L'image semble extraite d'un film de science-fiction. Pourtant, c'est bien réel : la photo a été obtenue par la capsule Orion, lors du dernier survol lunaire de la mission Artémis I de la Nasa.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

A support ticket came in recently, in which a client asked whether they needed to upgrade their Microsoft 365 license to encrypt email in Outlook.

The post Encrypt email in Outlook with Microsoft 365 first appeared on 4sysops.

Lancé aux États-Unis en avril 2022, le programme Self Service Repair d'Apple s'étend à l'Europe. Il est possible de commander des pièces authentiques pour l'iPhone 12, l'iPhone 13 et certains Mac, en attendant une extension du programme aux autres produits.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

[Deal du jour] La souris sans fil M705 Marathon de Logitech est en ce moment en promotion sur Amazon, à moins de 20 €. Elle possède une excellente autonomie et convient pour tous les usages.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

D'après des révélations de Reuters, Elon Musk mettrait une pression telle sur les employés de Neuralink que les erreurs humaines s'enchaîneraient. Ce sont les animaux impliqués dans les expériences qui en paieraient le prix par dizaines de dizaines, à cause de chirurgies mal faites.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Un déni de service distribué ou DDoS est l’une des cyberattaques les plus dangereuses auxquelles les entreprises en ligne sont confrontées quotidiennement. L’amplification peut s’expliquer par des mots simples : augmentation, intensification, grossissement, etc.
Cela permet des attaques DOS importantes.

Dans ce tutoriel, je vous explique ce que sont les attaques DoS par amplification.

Qu’est-ce qu’une attaque DoS par amplification

Une attaque par amplification DDoS est une cyberattaque volumétrique et par réflexion.
Elle se produit lorsque les auteurs profitent des serveurs vulnérables pour submerger un réseau, un site web, une application, un service en ligne ou un serveur avec une quantité de trafic amplifiée. Cela conduit la victime à un état inaccessible (déni de service).

Ce type d’attaque est considéré comme asymétrique car il peut causer des dégâts considérables avec peu d’actions et de ressources. Et malheureusement, les auteurs ont le choix entre différentes options pour amplifier le trafic : ICMP (Internet control message protocol), UDP (user datagram protocol) ou TCP (transmission control protocol).

Pour cela, les attaques cherchent des réflecteurs. Ce sont des serveurs sur internet qui font tourner un service aux clients (DNS, NTP, SNMP, IoT, jeux, etc.).
Un exemple de réflecteur peut être un serveur DNS mal configuré (ou laissé dans un état par défaut) ou un serveur DNS public configuré intentionnellement pour fournir une récursion ouverte aux clients de l’Internet.
Dans tous les cas, un réflecteur n’a pas l’intention de faire partie de l’attaque DDoS.

Ces méthodes d’amplifications peuvent causer de sérieuses perturbations. Les attaquants, présumés chinois, de l’Operation Distributed Dragon installent des codes malveillants sur des serveurs compromis afin de terrasser leurs victimes. Certains de ces programmes sont détectés comme étant : Linux/Dnsamp

L’attaque DoS par amplification : comment ça marche ?

Des attaquants lancent une attaque DDoS en inondant un réflecteur de requêtes qui semblent être une demande de service légitime.
Cependant, le trafic réseau contient une adresse IP source usurpée d’une victime, par exemple un serveur web. L’usurpation d’adresse IP est effectuée pour deux raisons.
Premièrement, elle permet de dissimuler l’identité de l’attaquant.
Deuxièmement, la réponse à une requête envoyée par un réflecteur à la victime est beaucoup plus importante que la requête originale.

Par exemple, dans le cas d’une attaque DDoS DNS amplifiée, une réponse à une requête contient de nombreuses adresses IP pour le domaine résolu. Cela rend la réponse asymétrique en termes de bande passante consommée. Par conséquent, un réflecteur amplifie l’attaque DDoS, consommant la bande passante de la victime beaucoup plus rapidement.

Ci-dessous un exemple de Flood UDP par un DNS Amplification. Les requêtes proviennent de 8.8.8.8, le serveur DNS de Google.

Quels sont les protocoles utilisés dans les attaques DoS par amplification

Certains protocoles sont privilégiés pour mener ce type de cyberattaque :

• Domain Name System (DNS)
• Network Time Protocol (NTP)
• Character Generator Protocol (CharGEN)
• Simple Service Discovery Protocol (SSDP)
• Routing Information Protocol ver.1 (RIPv1)
• Memcached
•  TP-240 VoIP (Mitel System)

En général, les protocoles réseaux utilisent UDP qui permet des attaques plus importantes que TCP.
Cela vient du fait qu’UDP est un protocole de couche de transport sans connexion, ce qui signifie qu’aucune poignée de main n’est effectuée pour établir la communication. La réponse réfléchie et amplifiée par un réflecteur cible une victime qui doit la traiter d’une manière ou d’une autre.

