Discussion :

[sulfurex]

Bonjour
c'est avec stupeur que j ai recu ce matin de mon hebergeur francais , un mail m'annoncant que ma machine windows server 2008 attaque en DDOS.

j avoue que je ne sais pas trop par ou commencer pour trouver la source du probleme sur ma machine.

auriez vous deja une xperience dans ce type de recherche afin de trouver la source de cette attaque


en gros, voici le mail recu par mon hebergeur tres connu en france :
We are getting massive TCP and UDP DDOS attack from xxx.xxx.51.100 targeting our IPs

xx.xx.212.166
xx.xx.144.12
xx.xx.144.13
xx.xx.144.14
xx.xx.138.151
xx.xx.138.152

On ports 8396, 80 and 53.

Sample of captured packets:
============================
IP xxx.xxx.51.100 .49747 > xx.xx.14.80: TCP, length 1500
IP xxx.xxx.51.100 .49748 > xx.xx.144.14.80: TCP, length 1500
IP xxx.xxx.51.100 .49749 > xx.xx.144.14.80: TCP, length 1500
IP xxx.xxx.51.100 .49750 > xx.xx.144.14.80: TCP, length 1500
IP xxx.xxx.51.100 .49751 > xx.xx.144.14.80: TCP, length 1500
IP xxx.xxx.51.100 .49752 > xx.xx.144.14.80: TCP, length 1500
IP xxx.xxx.51.100 .49753 > xx.xx.144.14.80: TCP, length 1500
IP xxx.xxx.51.100 .49754 > xx.xx.144.14.80: TCP, length 1500

[mala92]

je n'ai jamais fait, mais je pense qu'un

netstat -o

va te permettre de savoir quel processus ouvert les ports dans la zone des 497xx.