Re: [FRnOG] [TECH] Besoin de vos feedback pour très gros projet
A ma connaissance, la faiblesse usuelle de TOR n'est pas liée à la cryptographie mais à l'usage et la structure du réseau. Tu peux peut-être proposer des choses quant-à la structure du réseau mais la littérature est déjà très vaste là dessus, partir en solitaire est probablement moins pertinenent que de participer à l'effort commun qui implique nombre de chercheurs très compétents. Tu peux aussi proposer des choses sur les usages, mais à part patcher la connerie humaine, je vois mal (et des choses comme Tails, Torbrowser et autres, admettons). On 12/15/2015 02:24 PM, FanThomaS wrote: > Les mecs qui ont fait "TOR 1.0" n'ont pas de maîtrise en cryptographie, > je préfère partir sur une bonne base. > > Le 2015-12-15 14:20, MANGA Willy Ted a écrit : > Bonjour, > > Le 15/12/2015 13:25, FanThomaS a écrit : Bonjour à tous, Je suis sur un très gros projet qui consiste à créer un réseau TOR "2.0" pour prendre de court nos gouvernements. Par quoi me conseillez-vous de commencer ? > > à mon humble avis, ça serait plus judicieux de travailler à améliorer > le projet tor lui même. > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Besoin de vos feedback pour très gros projet
Pour le coup quite à sujet poubelle, j'ai déjà entendu quelques gens compétents et au courant parler justement de « crypter » pour désigner le hachage cryptographique. Ce qui n'est éthymologiquement pas déconnant. On 12/15/2015 03:24 PM, Bruno Pagani wrote: > Le 15/12/2015 14:45, FanThomaS a écrit : >> Je crypte mieux qu'eux en tout cas. > > C’est très fort ça, puisque si on voulait donner un sens au verbe > crypter dans ce contexte¹ en faisant un parallèle avec décrypter, il > signifierait quelque chose du style : « Chiffrer sans la clé de > chiffrement. ». Et puis à quoi ça servirait… > > Bruno > > ¹: Le verbe crypter existe en français, mais le seul sens accepté > unanimement c’est pour de la chimie (cf. > https://fr.wiktionary.org/wiki/crypter). > signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Question Cisco login
Il y a bien sûr la solution extérieure si c'est exclusivement des énumérations que tu veux te protéger. Je n'aime pas du tout cette approche vu les permissions confiées à une machine satellite, mais si tu centralises les logs, il doit bien y avoir des modules fail2ban ou équivalent pour déployer de l'ACL automatiquement (au hasard, jette un oeil à python trigger). On 01/19/15 05:18, Pierre Jaury wrote: Le login block permet de lutter contre les énumérations, mais aussi d'épargner l'équipement quand le taux de connexions effondre les ressources. Ca n'est donc pas « ennuyeux » et la whitelist est la solution la plus adaptée à mon sens. Et je ne suis pas spécialiste Cisco, mais je ne connais pas d'autre approche. J'ai reparcouru la doc rapidement, elle n'est pas bavarde non plus. On 01/19/15 04:49, Michel Py wrote: Quand on utilise la commande suivante (ou similaire) destinée à mitiger les attaques de dictionaire login block-for 300 attempts 2 within 300 Le routeur construit une access-list appellée sl_def_acl c1841-michel#sh access-lists Extended IP access list sl_def_acl 10 deny tcp any any eq telnet log 20 deny tcp any any eq www log 30 deny tcp any any eq 22 log 40 permit tcp any any eq 22 log c1841-michel# C'est un peu ennuyeux, c'est pourquoi on implémente aussi login quiet-mode access-class TOTO comme çà on peut au moins se logger de sa propre bécane et autres hôtes connus. Voici la question con : Au lieu de générer 10 deny tcp any any eq telnet log et autres, çà serait pas pire si le routeur générait 10 deny tcp host x.x.x.x any eq telnet log à la place. Quelqu'un sait comment faire çà ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury @ kaiyou http://kaiyou.fr/contact.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Question Cisco login
