Re: [FRnOG] [TECH] Au bord du suicide
Bon, la solution avec NEO n'est pas jouable. Trop cher, plus assez de trésorerie. Je crois qu'ils n'ont pas compris notre situation. Dernière solution avec Jaguar à voir, sinon bah... Je ne sais pas. L'upgrade chez Cogent va prendre du temps. Cordialement, Jérémy Martin Le 18/06/2013 19:48, Pierre-Yves Maunier a écrit : Hello, Un vlan sur France-IX vers Neo ou Jaguar, du transit chez eux, un tunnel gre avec leur TMS c'est pas très compliqué, en attendant de tirer une fibre correctement. France-IX, Neo et Jaguar sont des gens réactifs, ça peut aller très vite, bon à voir les frais de setup après. Bon courage. On Tuesday, June 18, 2013, Jérémy Martin wrote: Bonjour, Bon, je vais être pessimiste, mais je pense que ce message sera peut être un prélude à la mort annoncé d'un opérateur / hébergeur local qui essaye de tirer son épingle du jeu et qui le paye très cher. Nous sommes sous le coup d'attaques de type Amplification DNS, généralement supérieure à 2 Gb/s depuis plusieurs semaines. Et depuis cet après midi, c'est la farandole puisque c'est un /22 entier qui est visé avec une rotation aléatoire des IP cible. Aucune solution rapide à l'horizon, on parle bien d'upgrader sur du 10G Cogent mais ça va prendre du temps. Neo et Jaguar me proposent des solutions de Transit IP protégé via arbor avec tunnel GRE mais c'est relativement complexe à mettre en place, et surtout ça ne pourra se faire que sous 24/72h le temps de remuer tout le monde. Je suis au bord du suicide... Bonne nuit :( -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr http://techcrea.fr Web : http://www.firstheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bonjour Jeremy, Je trouve honorable le projet que vous semblez avoir et les tarifs que vous pratiquez. Mais je rejoins Raphaël : L'incident était prévisible, les solutions étaient ou pouvaient/devaient être connues avant l'incident. Et visiblement vous dépendez majoritairement de Cogent qui semble ne pas apporter de solution de Blackholing, et/ou d'upgrade en urgence. Ce n'est pas auprès des fournisseurs avec qui vous n'étiez pas déjà sous contrat de gérer de l'urgence à moindre coût pour vous. Trève de blâme, J'espère que votre problème va se solutionner car ce n'est jamais cool d'être esclave d'un DDOS ; mais je ne ne trouvait pas cool le : Bon, la solution avec NEO n'est pas jouable. Trop cher, plus assez de trésorerie. Je crois qu'ils n'ont pas compris notre situation. Cordialement, -- David CHANIAL - DaviXX Le 19 juin 2013 10:11, Jérémy Martin li...@freeheberg.com a écrit : Bon, la solution avec NEO n'est pas jouable. Trop cher, plus assez de trésorerie. Je crois qu'ils n'ont pas compris notre situation. Dernière solution avec Jaguar à voir, sinon bah... Je ne sais pas. L'upgrade chez Cogent va prendre du temps. Cordialement, Jérémy Martin Le 18/06/2013 19:48, Pierre-Yves Maunier a écrit : Hello, Un vlan sur France-IX vers Neo ou Jaguar, du transit chez eux, un tunnel gre avec leur TMS c'est pas très compliqué, en attendant de tirer une fibre correctement. France-IX, Neo et Jaguar sont des gens réactifs, ça peut aller très vite, bon à voir les frais de setup après. Bon courage. On Tuesday, June 18, 2013, Jérémy Martin wrote: Bonjour, Bon, je vais être pessimiste, mais je pense que ce message sera peut être un prélude à la mort annoncé d'un opérateur / hébergeur local qui essaye de tirer son épingle du jeu et qui le paye très cher. Nous sommes sous le coup d'attaques de type Amplification DNS, généralement supérieure à 2 Gb/s depuis plusieurs semaines. Et depuis cet après midi, c'est la farandole puisque c'est un /22 entier qui est visé avec une rotation aléatoire des IP cible. Aucune solution rapide à l'horizon, on parle bien d'upgrader sur du 10G Cogent mais ça va prendre du temps. Neo et Jaguar me proposent des solutions de Transit IP protégé via arbor avec tunnel GRE mais c'est relativement complexe à mettre en place, et surtout ça ne pourra se faire que sous 24/72h le temps de remuer tout le monde. Je suis au bord du suicide... Bonne nuit :( -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr http://techcrea.fr Web : http://www.firstheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bah pour le coup, Oui, Raphaël nous a prévenu, le blackholing est en place sur Cogent et il fonctionne, ce n'est pas le soucis. Quand le mec vous balance une ampli DNS avec une rotation aléatoire de la cible sur un /22 entier, vous ne pouvez rien faire, même avec un réseau solide, en dehors d'un arbor. Et il ne faut pas prendre mon commentaire vis à vis de néo de manière péjorative. Ils sont vraiment cool d'avoir pu être réactif sur la solution et la mise en oeuvre, mais là, je suis fataliste, déprimé, pessimiste, bref. Merci pour votre soutient dans tous les cas, Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr Web : http://www.firstheberg.com Le 19/06/2013 10:23, David CHANIAL a écrit : Bonjour Jeremy, Je trouve honorable le projet que vous semblez avoir et les tarifs que vous pratiquez. Mais je rejoins Raphaël : L'incident était prévisible, les solutions étaient ou pouvaient/devaient être connues avant l'incident. Et visiblement vous dépendez majoritairement de Cogent qui semble ne pas apporter de solution de Blackholing, et/ou d'upgrade en urgence. Ce n'est pas auprès des fournisseurs avec qui vous n'étiez pas déjà sous contrat de gérer de l'urgence à moindre coût pour vous. Trève de blâme, J'espère que votre problème va se solutionner car ce n'est jamais cool d'être esclave d'un DDOS ; mais je ne ne trouvait pas cool le : Bon, la solution avec NEO n'est pas jouable. Trop cher, plus assez de trésorerie. Je crois qu'ils n'ont pas compris notre situation. Cordialement, -- David CHANIAL - DaviXX Le 19 juin 2013 10:11, Jérémy Martin li...@freeheberg.com mailto:li...@freeheberg.com a écrit : Bon, la solution avec NEO n'est pas jouable. Trop cher, plus assez de trésorerie. Je crois qu'ils n'ont pas compris notre situation. Dernière solution avec Jaguar à voir, sinon bah... Je ne sais pas. L'upgrade chez Cogent va prendre du temps. Cordialement, Jérémy Martin Le 18/06/2013 19:48, Pierre-Yves Maunier a écrit : Hello, Un vlan sur France-IX vers Neo ou Jaguar, du transit chez eux, un tunnel gre avec leur TMS c'est pas très compliqué, en attendant de tirer une fibre correctement. France-IX, Neo et Jaguar sont des gens réactifs, ça peut aller très vite, bon à voir les frais de setup après. Bon courage. On Tuesday, June 18, 2013, Jérémy Martin wrote: Bonjour, Bon, je vais être pessimiste, mais je pense que ce message sera peut être un prélude à la mort annoncé d'un opérateur / hébergeur local qui essaye de tirer son épingle du jeu et qui le paye très cher. Nous sommes sous le coup d'attaques de type Amplification DNS, généralement supérieure à 2 Gb/s depuis plusieurs semaines. Et depuis cet après midi, c'est la farandole puisque c'est un /22 entier qui est visé avec une rotation aléatoire des IP cible. Aucune solution rapide à l'horizon, on parle bien d'upgrader sur du 10G Cogent mais ça va prendre du temps. Neo et Jaguar me proposent des solutions de Transit IP protégé via arbor avec tunnel GRE mais c'est relativement complexe à mettre en place, et surtout ça ne pourra se faire que sous 24/72h le temps de remuer tout le monde. Je suis au bord du suicide... Bonne nuit :( -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr http://techcrea.fr http://techcrea.fr Web : http://www.firstheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bonjour, N'avez-vous pas intêret à essayer - si possible - de trouver un accord financier et/ou un échelonnement avec Neo, si à ce stade, c'est votre seule solution disponible ? my 2 cents, -- David CHANIAL - DaviXX Le 19 juin 2013 10:26, Jérémy Martin li...