Pour illustrer, voici une liste non-exhaustive de protocoles avec leurs taux respectifs d’amplification.

Protocole	Facteur d’amplification bande passante
DNS	28 à 54
NTP	556,9
SNMPv2	6,3
NetBIOS	3,8
SSDP	30,8
CharGEN	358,8
QOTD	140,3
TCP Middlebox	65
BitTorrent	3,8
Kad	16,3
Quake Network Protocole	63,9
Steam Protocol	5,5
Multicast DNS (mDNS)	2 à 10
RIPv1	131,24
Portmap (RPCbind)	7 à 28

On voit que CharGEN, QOTD, DNS, RIPv1, NTP, SSDP ont des taux d’amplification des plus importants.
Très souvent, les attaques sont du type DNS Amplification, SSDP ou NTP Amplification car les serveurs vulnérables sont plus courants sur internet. On appelle ces derniers des réflecteurs.
Il est alors facile de trouver un réflecteur.
Les failles dites “protocolaires”, qui touchent directement le protocole, ne sont pas aisées à colmater.

Essentiellement, la plupart de ces protocoles permettent des attaques DoS en UDP.

Enfin cela met en lumière le problème des serveurs ou IoT vulnérables utilisés dans des attaques.

Les attaques DDoS par amplification avec botnet

Comme pour les autres types d’attaques, il est possible d’effectuer une attaque DDOS dites attaques DOS distribuée.
Pour cela, l’attaque va utiliser un ou plusieurs botnets.

Il ordonne à des milliers de bots d’envoyer des requêtes à un certain nombre de réflecteurs en parallèle. Cela augmente considérablement le trafic d’attaque et permet de dissimuler l’identité de l’attaquant.
Pour augmenter le volume des attaques, les attaques DDoS simples, exploitant divers protocoles d’application tels que DNS, NTP, SNMPv2 et autres peuvent être combinées et menées simultanément.

Ces attaques DoS sont extrêmement dévastatrices car elles peuvent atteindre 1,7 Tbps (Tetra bytes packets par secondes).

L’article Qu’est-ce qu’une attaque DoS par amplification est apparu en premier sur malekal.com.

Les attaques DoS (Déni de service) sont des cyberattaques qui peuvent prendre plusieurs formes (Syn Flood, HTTP Flood, etc).
Le but est toujours le même inonder le serveur cible afin de le rendre indisponible.
Parmi ces types, on trouve l’attaque DoS UDP ou UDP Flood qui comme son nom l’indique utilise le protocole UDP.

Dans ce tutoriel, je vous explique ce que sont les attaques UDP et comment fonctionnent l’UDP Flood.

Qu’est-ce qu’une attaque DoS UDP ou UDP Flood

L’attaque DoS par UDP dites “UDP Flooding” est une des attaques les plus communes.

Le protocole UDP offre plusieurs avantages pour les attaques ; contrairement au protocole TCP, aucune séquence de négociation est nécessaire. Les en-têtes du protocole UDP étant plus petite, il est très pratique pour envoyer une petite quantité de données rapidement.

De ce fait, il est privilégié pour les attaques pour saturer la couche réseau du serveur. D’autre part, si les paquets sont envoyés sur un port ouvert, la machine répondra généralement via le protocole ICMP. Il est possible de jouer sur la source de l’IP envoyée pour que la machine victime réponde à divers autres machines pour la “noyer” ( rappel: “to flood” signifie “inonder” )

Voici un envoi de paquets UDP/TCP depuis une connexion ADSL :

En TCP, on arrive à 2000 drop/s pour 2200 drops/s en UDP soit +10% en UDP.
Cela peut s’appliquer par le fait que le protocole UDP est plus léger comme expliqué précédemment.

Une attaque sur un même réseau, exemple intra-OVH, là ça monte beaucoup haut.

Avec le protocole ICMP, on arrive à peu près à un volume identique à celui d’UDP.

Le protocole UDP est très utilisé par les jeux en ligne, la VO-IP, DNS, … ce qui explique qu’ils sont souvent visés par ce types d’attaques tandis que les serveurs WEB sont plutôt visés par des Syn flood ou des attaques Layer 7 (HTTP Flood).

