Bonjour,
 
J'espère poster au bon endroit.  
 
Depuis quelques semaines, je constatais sur mon interface de gestion bbox (fibre) un panneau "conntrack trop de trafic" sur la page principale.
Tout fonctionnait bien.
 
En lien ou pas avec ce phénomène, je constate ce matin que je n'ai plus accès au ssh de deux de mes abonnés (raspberry pi), ni à mes caméras ip.
 
En allant dans l'interface de gestion / diagnostic / trafic, je vois l'indicateur "sessions" à la taquet et à 108% (?) due à un des abonnés : en l'occurrence l'une des caméras IP.
 
Je débranche la caméra : le trafic redevient normal et tout le reste du réseau aussi (ssh, caméras,..).
J'ai attendu 1heure avant de rebrancher la caméra : tout est resté normal y compris la caméra incriminée.  
 
L'indicateur 'session' de l'interface de gestion bbox reste très faible, par contre j'ai toujours le message Conntrack sur la page d'accueil.  
 
Pensez vous que ma caméra a subi une attaque ayant provoqué un déni de service?  
C'est une cam chinoise (avec login/mdp personnalisés), je n'ignore pas que leurs firmwares sont plein de backdoors, mais c'est la première fois que je rencontre ce phénomène en 20ans.
 
Merci de vos lumières !  

Est-ce que la caméra se retrouve sur https://www.insecam.org/ ?
Sinon il peut simplement s'agir d'une tentative d'accès à la caméra par des bots.
Est-ce que celle-ci s'octroie des ouvertures de ports ?
Si tel est le cas, je commencerais par limiter les IP pouvant se connecter à la caméra hors du réseau local.

Merci de ta réponse.
Non à priori elle n'est pas sur insecam.
Elle ne s'attribue pas d'autre port que celui nécessaire pour que j'y accède de l'extérieur via un dns dynamique et une redirection de port.

Je penche aussi pour un bot (les log de tentatives de connection sur pi m'ont déjà montré que c'est réel !) . Mais de la à bloquer le bon fonctionnement de certains services de mon réseau !?

Par ailleurs as tu une idée du message Conntrack résiduel ?

Merci

Difficile à dire, il y a plusieurs variables conntrack dans le noyau:
https://www.kernel.org/doc/Document [...] sysctl.txt
 
Sans doute que la valeur nf_conntrack_max est dépassée en cas d'attaques.
Seul hic, la bbox ne permet pas de modifier cette valeur et en cas de dépassement, cela pose problème, il me semble que les connexions entrantes sont DROP.

Merci pour toutes tes indications.
J'ai juste à croiser les doigts pour que ça n'arrive plus.

Si je n'avais pas été chez moi pendant longtemps, je n' aurais pas pu éteindre l'abonné incriminé et j'aurais bien été embêté !