@freeheberg.com a écrit : Bah pour le coup, Oui, Raphaël nous a prévenu, le blackholing est en place sur Cogent et il fonctionne, ce n'est pas le soucis. Quand le mec vous balance une ampli DNS avec une rotation aléatoire de la cible sur un /22 entier, vous ne pouvez rien faire, même avec un réseau solide, en dehors d'un arbor. Et il ne faut pas prendre mon commentaire vis à vis de néo de manière péjorative. Ils sont vraiment cool d'avoir pu être réactif sur la solution et la mise en oeuvre, mais là, je suis fataliste, déprimé, pessimiste, bref. Merci pour votre soutient dans tous les cas, Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr Web : http://www.firstheberg.com Le 19/06/2013 10:23, David CHANIAL a écrit : Bonjour Jeremy, Je trouve honorable le projet que vous semblez avoir et les tarifs que vous pratiquez. Mais je rejoins Raphaël : L'incident était prévisible, les solutions étaient ou pouvaient/devaient être connues avant l'incident. Et visiblement vous dépendez majoritairement de Cogent qui semble ne pas apporter de solution de Blackholing, et/ou d'upgrade en urgence. Ce n'est pas auprès des fournisseurs avec qui vous n'étiez pas déjà sous contrat de gérer de l'urgence à moindre coût pour vous. Trève de blâme, J'espère que votre problème va se solutionner car ce n'est jamais cool d'être esclave d'un DDOS ; mais je ne ne trouvait pas cool le : Bon, la solution avec NEO n'est pas jouable. Trop cher, plus assez de trésorerie. Je crois qu'ils n'ont pas compris notre situation. Cordialement, -- David CHANIAL - DaviXX Le 19 juin 2013 10:11, Jérémy Martin li...@freeheberg.com mailto:li...@freeheberg.com a écrit : Bon, la solution avec NEO n'est pas jouable. Trop cher, plus assez de trésorerie. Je crois qu'ils n'ont pas compris notre situation. Dernière solution avec Jaguar à voir, sinon bah... Je ne sais pas. L'upgrade chez Cogent va prendre du temps. Cordialement, Jérémy Martin Le 18/06/2013 19:48, Pierre-Yves Maunier a écrit : Hello, Un vlan sur France-IX vers Neo ou Jaguar, du transit chez eux, un tunnel gre avec leur TMS c'est pas très compliqué, en attendant de tirer une fibre correctement. France-IX, Neo et Jaguar sont des gens réactifs, ça peut aller très vite, bon à voir les frais de setup après. Bon courage. On Tuesday, June 18, 2013, Jérémy Martin wrote: Bonjour, Bon, je vais être pessimiste, mais je pense que ce message sera peut être un prélude à la mort annoncé d'un opérateur / hébergeur local qui essaye de tirer son épingle du jeu et qui le paye très cher. Nous sommes sous le coup d'attaques de type Amplification DNS, généralement supérieure à 2 Gb/s depuis plusieurs semaines. Et depuis cet après midi, c'est la farandole puisque c'est un /22 entier qui est visé avec une rotation aléatoire des IP cible. Aucune solution rapide à l'horizon, on parle bien d'upgrader sur du 10G Cogent mais ça va prendre du temps. Neo et Jaguar me proposent des solutions de Transit IP protégé via arbor avec tunnel GRE mais c'est relativement complexe à mettre en place, et surtout ça ne pourra se faire que sous 24/72h le temps de remuer tout le monde. Je suis au bord du suicide... Bonne nuit :( -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr http://techcrea.fr http://techcrea.fr Web : http://www.firstheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre-Yves Maunier --- Liste de
[FRnOG] [TECH] [Electricité] Mesure sur arrivée triphasée A / V / VA
Bonjour, Je suis en train de remettre a plat l'électricité d'un petit datacenter de ma modeste boite. Comme les anciens locataires des locaux avaient fait des trucs zarb (comme mettre sur l'arrivée électrique de la salle info, le split de la clim des bureaux), on pense un peut a refaire des choses propres. Dans la série propre, j'aimerais coller un compteur d'énergie triphasé pour mesurer en temps réél la conso sur mes 3 phases : - volts - ampères - VA ... Le truc c'est qu'on pas une salle qui comme a mort, et je voudrai juste mettre quelque chose qui compte proprement entre le différentiel et le disjoncteur qui me remonte en IP les infos. J'ai plusieurs méthodes : - je prends une usine a gaz type les devices legrand qui me demande en bref l'installation de 3 à 4 modules + une passerelle IP (ou un PéCé sous windows) - je prends un compteur à impulsion et je colles un IPX800 de GCE Electronics (qui me permettra de faire de la supervision environnementale de la salle) - je prends un compteur EDF like (voir ebay), une passerelle téléinfo GCE Electronics ou une passerelle fais maison et j'ai ce que j'ai chez moi : conso instantanée, Kwh etc... Vu qu'on as une petite salle : 20A Triphasé courbe C (ok pas terrible je l'accorde), je pense que c'est faisable correctement. L'idée c'est _surtout_ pas dépendre d'une VM / PéCé Windows qui vas nous casser les couilles pour interfacer ça sur nos outils opensource de monitoring / reporting : Observium / Zabbix / truc à base de rrdtool. Qu'avez vous de votre coté en place ? (je voudrais éviter le pinces ampèremétriques mises en place, car d'expérience c'est jamais super précis). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Contact OpenTransit
Bonjour, Quelqu'un aurait sous la main un contact chez Opentransit (niveau transit bgp internet) ? Merci d'avance Jerome --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bonjour. On Jun 19, 2013, at 10:23 AM, David CHANIAL wrote: L'incident était prévisible, les solutions étaient ou pouvaient/devaient être connues avant l'incident. Et visiblement vous dépendez majoritairement de Cogent qui semble ne pas apporter de solution de Blackholing, et/ou d'upgrade en urgence. Ce n'est pas auprès des fournisseurs avec qui vous n'étiez pas déjà sous contrat de gérer de l'urgence à moindre coût pour vous. Généralement les DDOS n'arrivent pas sans raisons. Surtout sur autant d'adresses comme vous l'expliquez ! Si ils sont la c'est que vous hébergez un site qui déplait à l'attaquant et/ou, vous êtes victime de guéguerre entre équipe de serveurs de jeux. C'est courant chez eux ce genre de pratiques … Peut être que depuis votre réseau un ou plusieurs serveurs DDOS un autre réseau à votre insu etc ... 