Botnets et attaque DoS

Ces attaques plus ou moins efficaces possèdent plusieurs variantes. Par le passé, les attaquants utilisaient des réseaux de machines zombies (botnets) pour saturer le serveur cible. Ces attaques sont les plus simples à mettre en œuvre. Aujourd’hui, il existe un véritable marché du DDoS, le cout horaire d’une attaque de ce type sur le blackmarket est vraiment à la portée de tous.

Exemple d’une interface d’attaque DoS UDP déposée après le piratage du serveur WEB.

Les serveurs offrent plusieurs avantages:

• Le débit est supérieur à celui de connexions ADSL d’abonnés.
• Les serveurs sont connectés en permanence tandis que les ordinateurs infectés peuvent être éteints

Si l’attaquant possède des ordinateurs infectés en Asie et qu’il faut attaquer aux USA, il faut attendre que les machines asiatiques soient allumées à cause du décalage horaire. Une attaque de nuit engendre moins de perturbations car le trafic est moins important. C’est que qui explique que les attaquants préfèrent de loin les serveurs compromis aux zombies (ordinateurs infectés).

Amplification DDoS

C’est à partir de 2009 que les attaques par amplifications ont été médiatisées.
Le but de l’attaque est d’envoyer aux machines de petits paquets et/ou datagrammes afin qu’elles soient contraintes de répondre avec plus d’informations qu’elles n’en ont reçues.
Pour imager, c’est comme parler dans un tunnel, la voix résonne et elle est amplifiée.

Pour cela, les attaquent utilisent des réflecteurs qui sont en général des serveurs offrant un service aux clients (DNS, NTP, SNMP, jeux, etc.).
Ils agissent alors comme multiplicateur de l’attaque par raisonnante.

On peut alors atteindre plusieurs millions de paquets par secondes.

Comment se protéger des attaques DDos UDP

Avec Iptables

La première contre mesure consiste à bêtement bloquer l’usage du protocole UDP. Sur Linux, vous pouvez bien sûr le faire avec iptables ensuite il suffit d’adapter à vos besoins, notamment pour en autoriser la sortie des requêtes DNS car sinon vous ne pourrez plus accéder à la résolution des noms de domaines.

iptables -A INPUT -i <interface> -m state --state ESTABLISHED,RELATED -s <ip_serveurdns> --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o interface -m state --state NEW,ESTABLISHED,RELATED -d <ip_serveurdns> --protocol udp --destination-port 53 -j ACCEPT

Dans le cas, où le serveur abrite des applications utilisant le protocole UDP, ça se complique.
Vous pouvez commencer par limiter le nombre de connexions en UDP, par exemple :

iptables -N udp-flood
iptables -A OUTPUT -p udp -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 50/s -j RETURN
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-flood attempt: '
iptables -A udp-flood -j DROP

Il faudra ensuite adapter au cas par cas en fonction des applications.

Dans le cas d’une attaque, il faudra filtrer les datagrammes légitimes et ceux de l’attaque.
Cette manipulation demande une certaine connaissance réseau et une certaine préparation.

Dans le cas d’une attaque massive et c’est en général le cas, si le nombre de paquets est supérieur à ce que netfilter est capable de gérer, alors c’est l’inondation et la noyade. À ce moment là, il faut se tourner vers l’hébergeur qui pourra peut-être et sous certaines conditions vous venir en aide. Ceci étant, souvent celui-ci effectuera un blocage du serveur et c’est justement là tout le problème des attaques DoS.

WaF et Protection DOS

Les protections DoS d’OVH offrent un pare-feu ( firewall ) qui permet d’établir des règles.
Si vous êtes chez OVH, vous pouvez donc filtrer le trafic UDP venant de l’internet en amont de votre serveur.
Attention toutefois, le firewall réseau ne bloque pas le traffic entre machines OVH (intra-ovh).

Si vous n’avez aucune utilité du protocole UDP, vous pouvez le bloquer sur le serveur OVH : Configurer le firewall réseau d’OVH pour protéger son VPS ou serveur dédié

L’article Les attaques DoS UDP (UDP flood) : Explications est apparu en premier sur malekal.com.

Impossible de démarrer Outlook, Excel ou Word car le message d’erreur et le code erreur 0xc0000142 s’affiche.
Ce problème est bloquant et vous empêche d’accéder à Office.

Erreur d'application
L'application n'a pas réussi à démarrer correctement (0xc0000142)

Dans ce tutoriel, je vous donne plusieurs solutions pour résoudre cette erreur qui touche la suite bureautique de Microsoft.

