Salut salut.
Au boulot pour un soucis avec un application se trouvant derrière un pfsense qui subissait une attaque Ddos sur un port en particulier router par défaut.
Nous avons fait avec l'accord du donneur d'ordre fait une petit modification au niveau du port d'ecoute sur la patte wan du pfsense en decalant vers un port tel que le 16000 et 16001 par exemple.
Ensuite nous avons diffusé a 50% de nos utilisateurs que le port etait le 16000 et au 50% autres que le bon port etait le 16001.
Au bout de quelques jours nous avons remarqué que le Ddos se portait sur le 16001.
Nous avons réitéré l'opération sur le 16001 vers deux autres ports 16100 et 16101 en redécoupant le panel des users connaissant le 16001 en 2 groupes sur les 2 autres nouveau ports et fermant le 16001, jusqu'a trouver la sources.
Le travail avais pris une longue période mais pour nous permettre de trouver le service qui nous gênait pour appliquer les contres mesures, comme par exemple lancer une vague d'intervention sur les postes pour et désinfection virale et malware car plusieurs poste étaient farcis de c'est petits choses, dont des applications fantômes. Nous avions des ordinateurs zombis.
Je ne dis pas que cela est la bonne solution mais une option qui pourrait être étudier.
Cordialement.