3 actions à entreprendre : - Résilier à l'amiable le contrat de la personne se faisait attaquer, et cela afin de protéger les autres clients. (Ou le déporter ailleurs sur un autre AS qui peut proposer des services de filtrages, et qui sait facturer a ses clients ayant tendance à se faire DDOS un service de firewall) - Identifier les premiers à s'être fait attaquer (avant que votre /22 au complet en soit la cible) et couper le service, et cela afin de protéger les autres clients. - Se prémunir des effets de bord sur votre réseau en le dimensionnant pour être en mesure d'absorber ce genre de DDOS. Si votre trésorerie ne permet pas de souscrire des tuyaux plus gros, ou que vous ne pouvez pas payer de services de filtrage à la Arbor tel qu'il vous ai conseillé, c'est peut être que votre bizness model demande à être amélioré. Quoi qu'il en soit je vous souhaite bonne chance, car à moins d'être assez gros pour absorber l'attaque, on peut juste regarder son réseau s'écrouler et attendre. Alexandre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bonjour Le 19 juin 2013 10:26, Jérémy Martin li...@freeheberg.com a écrit : vous ne pouvez rien faire, même avec un réseau solide, en dehors d'un arbor. Je pense qu'il fallait comprendre les conseils, notamment de Raphael, comme cela : vu votre infra et votre business, vous devriez mettre un Arbor. En effet, la situation actuelle le prouve, comme vous l'avez résumé. Donc : - soit vos clients acceptent la situation, car à prix réduits, c'est évident qu'une solution de type Arbor n'est pas déployable. - soit vos clients n'acceptent pas la situation, auquel cas, il aurait fallu prévoir un Arbor ... mais du coup, surement pas à ce prix là. Conclusion, comme depuis des années sur le Net, c'est en cas de crash qu'on se rend compte que les solutions de sécurité étaient nécessaires, et que le Low Cost a toujours un prix. J'espère sincèrement que vous trouverez rapidement une solution cependant, et que cela vous permette de voir l'avenir plus sereinement. Cdt, Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bonjour, Une piste, trouver les resolvers src et les limiter voir ban. [...] The source IP addresses are not spoofed in the IP packets carrying the DNS response messages, so the source addresses identify the open recursive servers the zombies use. Depending on the severity of the attack and how strongly you wish to respond, you can rate-limit traffic from these source IP addresses or use a filtering rule that drops DNS response messages that are suspiciously large (over 512 bytes). [...] Src : http://www.watchguard.com/infocenter/editorial/41649.asp Courage, Cordialement Le 19/06/2013 11:12, Guillaume Barrot a écrit : Bonjour Le 19 juin 2013 10:26, Jérémy Martin li...@freeheberg.com a écrit : vous ne pouvez rien faire, même avec un réseau solide, en dehors d'un arbor. Je pense qu'il fallait comprendre les conseils, notamment de Raphael, comme cela : vu votre infra et votre business, vous devriez mettre un Arbor. En effet, la situation actuelle le prouve, comme vous l'avez résumé. Donc : - soit vos clients acceptent la situation, car à prix réduits, c'est évident qu'une solution de type Arbor n'est pas déployable. - soit vos clients n'acceptent pas la situation, auquel cas, il aurait fallu prévoir un Arbor ... mais du coup, surement pas à ce prix là. Conclusion, comme depuis des années sur le Net, c'est en cas de crash qu'on se rend compte que les solutions de sécurité étaient nécessaires, et que le Low Cost a toujours un prix. J'espère sincèrement que vous trouverez rapidement une solution cependant, et que cela vous permette de voir l'avenir plus sereinement. Cdt, Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bonjour, Déjà bon courage Jeremy ! Quelle solution existe t'il sans passer par des solutions de type arbor afin de contrer des attaques DDOS quand on est une petite boite ? Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Je me doute que de nombreuse petite boite ne peuvent pas se permettre d'acheter et installer de l'arbor sur leur infra réseau, comment et quesqu'elles utilisent pour sécuriser ? Beaucoup d'entre elle prone le libre, existe t'il une solution opensource pour sécuriser un peux leur réseau et outils de détection ? Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? Est-il possible de faire un filtre au niveau des switchs manageable afin de limiter les dégats ? De : Leslie-Alexandre DENIS - DCforDATA lade...@dcfordata.com À : Jérémy Martin li...@freeheberg.com Cc : frnog-tech frnog-t...@frnog.org Envoyé le : Mercredi 19 juin 2013 11h32 Objet : Re: [FRnOG] [TECH] Au bord du suicide Bonjour, Une piste, trouver les resolvers src et les limiter voir ban. [...] The source IP addresses are not spoofed in the IP packets carrying the DNS response messages, so the source addresses identify the open recursive servers the zombies use. Depending on the severity of the attack and how strongly you wish to respond, you can rate-limit traffic from these source IP addresses or use a filtering rule that drops DNS response messages that are suspiciously large (over 512 bytes). [...] Src : http://www.watchguard.com/infocenter/editorial/41649.asp Courage, Cordialement Le 19/06/2013 11:12, Guillaume Barrot a écrit : Bonjour Le 19 juin 2013 10:26, Jérémy Martin li...@freeheberg.com a écrit : vous ne pouvez rien faire, même avec un réseau solide, en dehors d'un arbor. Je pense qu'il fallait comprendre les conseils, notamment de Raphael, comme cela : vu votre infra et votre business, vous devriez mettre un Arbor. En effet, la situation actuelle le prouve, comme vous l'avez résumé. Donc : - soit vos clients acceptent la situation, car à prix réduits, c'est évident qu'une solution de type Arbor n'est pas déployable. - soit vos clients n'acceptent pas la situation, auquel cas, il aurait fallu prévoir un Arbor ... mais du coup, surement pas à ce prix là. Conclusion, comme depuis des années sur le Net, c'est en cas de crash qu'on se rend compte que les solutions de sécurité étaient nécessaires, et que le Low Cost a toujours un prix. J'espère sincèrement que vous trouverez rapidement une solution cependant, et que cela vous permette de voir l'avenir plus sereinement. Cdt, Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bonjour, Le 2013-06-19 12:30, Antoine Durant a écrit : Bonjour, Déjà bon courage Jeremy ! Quelle solution existe t'il sans passer par des solutions de type arbor afin de contrer des attaques DDOS quand on est une petite boite ? Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Je n'ai pas vraiment de retour, mais peut-être voir du côté de 6cure (entreprise française). Je me doute que de nombreuse petite boite ne peuvent pas se permettre d'acheter et installer de l'arbor sur leur infra réseau, comment et quesqu'elles utilisent pour sécuriser ? Beaucoup d'entre elle prone le libre, existe t'il une solution opensource pour sécuriser un peux leur réseau et outils de détection ? Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? Est-il possible de faire un filtre au niveau des switchs manageable afin de limiter les dégats ? De : Leslie-Alexandre DENIS - DCforDATA lade...@dcfordata.com À : Jérémy Martin li...@freeheberg.com Cc : frnog-tech frnog-t...