Comment résoudre l’erreur 0xc0000142 sur Office

Désactiver l’accès contrôlé aux dossiers de Windows 10/11

L’accès contrôlé aux dossiers dans la Sécurité Windows passe en revue les applications qui peuvent apporter des modifications aux fichiers des dossiers protégés. Il arrive parfois qu’une application dont l’utilisation est sans danger soit identifiée comme nuisible.
Cela s’explique par le fait que Microsoft souhaite assurer votre sécurité et qu’il est parfois préférable de faire preuve de prudence ; toutefois, cela peut perturber l’utilisation normale de votre PC.
Elle est connue pour être une source de l’erreur 0xc0000142 sur Office.
Essayez de la désactiver :

• Faites un clic droit sur le menu Démarrer de Windows 10
• Puis PowerShell (en admin) ou Terminal Windows (admin)

• Puis copiez/collez la commande suivante :

Set-MpPreference -EnableControlledFolderAccess Disabled

• Relance le programme Office (Word, Excel ou Outlook) et testez si l’erreur 0xc0000142 est corrigé

Réparer Office

Microsoft Office comporte un mécanisme de réparation qui permet de réinitialiser en partie l’application sans perdre aucune donnée.
C’est une procédure idéal lorsque votre installation d’Office est corrompue afin de résoudre la plupart des dysfonctionnements.
Pour réparer Office suivez ce tutoriel :

• Faites un clic droit sur le menu Démarrer
• Puis Applications et fonctionnalités

• Dans la liste des applications, cherchez Office et cliquez sur Modifier
• Choisissez Réparer et Continuer

• Laissez vous guider pour terminer la réparation d’Office
• Redémarrez votre ordinateur
• Vérifiez si l’erreur 0xc0000142 au démarrage d’Office est corrigée

Mettre à jour Office

Si vous rencontrez l’erreur 0xc0000142, il est possible que vous utilisiez une version obsolète d’Office. Microsoft publie régulièrement des mises à jour pour Office, qui peuvent inclure des corrections de bogues et de nouvelles fonctionnalités.

• Ouvrez Word, Excel ou Outlook
• Puis cliquez sur Fichier et Compte
• Cliquez sur Mise à jour pour Office puis Mise à jour

• Patientez durant le téléchargement et l’installation des mises à jour d’Office

Redémarrer le service Microsoft Office « Démarrer en un clic » (ClickToRunSvc)

• Sur votre clavier, utilisez le raccourci clavier
  + R
• Puis saisissez services.msc et OK. Plus de détails : comment ouvrir les services Windows

• Puis descendez dans la liste pour trouver Services Microsoft Office « Démarrer en un clic »
• Faites un clic droit dessus et Redémarrer

• Fermez la fenêtre, puis ouvrez Outlook, Excel ou Word pour tester si l’erreur 0xc0000142 au démarrage d’Office est résolue

Démarrer Windows en mode minimal

Si une application est à l’origine des blocages et problèmes pour ouvrir Word, vous pouvez démarrer Windows en mode minimal.
Le but est de désactiver toutes les applications au démarrage et réactiver une à une pour trouver celle qui provoque un conflit.
Le tutoriel suivant vous explique comment faire :

Windows Repair

Windows Repair est un utilitaire gratuit qui permet de réparer des composants et fonctionnalités de Windows.

• Téléchargez Windows Repair puis installez le

• Windows Repair se lance automatique, acceptez les conditions d’utilisation

• Toutefois, il est conseillé de faire les réparations en mode sans échec. Pour cela, en bas, cliquez sur Reboot To Safe Mode.. ou suivez ce guide complet : Redémarrez Windows en mode sans échec

• Puis relancez Windows Repair
• Cliquez sur l’onglet Réparation – Principal
• La liste des type de réparation de Windows s’affiche : cliquez sur Préréglages : Réparations communes

• Vous obtenez alors la liste ci-dessous, laissez les éléments cochés

• Enfin cliquez en bas à droite sur Démarrer les réparations
• L’opération se lance avec une succession d’étape… des fenêtres noires peuvent s’ouvrir ou se refermer.

• Laissez terminer, un message vous indique que la réparation Windows Repair est terminée.
• Redémarrez le PC en mode normal de Windows

Plus de détails dans ce tutoriel complet :

Autres solutions

Si le problème persiste et le code erreur 0xc0000142 continue de vous empêcher d’ouvrir Office, tentez les solutions de cette page :

• Word ne s’ouvre plus : 10 solutions

L’article Erreur 0xc0000142 sur Office : 7 solutions est apparu en premier sur malekal.com.

