux c’est quand même les serveurs de battlefield 1 offline….&nbsp;


Twitter, Spotify, Netflix, Lequipe.fr, Vine, Trumbl sont down pour moi, je dois me contenter de&nbsp;Facebook&nbsp;<img data-src=" />


À mon avis c’est plutôt lié à la forte affluence et le sous-dimensionnement de l’infra…


Tout semble être revenu a la normal chez moi (twitter, github, netflix,…) <img data-src=" />

(dns videotron et google)


J’ai aucun souci avec tous les sites cités, j’ai eu le pbm vers 18h45 avec les DNS Google, j’ai remis les DNS auto de SFR-NC et c’est reparti aussi sec après un flushdns sur mon Win 7.


C’est quoi l’intérêt que ça ne renvoie rien ? Comment un serveur fait la différence entre une requête via résolution DNS et accès direct ?


ça c’est l’adresse de zahed.com

twitter:

199.16.156.102

199.16.156.198

199.16.156.230

199.16.156.70

104.244.42.1

104.244.42.65

104.244.42.129

104.244.42.193


ça refonctionne avec le dns aussi pour moi








RaphAstronome a écrit :



Pour ma part il n’y a : twitter, The Guardian et github.

DNS FDN

 

Petit /etc/hosts à conservé en cas où cela casserait :



104.25.125.6 www.nextinpact.com nextinpact.com

65.52.141.8 forum.nextinpact.com

92.123.182.65 www.ap.org

208.175.66.114 fr.reuters.com fr.reutersmedia.net

206.132.6.134 reuters.com

151.101.121.140 www.reddit.com

158.50.210.34 www.afp.com

216.58.208.238 www.youtube.com

 

Pour www.ap.org il y a deux IPs : 92.123.182.65 et 92.123.182.58

Pour nextinpact.com aussi : 104.25.125.6 et 104.25.124.6







Merci, c’est copié-collé (à la nano) !



le nom de domaine est envoyé dans la requête.

il y a souvent plusieurs serveurs sur la même adresse, et les serveurs sont configurés pour que l’accès par IP ne marche pas.


<img data-src=" />


Ouiii, ça remaaarche !





Mais qui est-ce qui a trifouillé dans le NInternet, hein ?



Allez, que ceux qui ont fait ça lèvent le doigt !


Et si l’erreur DNS Orange etait autre chose en fait ?


Nope c’était aussi lié à Dyn


on y pensait déjà en 1970


Les 3 sites que j’avais down hier soir refonctionnent de chez moi (DNS FDN).



Voici un complément à la liste faite hier avec les sites qui ne fonctionnait pas à ce moment chez moi, des moteurs de recherche, les suggestions de Rapheo8000 et de maxscript, visiblement très inquiet pour son site favori, lemonde.fr, facebook et ssl0.ovh.net (boites mails OVH) :

&nbsp;

104.244.42.65 twitter.com www.twitter.com

151.101.120.67 www.theguardian.com

192.30.253.113 www.github.com github.com

216.58.208.227 www.google.fr google.fr

213.144.235.195 ixquick.com www.ixquick.com

145.131.132.76 www.startpage.com startpage.com

194.187.168.100 www.qwant.com

194.187.168.99 qwant.com

31.192.116.24 youporn.com www.youporn.com

194.132.196.98 www.spotify.com

52.51.151.184 www.netflix.com

2.21.84.128 www.lequipe.fr

160.92.167.203 lequipe.fr

93.184.220.239 www.lemonde.fr lemonde.fr

50.19.95.166 vine.co www.vine.co

66.6.33.30 www.tumblr.com

31.13.83.36 facebook.com www.facebook.com

213.186.33.20 ssl0.ovh.net



Coté IPs certains sites en ont vraiment beaucoup :

ixquick.com : 213.144.235.195 37.0.86.34 37.0.86.22

startpage.com : 145.131.132.76 89.146.4.148 145.131.132.70

www.twitter.com : 104.244.42.1 104.244.42.65

github.com : 192.30.253.113 192.30.253.112

www.spotify.com : 194.132.196.98 194.68.30.130 194.132.196.163 194.132.198.115 194.68.30.194 194.68.30.114 194.132.198.228 194.68.30.162 194.132.198.165 194.132.197.147 194.132.196.194 194.132.196.178 194.132.196.114 194.132.196.130 194.132.196.212 194.68.30.146 194.132.198.244 194.68.30.98

www.netflix.com : 52.51.151.184 52.51.252.175 52.51.179.14 52.51.18.198 52.51.139.59 54.154.123.138 52.51.23.152 54.154.12.178

www.lequipe.fr : 2.21.84.128 2.21.84.152

vine.co : 50.19.95.166 50.17.180.67 50.17.207.205 50.16.206.211 54.243.96.122 23.21.92.48

www.tumblr.com : 66.6.33.30 66.6.32.30 66.6.33.158



D’ailleurs pour tout ce qui est multimédia il est possible qu’il y ait des problèmes annexes (serveurs séparés, DRM) qui empêchent la lecture.


Puisque le probleme etait le live DNS de DynDNS, il suffisait de specifier l’addresse ip d’openDNS qui conserve un cache &nbsp;(208.67.222.222).

Et hop, tout remarchait puisque le cache&nbsp;était&nbsp;consulte.



Workaround…

C’est quand meme plus pratique que de rajouter a la main toutes les ips…<img data-src=" />


C’est quoi ce site ? J’ai tenté par l’adresse ip qu’il avait donné mais j’ai également eu une page blanche.


Bonjour

Comment installer une double protection pour les adresses DNS?

Merci pour vos explications.


Ta question est un poil tordue et incomprehensible&nbsp;<img data-src=" />



&nbsp;Vu que tu depends de DNS, tu dois juste t’assurer d’avoir un server DNS qui marche.



Doit soit tu laisse tout automatic et tu recoit l’addresse DNS fournie par ton provider.

Soit tu specifie, tu peux mettre 8.8.8.8 par exemple qui est l’une des addresses publique dns de google.

Ou tu met&nbsp;208.67.222.222 qui est celle d’open DNS.Je connait pas le detail de celle de google, je sais que celle d’open DNS a un cache.

Donc si la version live tombe (comme cela a ete le cas avec dyndns hier) il utilise le cache donc arrive a se retrouver.



Resultat pour toi, tu accedes au servers que tu veux, alors que ce qui ont plus de dns, ne trouvent pas le server donc timeout.



En gros.

&nbsp;&nbsp;








Aranud a écrit :



Qui n’empêche en rien d’en être victime aussi…





Si tout le monde utilisait un serveur DNS local accessible uniquement au réseau local, plus de risque.



Et comment ton serveur local connaît les adresses IP de twitter.com (pour prendre cet exemple puisque touché par l’attaque) ?



Et pourquoi serait-il protégé parce que sur ton réseau local de l’attaque des serveurs dns qui font autorité sur twitter.com ?



Pour info et aider à comprendre le problème, twitter.com a l’air d’avoir un TTL de l’ordre de 30 mn.


Le 22/10/2016 à 12h 01