@frnog.org Envoyé le : Mercredi 19 juin 2013 11h32 Objet : Re: [FRnOG] [TECH] Au bord du suicide Bonjour, Une piste, trouver les resolvers src et les limiter voir ban. [...] The source IP addresses are not spoofed in the IP packets carrying the DNS response messages, so the source addresses identify the open recursive servers the zombies use. Depending on the severity of the attack and how strongly you wish to respond, you can rate-limit traffic from these source IP addresses or use a filtering rule that drops DNS response messages that are suspiciously large (over 512 bytes). [...] Src : http://www.watchguard.com/infocenter/editorial/41649.asp Courage, Cordialement Le 19/06/2013 11:12, Guillaume Barrot a écrit : Bonjour Le 19 juin 2013 10:26, Jérémy Martin li...@freeheberg.com a écrit : vous ne pouvez rien faire, même avec un réseau solide, en dehors d'un arbor. Je pense qu'il fallait comprendre les conseils, notamment de Raphael, comme cela : vu votre infra et votre business, vous devriez mettre un Arbor. En effet, la situation actuelle le prouve, comme vous l'avez résumé. Donc : - soit vos clients acceptent la situation, car à prix réduits, c'est évident qu'une solution de type Arbor n'est pas déployable. - soit vos clients n'acceptent pas la situation, auquel cas, il aurait fallu prévoir un Arbor ... mais du coup, surement pas à ce prix là. Conclusion, comme depuis des années sur le Net, c'est en cas de crash qu'on se rend compte que les solutions de sécurité étaient nécessaires, et que le Low Cost a toujours un prix. J'espère sincèrement que vous trouverez rapidement une solution cependant, et que cela vous permette de voir l'avenir plus sereinement. Cdt, Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
C'est quoi la blague la ? trop cher, ils n'ont pas compris notre situation Depuis quand c'est au transitaire de réduire drastiquement ses tarifs pour s'adapter aux problèmes de trésorerie du client ? Faut ptete pas déconner la. C'est pas parce que c'est une solution chère qu'ils sont débiles et n'ont pas compris [ta] situation Je pense qu'au contraire ils ont très bien compris ta situation, par contre je vois pas en vertu de quoi ils devraient t'offrir la solution quand leurs autres clients se la voient facturer. On Jun 19, 2013, at 10:11 AM, Jérémy Martin li...@freeheberg.com wrote: Bon, la solution avec NEO n'est pas jouable. Trop cher, plus assez de trésorerie. Je crois qu'ils n'ont pas compris notre situation. Dernière solution avec Jaguar à voir, sinon bah... Je ne sais pas. L'upgrade chez Cogent va prendre du temps. Cordialement, Jérémy Martin Le 18/06/2013 19:48, Pierre-Yves Maunier a écrit : Hello, Un vlan sur France-IX vers Neo ou Jaguar, du transit chez eux, un tunnel gre avec leur TMS c'est pas très compliqué, en attendant de tirer une fibre correctement. France-IX, Neo et Jaguar sont des gens réactifs, ça peut aller très vite, bon à voir les frais de setup après. Bon courage. On Tuesday, June 18, 2013, Jérémy Martin wrote: Bonjour, Bon, je vais être pessimiste, mais je pense que ce message sera peut être un prélude à la mort annoncé d'un opérateur / hébergeur local qui essaye de tirer son épingle du jeu et qui le paye très cher. Nous sommes sous le coup d'attaques de type Amplification DNS, généralement supérieure à 2 Gb/s depuis plusieurs semaines. Et depuis cet après midi, c'est la farandole puisque c'est un /22 entier qui est visé avec une rotation aléatoire des IP cible. Aucune solution rapide à l'horizon, on parle bien d'upgrader sur du 10G Cogent mais ça va prendre du temps. Neo et Jaguar me proposent des solutions de Transit IP protégé via arbor avec tunnel GRE mais c'est relativement complexe à mettre en place, et surtout ça ne pourra se faire que sous 24/72h le temps de remuer tout le monde. Je suis au bord du suicide... Bonne nuit :( -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr http://techcrea.fr Web : http://www.firstheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Hello Le 19 juin 2013 12:30, Antoine Durant antoine.duran...@yahoo.fr a écrit : Quelle solution existe t'il sans passer par des solutions de type arbor afin de contrer des attaques DDOS quand on est une petite boite ? Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement annoncés, via du trafic légitime détourné, pas grand chose, voire rien. Soit tu null route les destinations, pour protéger l'infra (mais l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. Évidemment, je pars du principe que les postulats de base sont respectés (application strict de la BCP38, filtrage de la RFC1918 en entrée sur tes ports de transit/peering, etc.). La limite c'est la taille de tes ports de transit et/ou peering. Si tu as 10G de capa, et que tu prends 12G de traf légitime (botnet) sur un scope annoncé chez toi ... il n'y a que ton transitaire qui puisse faire quelque chose en amont. Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Change de transitaire. Je me doute que de nombreuse petite boite ne peuvent pas se permettre d'acheter et installer de l'arbor sur leur infra réseau, comment et quesqu'elles utilisent pour sécuriser ? Elles prennent le risque. La période n'est pas facile pour ces boites, car les DDOS se multiplient et seuls ceux qui ont une taille critique peuvent investir dans l'infra nécessaire (ou les services nécessaires chez leur transitaire). Beaucoup d'entre elle prone le libre, existe t'il une solution opensource pour sécuriser un peux leur réseau et outils de détection ? Pas à ma connaissance sur la partie filtering pur (c'est pas mal de hardware). Sur les manipulations BGP, tu as bien sur des outils libres. Si tu veux faire du filtrage applicatif, les outils existent (snort ?), mais là on est plus du tout dans la protection contre le DDOS. Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? Qu'essaye tu de proteger ? Les destinations ou ton infra ? Est-il possible de faire un filtre au niveau des switchs manageable afin de limiter les dégats ? Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au trafic légitime, la seule distinction sera peut-etre un regex dans le champ applicatif... bon courage pour le filtrer sur un switch. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Change de transitaire. Oui solution simple (sur le papier) et efficasse... Par contre je pensais que Cogent avait la possibilité de null router sur demande ! Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? Qu'essaye tu de proteger ? Les destinations ou ton infra ? En général on essaye de protéger les deux non ? Peut être mettre plus l'accent sur l'infra... Est-il possible de faire un filtre au niveau des switchs manageable afin de limiter les dégats ? Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au trafic légitime, la seule distinction sera peut-etre un regex dans le champ applicatif... bon courage pour le filtrer sur un switch. Oui en réfléchissant cela va être plus compliqué, sauf à limiter la BP du port afin d'éviter que le serveur qui est derrire pompe un max de BP... De : Guillaume Barrot guillaume.bar...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Leslie-Alexandre DENIS - DCforDATA lade...@dcfordata.com; Jérémy Martin li...@freeheberg.com; frnog-tech frnog-t...@frnog.org Envoyé le : Mercredi 19 juin 2013 13h55 Objet : Re: [FRnOG] [TECH] Au bord du suicide Hello Le 19 juin 2013 12:30, Antoine Durant antoine.duran...