Brave est un navigateur internet très proche de Google Chrome car il se base sur Chromium.
Il est de plus en plus populaire grâce à ses fonctionnalités de protection contre le pistage, tout en ayant la rapidité de Chrome.
Mais parfois, avec le temps, Brave peut se mettre à ralentir.
Il peut mettre du temps à charger une page internet, mettre du temps à réagir ou pire encore se bloquer.

Dans ce tutoriel, je vous donne plusieurs conseils pour accélérer Brave et comment retrouver une rapidité d’ouverture des pages internet.

Comment accélérer Brave

Accélérer Windows 10 ou Windows 11

Brave est une application qui s’exécute dans Windows.
Si le système est globalement lent, Brave le sera.
Vous devez donc faire en sorte que Windows ne soit plus lent pour que Brave aussi à nouveau rapide.
Pour cela, vous devez nettoyer Windows afin de l’alléger.
Suivez ces deux tutoriels :

• Comment accélérer Windows 10
• Comment accélérer Windows 11

Après cela, vérifiez si cela accélère l’ouverture de Brave.

Vider le cache de Brave

• Ouvrez votre navigateur internet
• Appuyez sur la touche CTRL+Maj+Supprafin d’ouvrir la boîte de dialogue qui permet de vider les caches du navigateur internet.
• Dans la liste, cochez seulement Cache ou Données de navigation et cliquez sur Effacer
• Répétez l’opération pour chaque navigateur internet

Plus de détails avec les explications pas à pas pour chaque navigateur internet :

Supprimer les extensions inutiles

Les extensions sont des petits logiciels qui se greffent au navigateur internet pour ajouter de nouvelles fonctionnalités ou modifier celles existantes.
Les utilisateurs adorent car elles répondent aux besoins manquants des navigateurs internet par défaut.
Le problème est que chaque extension nécessite des ressources systèmes supplémentaires pour fonctionner.
De plus, elle peut être mal codé et utiliser anormalement la mémoire.
Ainsi, si vous installez trop d’extension, cela alourdit Brave qui va ramer.
Il faut donc limiter les extensions installées au strict minimum.

Pour libérer des ressources et accélérer Brave, supprimer les extensions inutiles :

• Cliquez sur le menu en haut à droite
  
  puis Extensions

• Cliquez sur Supprimer sur chacune des extensions inutiles. Notez que si vous avez des extensions que vous utilisez à certaines occasions, vous pouvez la désactiver et la réactiver quand nécessaire

Installer un bloqueur de publicités

Les publicités qui s’affichent sur les pages internet alourdissent celles-ci.
Brave doit allouer de la mémoire pour charger chacun des composants publicitaires.
Pour réduire la consommation, vous pouvez installer un bloqueur de publicité comme uBlock Origin.
Toutefois, les publicités étant la principale source de revenus, pensez à autoriser leur affichage sur les sites internet qui n’en n’abusent pas.

Activer le blocage des réseaux sociaux

Une autre façon d’alléger Brave pour le rendre plus rapide tout en vous protégeant contre le pistage est d’activer les bloqueurs des réseaux sociaux.
Google, Twitter et Facebook peuvent déposer des boutons ou publicités qui pistent les internautes.
Les sites internet peuvent aussi intégrer des tweets ou publications qui balisent le WEB.
En bloquant ces derniers, vous allégez le poids des sites internet qui nécessitent moins de mémoire pour les charger.
Cela évite de trop consommer de la mémoire et donc de ralentir Brave.

Pour accélérer Brave en bloquant les réseaux sociaux :

• Ouvrez les paramètres de Brave
• Dans le menu de gauche, cliquez sur Blocage des réseaux sociaux
• A droite, activer les bloqueurs

Réinitialiser Brave

Brave propose une fonctionnalité pour le réinitialiser afin de remettre les paramètres par défaut.
Cela remet la page de démarrage par défaut, ainsi que d’autres paramètres et désactive les extensions.
Vous ne perdez pas les mots de passe enregistrés, ni les favoris.
Cela peut être utile si Brave est lent à cause d’une mauvaise configuration.

