Il y a apparemment une nouvelle « attaque » #dDoS en ce moment. Les symptômes sont un trafic HTTP intense, venant à 99 % d’adresses chinoises mais où les requêtes HTTP sont pour le Host : facebook.com (ou autre GAFA). L’URL path de la requête semble légitimement fait pour Facebook (des choses du genre GET /plugins/like_box.php).
▻http://furbo.org/2015/01/22/fear-china
La cause immédiate est le réseau chinois, qui génère des fausses réponses #DNS pour les requêtes sur les domaines censurés (comme Facebook) ▻http://seenthis.net/messages/80148 Avant, il semble qu’il générait des adresses IP où personne ne répondait, voire des adresses de classe E, non routables. Il est possible que les chinois aient changé récemment et génèrent des adresses qui sont celles de vrais serveurs HTTP, qui se prennent alors dans la gueule le trafic de tous les amateurs chinois de Facebook (et c’est grand, la Chine). Un nouveau type d’attaque par réflexion, donc, où le client HTTP est un innocent utilisateur, avec un innocent logiciel.
Un examen du DNS par PassiveDNS.cn montre effectivement que les victimes apparaissent en partie droite de bien des domaines (accounts.youtube.com, a.tracker.thepiratebay.org, api.facebook.com, etc).
En revanche, d’autres adresses IP n’ont jamais été la cible de telles « attaques », comme le montre PassiveDNS.cn.
Reste le mystère : est-ce que les chinois tirent au hasard les adresses IP et se foutent totalement du sort des gens qui apparaissent en partie droite de facebook.com, ou bien est-ce une attaque délibérée ?
Dans le premier cas, tout le monde sera victime tôt ou tard, dans le second, le gouvernement chinois joint l’utile à l’agréable en utilisant son système de censure pour faire des attaques.