@yahoo.fr a écrit : Quelle solution existe t'il sans passer par des solutions de type arbor afin de contrer des attaques DDOS quand on est une petite boite ? Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement annoncés, via du trafic légitime détourné, pas grand chose, voire rien. Soit tu null route les destinations, pour protéger l'infra (mais l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. Évidemment, je pars du principe que les postulats de base sont respectés (application strict de la BCP38, filtrage de la RFC1918 en entrée sur tes ports de transit/peering, etc.). La limite c'est la taille de tes ports de transit et/ou peering. Si tu as 10G de capa, et que tu prends 12G de traf légitime (botnet) sur un scope annoncé chez toi ... il n'y a que ton transitaire qui puisse faire quelque chose en amont. Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Change de transitaire. Je me doute que de nombreuse petite boite ne peuvent pas se permettre d'acheter et installer de l'arbor sur leur infra réseau, comment et quesqu'elles utilisent pour sécuriser ? Elles prennent le risque. La période n'est pas facile pour ces boites, car les DDOS se multiplient et seuls ceux qui ont une taille critique peuvent investir dans l'infra nécessaire (ou les services nécessaires chez leur transitaire). Beaucoup d'entre elle prone le libre, existe t'il une solution opensource pour sécuriser un peux leur réseau et outils de détection ? Pas à ma connaissance sur la partie filtering pur (c'est pas mal de hardware). Sur les manipulations BGP, tu as bien sur des outils libres. Si tu veux faire du filtrage applicatif, les outils existent (snort ?), mais là on est plus du tout dans la protection contre le DDOS. Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? Qu'essaye tu de proteger ? Les destinations ou ton infra ? Est-il possible de faire un filtre au niveau des switchs manageable afin de limiter les dégats ? Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au trafic légitime, la seule distinction sera peut-etre un regex dans le champ applicatif... bon courage pour le filtrer sur un switch. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Le 19/06/2013 13:55, Guillaume Barrot a écrit : Hello Le 19 juin 2013 12:30, Antoine Durant antoine.duran...@yahoo.fr a écrit : Quelle solution existe t'il sans passer par des solutions de type arbor afin de contrer des attaques DDOS quand on est une petite boite ? Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement annoncés, via du trafic légitime détourné, pas grand chose, voire rien. Soit tu null route les destinations, pour protéger l'infra (mais l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. Évidemment, je pars du principe que les postulats de base sont respectés (application strict de la BCP38, filtrage de la RFC1918 en entrée sur tes ports de transit/peering, etc.). Pour du trafic TCP, tu peux utiliser des règles de firewall TARPIT, qui ont pour effet d'accepter une connexion TCP, tout en retournant une taille de fenêtre TCP à 0 pour empêcher le transfert de données sur cette session TCP. L'attaquant doit alors ouvrir de nouvelles connexions TCP, et va consommer de plus en plus de mémoire jusqu'à saturation. Les attaques de botnet proviennent souvent de machines piratées sur lesquelles les attaquants n'ont pas forcément un accès complet et le processus qui génère l'attaque finira par provoquer un BSOD, ou se faire killer par le système. Par contre pour du trafic UDP, pas grand chose à faire à ma connaissance ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ACL ip access-list deny/permit switch cisco
Bonjour, Est-ce que cela est normal lors d'un reboot du switch que les N° de séquence ne soient plus ceux que j'avais rentré ? avant reboot ip access-list extended ACL_IP 10 permit ip any host x.x.x.x 20 deny ip any host x.x.x.x 1010... 1020 ... 65000 deny ip any any 65010 permit ip any host X.x.x.x avant reboot ip access-list extended ACL_IP 10 permit ip any host x.x.x.x 20 deny ip any host x.x.x.x 30 ... 40 ... 50 deny ip any any 60 permit ip any host X.x.x.x --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Conf LA-110 Orange
Bonjour, Vous pouvez-vous connecter en port série dessus, 99% du temps le mot de pass est.. LA110 Cordialement B CAVROS -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Emmanuel Lacour Envoyé : mercredi 19 juin 2013 16:18 À : frnog-tech Objet : [FRnOG] [TECH] Conf LA-110 Orange Bonjour à tous, est-ce que quelqu'un sait comment est configuré le port lan (en terme de vitesse/duplex/autoneg) des RAD LA-110 installés par FT pour du DSL? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Conf LA-110 Orange
Bonjour à tous, est-ce que quelqu'un sait comment est configuré le port lan (en terme de vitesse/duplex/autoneg) des RAD LA-110 installés par FT pour du DSL? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Conf LA-110 Orange
Dans les STAS et dans 95% des cas: 100 Full forcé Le 19/06/2013 16:18, Emmanuel Lacour a écrit : Bonjour à tous, est-ce que quelqu'un sait comment est configuré le port lan (en terme de vitesse/duplex/autoneg) des RAD LA-110 installés par FT pour du DSL? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Conf LA-110 Orange
Bonjour, Voici une procédure qui a quasiment toujours fonctionné pour moi : * *Connexion en mode console sur le port DCE (8N1 9600) Mots de passe habituellement utilisés par les techniciens FT t : la ou lala ou 1234 ou 4321 Pour information, si vous rentrez 3 mot de passe erronés de suite, la connexion est refusé pendant 15 minutes. Une fois connectée : * taper DEF LAN * avec les fleches UP/DOWN mettre auto Negotation sur disable * se rendre sur Default type (avec la touche tabulation) * se mettre en 100BASE_T - full duplex mode. * valider plusieurs fois avec la touche Entrée Cdt, JP --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
n'importe quel opérateur va supporter un null-route de la destination c'est à dire l'ip attaquée chez toi. Ca permet juste au trafic DDOS de ne pas rentrer sur ton réseau, cependant l'ip attaquée n'est pas joignable : l'attaquant a gagné. Dans le cas présent le mec s'amuse apparemment à ddos l'ensemble du /22 : null-router le /22 revient à perdre toute connectivité et donc toute source de revenus. Il faut donc un transitaire capable de faire un filtrage intelligent ayant une solution chez lui type arbor : - le trafic est re-routé dans le réseau du transitaire vers un boitier qui va filtrer l'indésirable pour balancer le légitime uniquement. Ca coute cher parce que : un arbor c'est assez efficace mais pour que ca fonctionne il faut : Des sondes netflow qui vont détecter l'attaque et ces sondes coutent cher. (Arbor Peakflow) Une fois que l'attaque est détectée il faut la mitiger avec un boitier dédié (Arbor TMS), qui n'est pas donné non plus. Le prix d'un meg sécurisé est certes beaucoup plus cher mais il faut comprendre qu'on ne paye que le meg entrant filtré donc quasiment rien. Imaginons que tu sois un hébergeur et sur tes transits tu as 1G en out et 100M en in. Tu as UNE ip qui se prend 2G de DDOS, chez l'opérateur les 2G sont redirigés vers le boitier, et il ne ressort que le légitime qui va etre de 5 ou 6 mbits on va dire pour 1 IP dest. Tu vas payer plein d'euros le mega mais que pour 6 meg donc voilà quoi ca reste raisonnable. Le setup est cher mais une solution anti ddos c'est comme une assurance, ça coute cher mais quand ca sert t'es content de l'avoir. Peut-etre que les modèles de revente de solutions anti-ddos ont changés mais à ma connaissance certains font comme ça. A ma connaissance, aujourd'hui Neo, Jaguar et Colt disposent d'Arbor TMS sur leur réseau. Le 19 juin 2013 14:28, Antoine Durant antoine.duran...