Voici comment faire :

• Ouvrez les paramètres de Brave
• Puis en bas à gauche, accédez aux paramètres supplémentaires
• Ensuite Réinitialiser les paramètres
• Enfin à droite Restaurer les paramètres par défaut

• Confirmez en cliquant sur réinitialiser les paramètres

Plus de détails ou dans le cas où le profil du navigateur internet est corrompu, vous pouvez le réinstaller proprement.
Pour cela, suivez ce tutoriel :

Utiliser le paramètre –process-per-site

Brave place chaque page que vous ouvrez dans le navigateur dans son propre processus. Si vous remarquez que vos appareils atteignent régulièrement la limite de RAM disponible, vous pouvez charger Brave avec le paramètre –process-per-site pour utiliser un seul processus par site à la place.
Cette option est utile si vous ouvrez plusieurs pages d’un même site, car elle réduit l’utilisation de la RAM.

• Faites un clic droit sur le raccourci de Brave
• Puis dans le champs cible, ajoutez à la fin –process-per-site
• Validez sur Appliquer et OK, confirmez sur la fenêtre

• Relancez Brave pour tester s’il est plus rapide

Déplacer le cache de Brave

Brave propose beaucoup d’autres paramètres.
Notamment, il est possible de déplacer l’emplacement du cache.
Cela peut parfois être utile si vous désirez le placer sur un disque rapide comme un SSD ou Ramdisk.
Pour cela, on utilise le paramètre suivant, à placer aussi dans le champs cible du raccourci :

-disk-cache-dir=<chemin du cache>

Par exemple :

-disk-cache-dir=D:\cache\Brave

L’article Comment accélérer Brave est apparu en premier sur malekal.com.

Les attaques DoS posent de sérieux problèmes aux administrateurs réseaux.
Pour atténuer ce type de cyberattaque, vous pouvez mettre en place des règles iptables afin de protéger votre VPS, serveur dédié, cloud, bare metal.
Bien sûr, si l’attaque est trop importante, le pare-feu ne pourra pas tout bloquer. Toutefois, il est fortement conseillé de mettre en place des règles de mitigation.

Dans ce tutoriel, je vous propose 14 règles iptables Anti-DoS pour mieux protéger votre serveur.

14 règles iptables Anti-DOS

Bloquer les paquets non valides

Cette règle bloque tous les paquets qui ne sont pas des paquets SYN et qui n’appartiennent pas à une connexion TCP établie.

iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP

Bloquer les nouveaux paquets qui ne sont pas SYN

Cette règle bloque tous les paquets qui sont nouveaux (n’appartenant pas à une connexion établie) et qui n’utilisent pas le drapeau SYN.

iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

Bloquer les valeurs MSS peu communes

La règle iptables ci-dessus bloque les nouveaux paquets (seuls les paquets SYN peuvent être de nouveaux paquets, conformément aux deux règles précédentes) qui utilisent une valeur TCP MSS qui n’est pas commune.
Cela permet de bloquer les SYN flood muets.

iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP

Bloquer les paquets avec des drapeaux TCP bidons

Le jeu de règles ci-dessus bloque les paquets qui utilisent de faux drapeaux TCP (XMAS Packets, etc), c’est-à-dire des drapeaux TCP que des paquets légitimes n’utiliseraient pas.

iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP

Bloquer les paquets provenant de sous-réseaux privés (Land Attack)

Ces règles bloquent les paquets usurpés provenant de sous-réseaux privés (locaux).
Sur votre interface réseau publique, vous ne souhaitez généralement pas recevoir de paquets provenant d’IP sources privées.

Ces règles supposent que votre interface de bouclage utilise l’espace IP 127.0.0.0/8.

iptables -t mangle -A PREROUTING -s 224.0.0.0/3 -j DROP 
iptables -t mangle -A PREROUTING -s 169.254.0.0/16 -j DROP 
iptables -t mangle -A PREROUTING -s 172.16.0.0/12 -j DROP 
iptables -t mangle -A PREROUTING -s 192.0.2.0/24 -j DROP 
iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP 
iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP 
iptables -t mangle -A PREROUTING -s 0.0.0.0/8 -j DROP 
iptables -t mangle -A PREROUTING -s 240.0.0.0/5 -j DROP 
iptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP

Bloquer ICMP (ou pas)

On peut aussi bloquer le protocole Internet Control Message Protocol (ICMP)..
Il est généralement présenté comme un protocole qui pose des problèmes de sécurité et qui n’est généralement pas nécessaire et qu’il représente une vulnérabilité que les attaquants peuvent exploiter.
Or ce n’est pas tout à fait le cas, car ICMP est utilisé utilisé dans les requêtes ping ou encore par le Path MTU Discovery (PMTUD).