@yahoo.fr a écrit : Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Change de transitaire. Oui solution simple (sur le papier) et efficasse... Par contre je pensais que Cogent avait la possibilité de null router sur demande ! Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? Qu'essaye tu de proteger ? Les destinations ou ton infra ? En général on essaye de protéger les deux non ? Peut être mettre plus l'accent sur l'infra... Est-il possible de faire un filtre au niveau des switchs manageable afin de limiter les dégats ? Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au trafic légitime, la seule distinction sera peut-etre un regex dans le champ applicatif... bon courage pour le filtrer sur un switch. Oui en réfléchissant cela va être plus compliqué, sauf à limiter la BP du port afin d'éviter que le serveur qui est derrire pompe un max de BP... De : Guillaume Barrot guillaume.bar...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Leslie-Alexandre DENIS - DCforDATA lade...@dcfordata.com; Jérémy Martin li...@freeheberg.com; frnog-tech frnog-t...@frnog.org Envoyé le : Mercredi 19 juin 2013 13h55 Objet : Re: [FRnOG] [TECH] Au bord du suicide Hello Le 19 juin 2013 12:30, Antoine Durant antoine.duran...@yahoo.fr a écrit : Quelle solution existe t'il sans passer par des solutions de type arbor afin de contrer des attaques DDOS quand on est une petite boite ? Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement annoncés, via du trafic légitime détourné, pas grand chose, voire rien. Soit tu null route les destinations, pour protéger l'infra (mais l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. Évidemment, je pars du principe que les postulats de base sont respectés (application strict de la BCP38, filtrage de la RFC1918 en entrée sur tes ports de transit/peering, etc.). La limite c'est la taille de tes ports de transit et/ou peering. Si tu as 10G de capa, et que tu prends 12G de traf légitime (botnet) sur un scope annoncé chez toi ... il n'y a que ton transitaire qui puisse faire quelque chose en amont. Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Change de transitaire. Je me doute que de nombreuse petite boite ne peuvent pas se permettre d'acheter et installer de l'arbor sur leur infra réseau, comment et quesqu'elles utilisent pour sécuriser ? Elles prennent le risque. La période n'est pas facile pour ces boites, car les DDOS se multiplient et seuls ceux qui ont une taille critique peuvent investir dans l'infra nécessaire (ou les services nécessaires chez leur transitaire). Beaucoup d'entre elle prone le libre, existe t'il une solution opensource pour sécuriser un peux leur réseau et outils de détection ? Pas à ma connaissance sur la partie filtering pur (c'est pas mal de hardware). Sur les manipulations BGP, tu as bien sur des outils libres. Si tu veux faire du filtrage applicatif, les
RE: [FRnOG] [TECH] Au bord du suicide
Mon message n'est pas passé Mais le ddos va pas durer non plus ? -Message d'origine- De : p...@maunier.fr [mailto:p...@maunier.fr] De la part de Pierre-Yves Maunier Envoyé : mercredi 19 juin 2013 16:42 À : Antoine Durant Cc : guillaume.bar...@gmail.com; frnog-tech Objet : Re: [FRnOG] [TECH] Au bord du suicide n'importe quel opérateur va supporter un null-route de la destination c'est à dire l'ip attaquée chez toi. Ca permet juste au trafic DDOS de ne pas rentrer sur ton réseau, cependant l'ip attaquée n'est pas joignable : l'attaquant a gagné. Dans le cas présent le mec s'amuse apparemment à ddos l'ensemble du /22 : null-router le /22 revient à perdre toute connectivité et donc toute source de revenus. Il faut donc un transitaire capable de faire un filtrage intelligent ayant une solution chez lui type arbor : - le trafic est re-routé dans le réseau du transitaire vers un boitier qui va filtrer l'indésirable pour balancer le légitime uniquement. Ca coute cher parce que : un arbor c'est assez efficace mais pour que ca fonctionne il faut : Des sondes netflow qui vont détecter l'attaque et ces sondes coutent cher. (Arbor Peakflow) Une fois que l'attaque est détectée il faut la mitiger avec un boitier dédié (Arbor TMS), qui n'est pas donné non plus. Le prix d'un meg sécurisé est certes beaucoup plus cher mais il faut comprendre qu'on ne paye que le meg entrant filtré donc quasiment rien. Imaginons que tu sois un hébergeur et sur tes transits tu as 1G en out et 100M en in. Tu as UNE ip qui se prend 2G de DDOS, chez l'opérateur les 2G sont redirigés vers le boitier, et il ne ressort que le légitime qui va etre de 5 ou 6 mbits on va dire pour 1 IP dest. Tu vas payer plein d'euros le mega mais que pour 6 meg donc voilà quoi ca reste raisonnable. Le setup est cher mais une solution anti ddos c'est comme une assurance, ça coute cher mais quand ca sert t'es content de l'avoir. Peut-etre que les modèles de revente de solutions anti-ddos ont changés mais à ma connaissance certains font comme ça. A ma connaissance, aujourd'hui Neo, Jaguar et Colt disposent d'Arbor TMS sur leur réseau. Le 19 juin 2013 14:28, Antoine Durant antoine.duran...@yahoo.fr a écrit : Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Change de transitaire. Oui solution simple (sur le papier) et efficasse... Par contre je pensais que Cogent avait la possibilité de null router sur demande ! Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? Qu'essaye tu de proteger ? Les destinations ou ton infra ? En général on essaye de protéger les deux non ? Peut être mettre plus l'accent sur l'infra... Est-il possible de faire un filtre au niveau des switchs manageable afin de limiter les dégats ? Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au trafic légitime, la seule distinction sera peut-etre un regex dans le champ applicatif... bon courage pour le filtrer sur un switch. Oui en réfléchissant cela va être plus compliqué, sauf à limiter la BP du port afin d'éviter que le serveur qui est derrire pompe un max de BP... De : Guillaume Barrot guillaume.bar...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Leslie-Alexandre DENIS - DCforDATA lade...@dcfordata.com; Jérémy Martin li...@freeheberg.com; frnog-tech frnog-t...@frnog.org Envoyé le : Mercredi 19 juin 2013 13h55 Objet : Re: [FRnOG] [TECH] Au bord du suicide Hello Le 19 juin 2013 12:30, Antoine Durant antoine.duran...@yahoo.fr a écrit : Quelle solution existe t'il sans passer par des solutions de type arbor afin de contrer des attaques DDOS quand on est une petite boite ? Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement annoncés, via du trafic légitime détourné, pas grand chose, voire rien. Soit tu null route les destinations, pour protéger l'infra (mais l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. Évidemment, je pars du principe que les postulats de base sont respectés (application strict de la BCP38, filtrage de la RFC1918 en entrée sur tes ports de transit/peering, etc.). La limite c'est la taille de tes ports de transit et/ou peering. Si tu as 10G de capa, et que tu prends 12G de traf légitime (botnet) sur un scope annoncé chez toi ... il n'y a que ton transitaire qui puisse faire quelque chose en amont. Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Change de transitaire. Je me doute que de nombreuse petite boite ne peuvent pas se permettre d'acheter et installer de l'arbor sur leur infra réseau, comment et quesqu'elles utilisent pour sécuriser ? Elles prennent le risque. La période n'est pas facile pour ces boites, car les DDOS se multiplient et seuls ceux qui ont une taille
Re: [FRnOG] [TECH] ACL ip access-list deny/permit switch cisco
Oui c'est normal, les numéros de séquence ne sont pas sauvegardés et disparaissent donc au reboot. Le reséquençage peut être paramétré : ip access-list resequence ton_acl int int Le 19 juin 2013 15:59, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, Est-ce que cela est normal lors d'un reboot du switch que les N° de séquence ne soient plus ceux que j'avais rentré ? avant reboot ip access-list extended ACL_IP 10 permit ip any host x.x.x.x 20 deny ip any host x.x.x.x 1010... 1020 ... 65000 deny ip any any 65010 permit ip any host X.x.x.x avant reboot ip access-list extended ACL_IP 10 permit ip any host x.x.x.x 20 deny ip any host x.x.x.x 30 ... 40 ... 50 deny ip any any 60 permit ip any host X.x.x.x --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Conf LA-110 Orange
merci à tous pour les réponses rapide. le mien n'est clairement pas en 100Full, la seule conf qui fonctionne est le 10Half avec cable croisé ... Je vais regarder tout ça en console ... une fois que j'aurrais trouver le bon cable ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Analyseur de Fibre Optique
Bonjour, Effectivement, l'OTDR est la solution qui permet de qualifier parfaitement ta liaison optique. Il existe une nouvelle solution iOLM qui permet à n'importe quel néophyte de faire une mesure sans avoir à analyser les traces comme il se fait classiquement ; et la mesure est bonne :). Si tu en as besoin ponctuellement sur un lien, nous pouvons te prêter un équipement. Si tu es en WDM, tu ne passes pas les mux (qui vont filtrer le signal). Tu peux simplement faire un test de photométrie (mesure de puissance au point A, au point B) et tu as ton bilan. L'option DDM des interfaces optiques te donnera déjà une vision du lien. Attention, les puissances lues sont à +/- 3dB. Cordialement, un saludo, cumprimentos, Mathieu HUSSON Infractive - Pour une Infrastructure active www.infractive.fr Tél : +33 (0)1 75 49 81 32 Mobile : +33 (0)6 37 03 51 02 -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Leslie-Alexandre DENIS - DCforDATA Envoyé : mardi 18 juin 2013 16:07 À : Phibee Network Operation Center; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Analyseur de Fibre Optique Bonjour, Le moins cher, tout en restant assez fiable, est de passer par une paire de switch/optical transceiver + SFP avec le DDM/DOM qui permet de sortir l'atténuation des deux côtés. Ce test se fait aussi bien en gris qu'en DWDM, cependant il faut les modules optiques. Sinon il faut un réflectomètre, ça coûte très cher mais ça se loue 150EUR la journée. En général c'est du JDSU, ça sort vraiment tout sur le lien optique, longueur, atténuation, point de soudure etc... Il faut savoir utiliser la bête tout de même. Cordialement, Le 18/06/2013 15:54, Phibee Network Operation Center a écrit : Bonjour, Je cherche une solution d'analyse assez simple de fibre optique, un peu comme un testeur de cable. Test fibre optique classique (longueur, dbi etc ..) Test WDM / Ethernet Quelqu'un aurait des marques/réf a me conseiller ? merci Jérôme --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Conf LA-110 Orange
On Wed, Jun 19, 2013 at 04:37:37PM +0200, Julien Pawlak wrote: Bonjour, Voici une procédure qui a quasiment toujours fonctionné pour moi : * *Connexion en mode console sur le port DCE (8N1 9600) Mots de passe habituellement utilisés par les techniciens FT t : la ou lala ou 1234 ou 4321 Pour information, si vous rentrez 3 mot de passe erronés de suite, la connexion est refusé pendant 15 minutes. Une fois connectée : * taper DEF LAN * avec les fleches UP/DOWN mettre auto Negotation sur disable * se rendre sur Default type (avec la touche tabulation) * se mettre en 100BASE_T - full duplex mode. * valider plusieurs fois avec la touche Entrée merci, la conf était bien en 10Half, je l'ai forcée en 100Full. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
Bonsoir à tous, Je suis à la recherche d'infos sur la manière de faire passer une requête mDNS vers 224.0.0.251 au travers d'un routeur CPE vers un subnet différent. Plus particulièrement j'ai actuellement un Cisco SF302-08 pour ce faire mais qui se montre assez réticent à l'ouvrage. De ce que je comprends des docs, la bestiole est surtout faite pour de la diffusion, mais je ne trouve rien d'adapté à mon cas (ou alors je me suis perdu en chemin). Questions : - Est-ce que le SF300 est capable de répondre au besoin, à savoir forwarder une requête d'une IP dans un vlan A à destination de 224.0.0.251 vers un serveur mDNS dans un vlan B ? Si oui, est-ce qu'il y a un petit howto de la chose ? - Dans le cas où ce cher SF300 ne répondrait pas au besoin, quel remplaçant dans la même gamme de prix (dans les 150 Euros environ) pourrait remplir cette mission ? Il faudrait tout de même qu'il puisse aussi remplir les autres fonctions nécessaires à savoir routage L3, serveur DHCP, CLI telnet/ssh, au moins 2 ports SFP et 2 ports RJ45, le tout pas forcément en 1G pour les ports cuivres. Merci de votre aide, si quelqu'un a une solution adaptée pour la gamme SF300, j'avoue que ça m'arrangerait plutôt que de repartir dans l'achat d'un autre produit. Cordialement, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
Le 19 juin 2013 19:17, Frederic Dhieux frede...@syn.fr a écrit : Bonsoir à tous, Je suis à la recherche d'infos sur la manière de faire passer une requête mDNS vers 224.0.0.251 au travers d'un routeur CPE vers un subnet différent. Plus particulièrement j'ai actuellement un Cisco SF302-08 pour ce faire mais qui se montre assez réticent à l'ouvrage. 224.0.0.251 est link-local (comme ff02::fb), ton routeur ne le forwardera pas, et s'il le fait, les réponses devraient être rejetées par le host qui a envoyé la requête mDNS. Je pense que je vois ce que tu veux faire (tu as un serveur DNS vers lequel tu veux que tout le traffic mdns aille ?), et j'avoue que je n'ai aucune idée de comment on doit implémenter ça en pratique. En relisant la RFC 6762, ils mentionnent l'existence de (m)DNS proxies, ce qui semble logique. Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