Pour bloquer totalement, ICMP, utilisez cette règle :

iptables -t mangle -A PREROUTING -p icmp -j DROP

Toutefois, au regard de cet article : Faut-il bloquer ICMP.
Je vous déconseille de le faire. La meilleure solution est de configurer une limitation sur le nombre de paquets par IP.
Par exemple avec :

iptables -t mangle PREROUTING -A -p icmp -m hashlimit --hashlimit-name icmp --hashlimit-mode srcip --hashlimit 3/second --hashlimit-burst 5 -j ACCEPT

Vous pouvez aussi bloquer le ping en suivant ce tutoriel : Iptables : bloquer ping (ICMP)

Limiter le nombre de connexions sur un port

Cette règle iptables permet de lutter contre les attaques de connexion. Elle rejette les connexions des hôtes qui ont plus de 80 connexions établies. Si vous rencontrez des problèmes, vous devriez augmenter la limite car cela pourrait causer des problèmes avec les clients légitimes qui établissent un grand nombre de connexions TCP.

iptables -A INPUT -p tcp -m connlimit --connlimit-above 80 -j REJECT --reject-with tcp-reset

Limite le nombre de nouvelles connexions TCP

Limite le nombre de nouvelles connexions TCP qu’un client peut établir par seconde. Cela peut être utile contre les attaques de connexion, mais pas tellement contre les inondations SYN, car celles-ci utilisent généralement une quantité infinie d’IP sources différentes usurpées.

iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit --limit 60/s --limit-burst 20 -j ACCEPT 
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP

Bloquer la fragmentation de paquets

Cette règle bloque les paquets fragmentés.
Normalement, vous n’en avez pas besoin et le blocage des fragments atténuera les inondations par fragmentation UDP. Mais la plupart du temps, les inondations de fragmentation UDP utilisent une grande quantité de bande passante qui est susceptible d’épuiser la capacité de votre carte réseau, ce qui rend cette règle facultative et probablement pas la plus utile.

iptables -t mangle -A PREROUTING -f -j DROP

Limiter les TCP RST

Cela limite les paquets TCP RST entrants pour atténuer les inondations TCP RST. L’efficacité de cette règle est discutable.

iptables -A INPUT -p tcp --tcp-flags RST RST -m limit --limit 2/s --limit-burst 2 -j ACCEPT 
iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP

Atténuation des attaques SYN Flood

Les attaques Syn Flood visent à créer un grand nombre de fausses demandes SYN dont l’adresse IP source est usurpée, et les envoyer à la cible. La cible répond avec SYN/ACK, et alloue ses ressources pour la connexion, mais ne reçoit jamais de réponse ACK. Les ressources de la machine cible sont épuisées et elle cesse de répondre à toute autre demande provenant d’une machine légitime.

Vous pouvez atténuer ce type d’attaque une règle iptables suivante :

iptables -A INPUT -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A INPUT -j DROP

Atténuation des attaques SYN Flood (méthodes avec SYNPROXY)

SYNPROXY est une nouvelle cible d’iptables qui a été ajoutée dans le noyau Linux version 3.12 et iptables 1.4.21.

L’objectif de SYNPROXY est de vérifier si l’hôte qui a envoyé le paquet SYN établit réellement une connexion TCP complète ou s’il ne fait rien après avoir envoyé le paquet SYN.

S’il ne fait rien, il rejette le paquet avec un impact minimal sur les performances.

Alors que les règles iptables que nous avons fournies ci-dessus bloquent déjà la plupart des attaques basées sur TCP, le type d’attaque qui peut encore leur échapper s’il est suffisamment sophistiqué est un SYN flood.

Voici les règles SYNPROXY d’iptables qui permettent d’atténuer les SYN floods qui contournent nos autres règles :

iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack 
iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

Plus de détails :

Bloquer les attaques brute force SSH

SSH est un service réseau très visé par les attaques brute force.
Si vous souhaitez limiter ces attaques, vous pouvez appliquer ces règles.

iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --set 
iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

Pour aller plus loin, vous pouvez aussi mettre en place la protection fail2ban : Fail2ban : protéger son serveur des attaques DoS et Bruteforce

Bloquer les scans de ports

Le balayage de port est aussi très fréquents pour énumérer les ports ouverts et les services réseaux utilisés sur une machine distante.
Pour limiter et bloquer les scans de ports, utilisez ces règles :

iptables -N port-scanning 
iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN 
iptables -A port-scanning -j DROP

L’article 14 règles iptables Anti-DoS est apparu en premier sur malekal.com.

La date de sortie de la GeForce RTX 4070 Ti est prévue le 5 janvier 2023. L’information est issue d’un détaillant ayant mis en place un compte à rebours.