On Wed, Jun 19, 2013, at 19:49, Guillaume Leclanche wrote: 224.0.0.251 est link-local (comme ff02::fb), ton routeur ne le s/link-local/multicast/g --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
Le 19 juin 2013 20:37, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jun 19, 2013, at 19:49, Guillaume Leclanche wrote: 224.0.0.251 est link-local (comme ff02::fb), ton routeur ne le s/link-local/multicast/g non c'est pas la bonne correction. Elle est link-local-only si tu préfères. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
Sur du DDWRT la fonctionnalité s'appelle mDNS repeater. http://irq5.wordpress.com/2011/01/02/mdns-repeater-mdns-across-subnets/ A voir : 1) si c'est RFC compliant (rien trouvé dans la 6762 perso) 2) si d'autres constructeurs implementent une fonctionnalité équivalente. Même chose sur MacOS déjà : http://www.chaoticsoftware.com/ProductPages/NetworkBeacon.html A+ Le 19 juin 2013 20:42, Guillaume Leclanche guilla...@leclanche.net a écrit : Le 19 juin 2013 20:37, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jun 19, 2013, at 19:49, Guillaume Leclanche wrote: 224.0.0.251 est link-local (comme ff02::fb), ton routeur ne le s/link-local/multicast/g non c'est pas la bonne correction. Elle est link-local-only si tu préfères. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
Update : pour Avahi == reflector mode. A+ Le 19 juin 2013 21:26, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Sur du DDWRT la fonctionnalité s'appelle mDNS repeater. http://irq5.wordpress.com/2011/01/02/mdns-repeater-mdns-across-subnets/ A voir : 1) si c'est RFC compliant (rien trouvé dans la 6762 perso) 2) si d'autres constructeurs implementent une fonctionnalité équivalente. Même chose sur MacOS déjà : http://www.chaoticsoftware.com/ProductPages/NetworkBeacon.html A+ Le 19 juin 2013 20:42, Guillaume Leclanche guilla...@leclanche.net a écrit : Le 19 juin 2013 20:37, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jun 19, 2013, at 19:49, Guillaume Leclanche wrote: 224.0.0.251 est link-local (comme ff02::fb), ton routeur ne le s/link-local/multicast/g non c'est pas la bonne correction. Elle est link-local-only si tu préfères. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forward de Multicast DNS au travers d'un routeur CPE
B onjour Guillaume, Merci pour ces réponses, Le 19/06/2013 19:49, Guillaume Leclanche a écrit : 224.0.0.251 est link-local (comme ff02::fb), ton routeur ne le forwardera pas, et s'il le fait, les réponses devraient être rejetées par le host qui a envoyé la requête mDNS. Oui, c'est tout le problème justement. L'idée c'est que j'ai un serveur distant de ses satellites et que je ne souhaite pas voir ces satellites remonter en niveau 2 jusque là. Pour même préciser, le satellite est chez un client et je ne souhaite pas que le client puisse envoyer de la merde en niveau 2 derrière le CPE. Du coup le mDNS ne m'arrange pas des masses, j'ai des alternatives mais j'aurais /+-aimé une solution propre où le routeur L3 était lui même capable de forwarder la requête mDNS au travers du point de routage. Il y a des solutions à base de mdns responder et autre usine avahi entre autres, mais ces solutions nécessites l'ajout d'un serveur chez le client si je veux garder la démarcation chez le client pour le niveau 2. Je pensais à une solution similaire à ce qu'on trouve pour le DHCP (dhcp relay) et j'ai naïvement rêvé en voyant multicast forwarding sur les specs/docs du produit. Je pense que je vois ce que tu veux faire (tu as un serveur DNS vers lequel tu veux que tout le traffic mdns aille ?), et j'avoue que je n'ai aucune idée de comment on doit implémenter ça en pratique. En relisant la RFC 6762, ils mentionnent l'existence de (m)DNS proxies, ce qui semble logique. Oui c'est à peu près l'idée, et surtout éviter de remonter tout le VLAN client en niveau 2 jusqu'à mes infras alors que j'ai un CPE capable de router du niveau 3. N'étant pas encore super à l'aise avec le sujet et avec le produit, j'espérais surtout que le point bloquant se trouvait entre la chaise et le clavier ;) Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Au bord du suicide
Bonsoir, Je connais ce soft : http://www.packetdam.com/ C'est dev par un ancien ingé de RDS (gros FAI en Roumanie), membre du FRNOG et ancien admin serveur IRC UnderNet... et la Roumanie en DDoS, ça donne bien déjà... Niveau tarifs, on est loin des solutions Arbor... Ça fait beaucoup moins de choses mais si t'es pauvre, c'est visiblement une solution pratique qui a fait ses preuves et que tu peux essayer facilement. A+ Philippe On 2013-06-19 12:30, Antoine Durant wrote: Bonjour, Déjà bon courage Jeremy ! Quelle solution existe t'il sans passer par des solutions de type arbor afin de contrer des attaques DDOS quand on est une petite boite ? Si l'upstream n'est pas capable de null router le trafic ddos sur demande comment faire !? Je me doute que de nombreuse petite boite ne peuvent pas se permettre d'acheter et installer de l'arbor sur leur infra réseau, comment et quesqu'elles utilisent pour sécuriser ? Beaucoup d'entre elle prone le libre, existe t'il une solution opensource pour sécuriser un peux leur réseau et outils de détection ? Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? Est-il possible de faire un filtre au niveau des switchs manageable afin de limiter les dégats ? De : Leslie-Alexandre DENIS - DCforDATA lade...@dcfordata.com À : Jérémy Martin li...@freeheberg.com Cc : frnog-tech frnog-t...@frnog.org Envoyé le : Mercredi 19 juin 2013 11h32 Objet : Re: [FRnOG] [TECH] Au bord du suicide Bonjour, Une piste, trouver les resolvers src et les limiter voir ban. [...] The source IP addresses are not spoofed in the IP packets carrying the DNS response messages, so the source addresses identify the open recursive servers the zombies use. Depending on the severity of the attack and how strongly you wish to respond, you can rate-limit traffic from these source IP addresses or use a filtering rule that drops DNS response messages that are suspiciously large (over 512 bytes). [...] Src : http://www.watchguard.com/infocenter/editorial/41649.asp Courage, Cordialement Le 19/06/2013 11:12, Guillaume Barrot a écrit : Bonjour Le 19 juin 2013 10:26, Jérémy Martin li...@freeheberg.com a écrit : vous ne pouvez rien faire, même avec un réseau solide, en dehors d'un arbor. Je pense qu'il fallait comprendre les conseils, notamment de Raphael, comme cela : vu votre infra et votre business, vous devriez mettre un Arbor. En effet, la situation actuelle le prouve, comme vous l'avez résumé. Donc : - soit vos clients acceptent la situation, car à prix réduits, c'est évident qu'une solution de type Arbor n'est pas déployable. - soit vos clients n'acceptent pas la situation, auquel cas, il aurait fallu prévoir un Arbor ... mais du coup, surement pas à ce prix là. Conclusion, comme depuis des années sur le Net, c'est en cas de crash qu'on se rend compte que les solutions de sécurité étaient nécessaires, et que le Low Cost a toujours un prix. J'espère sincèrement que vous trouverez rapidement une solution cependant, et que cela vous permette de voir l'avenir plus sereinement. Cdt, Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/