La carte graphique GeForce RTX 4070 Ti n’est pas vraiment une nouveauté. Il s’agit de la GeForce RTX 4080 12Go dont le lancement a été annulé en raison d’une dénomination trompeuse. Le détaillant italien Drako est à l’origine d’un compte à rebours autour d’une version personnalisée d’ASUS, le TUF Gaming RTX 4070 Ti O12G. Il prend fin le 5 janvier 2022. La date est plausible puisqu’elle s’aligne avec l’annonce officielle de la belle prévue le 3 janvier à l’occasion du CES 2023. La publication des tests indépendants autour de la carte serait de son coté autorisée à partir du 4 janvier.

La GeForce RTX 4080 12 Go est censé embarquer un GPU AD104 proposant 7 680 cœurs CUDA, 60 cœurs RT, 240 cœurs Tensor, 240 TMUs et 80 ROPs. Le GPU s’accompagne d’une interface mémoire 192-bit. L’équipement comprend 12 Go de GDDR6X à 21 Gbps soit de quoi assurer une bande passante mémoire de 504 Go / s. Toute cette mécanique s’accompagne d’une enveloppe thermique de 285 W. Ce chiffre est intéressant car il permet des cartes graphiques équipées de connecteurs PCIe à broches.

A noter que la page en question a été supprimée. Est-ce un signe qu’il s’agit de la bonne date ?

Source

Cet article GeForce RTX 4070 Ti, la commercialisation est prévue le 5 janvier 2023 a été publié en premier par GinjFo.

Le 28 novembre, Elon Musk déclarait sur Twitter qu'il comptait faire la guerre à Apple, qu'il accusait de « détester la liberté d'expression ». Après une rencontre avec Tim Cook, l'homme d'affaires est revenu sur ses propos qu'il qualifie de « malentendu ». Y a-t-il vraiment eu des tensions entre les deux entreprises ? [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Il est possible d'utiliser ChatGPT, un chatbot propulsé par GPT-3, sur iPhone en utilisant l'application Raccourci et une clé API d'OpenAI. Cela permet d'avoir le meilleur des deux mondes : Siri pour les tâches courantes et ChatGPT pour la génération de texte. [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

L'enseigne Intersport a été touchée par une cyberattaque en novembre 2022. Le groupe de hackers criminels Hive exige aujourd'hui une rançon à l'entreprise, en menaçant de publier des données sensibles. [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

L'enseigne Intersport a été touchée par une cyberattaque en novembre 2022. Le groupe de hackers criminels Hive exige aujourd'hui une rançon à l'entreprise, en menaçant de publier des données sensibles. [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

The Witcher 3: Wild Hunt va bientôt recevoir une ultime mise à jour qui lui permettra de tourner nativement sur PS5, Xbox Series S et Xbox Series X. Il y aura même quelques secrets.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Des premiers résultats de benchmark synthétique pour le fleuron RDNA 3. La carte rivalise, voire domine, la GeForce RTX 4080 sous Vulkan, mais est plus en difficulté sous OpenCL.

Les GeForce RTX 3060 12 Go et 8 Go s'affrontent sur 12 jeux, en Full HD et en 1440p. Les deux cartes graphiques délivrent un nombre moyen d'images par seconde bien différent...

Le tarif de la GeForce RTX 4080 est susceptible de baisser rapidement. Pourquoi ? Les Radeon RX 7900 series sont en approche.

Nvidia propose au travers de la GeForce RTX 4080 une base très solide pour les joueurs. La carte signe de jolies performances en haute résolution tout en s’armant pour répondre aux besoins des titres les plus récents. Malheureusement sans concurrence Nvidia a fixé son tarif recommandé à 1199 € ce qui la positionne sur un marché de niche. Cette tarification traduit également une explosion des prix sur le segment des cartes graphiques face à la génération précédente.

Selon un nouveau rapport il est fort possible que le constructeur soit obligé de revoir sa position face à l’arrivée des Radeon RX 4900 series. En clair Nvidia pourrait baisser son prix à partir de la mi-décembre afin d’avoir un produit plus compétitif. Pour le moment AMD a annoncé ses nouvelles Radeon RX 7900 series à des prix conseillés plus agressifs. La Radeon RX 7900 XTX est affiché à 999 $. Si ses performances lui permettent de proposer un bilan meilleur de celui de la RTX 4080, Nvidia va devoir revoir sa copie au travers d’un ajustement de son prix. Une baisse de 20% n’est pas à écarter.

Cet article GeForce RTX 4080, faut-il se préparer à une importante baisse de prix ? a été publié en premier par GinjFo.