Le login block permet de lutter contre les énumérations, mais aussi d'épargner l'équipement quand le taux de connexions effondre les ressources. Ca n'est donc pas « ennuyeux » et la whitelist est la solution la plus adaptée à mon sens. Et je ne suis pas spécialiste Cisco, mais je ne connais pas d'autre approche. J'ai reparcouru la doc rapidement, elle n'est pas bavarde non plus. On 01/19/15 04:49, Michel Py wrote: Quand on utilise la commande suivante (ou similaire) destinée à mitiger les attaques de dictionaire login block-for 300 attempts 2 within 300 Le routeur construit une access-list appellée sl_def_acl c1841-michel#sh access-lists Extended IP access list sl_def_acl 10 deny tcp any any eq telnet log 20 deny tcp any any eq www log 30 deny tcp any any eq 22 log 40 permit tcp any any eq 22 log c1841-michel# C'est un peu ennuyeux, c'est pourquoi on implémente aussi login quiet-mode access-class TOTO comme çà on peut au moins se logger de sa propre bécane et autres hôtes connus. Voici la question con : Au lieu de générer 10 deny tcp any any eq telnet log et autres, çà serait pas pire si le routeur générait 10 deny tcp host x.x.x.x any eq telnet log à la place. Quelqu'un sait comment faire çà ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury @ kaiyou http://kaiyou.fr/contact.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
généralement de se lamenter sur les 47654 photos des enfants qui ont été perdus dans le crash de l’ancien PC, et pas trop de savoir comment on migre le certificat. Le coup des photos c'est malheureux mais faut que tout le monde y passe pour qu'il accepte les conseils de sauvegarde. Après que ça soit photo / doc super important / certificat / whatelse de valeur le restaurer n'est pas plus compliqué que de double clic dessus (en tout cas avec Firefox, j'ai pas testé les autres). --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury @ kaiyou http://kaiyou.fr/contact.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
On 01/16/15 21:11, Emmanuel Thierry wrote: Justement si on veut de la sécurité on ne fait *pas* de NFC, parce que : * Pas ou peu de crypto, parce qu'il faut l'alimenter le bouzin, et avec le peu de puissance qu'on peut lui passer par les ondes ça va être compliqué de faire de la grosse crypto * Une attaque MITM est inévitable. Avec un peu de matos je passe à côté de toi dans le bus, et plouf, je transfère ton authentification par 3G à 200km de là. Pour l'instant ça ne vaut pas le coup pour les 20€ du paiement sans contact, mais le principe est tout à fait possible. * Pas de confirmation par l'utilisateur (et là aussi pour le paiement sans contact c'est inadmissible) Donc si on veut une CNI sûre, il faut qu'elle soit en carte à puce et qu'elle demande un PIN à l'utilisateur. A moitié d'accord. NFC dans sa spec actuelle ne verra peut-être pas 2020, mais on fait de l'ECC-320 sans difficulté, pareil pour RSA ; c'est suffisant pour les prochaines années et la puissance transmise n'est virtuellement pas limitée pour de futures technos. Le media importe donc peu de ce côté. Par contre, il faut (que ce soit pour le paiement ou quelque device sans contact que ce soit) une validation physique, sur le device et non sur le terminal. Ca travaille déjà sérieusement à du NFC sur ISO7810 avec écran embarqué et bouton de confirmation de la transaction et je ne vois pas de limite physique à porter ça sous forme de pin ou autre authentification. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
On 01/15/15 15:01, Stephane Martin wrote: R19… Le terme d’entropie est sans doute mal employé. 128bits comme *taille* du cookie de session ça semble cohérent. 128 bits d'entropie c'est peut-être beaucoup demander, mais avec du hardware moderne ce n'est pas un gros souci pour l'appli moyenne. 64 bits suffisent peut-être amplement à lutter contre une attaque en ligne (et c'est de mémoire la reco du NIST), mais le double n'est pas déconnant et pas si farfelu que ça. En revanche, recommander des cookies de taille 128 bits, c'est la porte ouverte aux md5 et autres hash de contenu tout à fait prédictible (md5(microtime() quand tu nous tiens). Dixit une connaissance récemment (si, si, true story) : « pour mes cookies, je hash le username et la date, mais en sha512, donc pas de souci ». -- Pierre Jaury @ kaiyou http://kaiyou.fr/contact.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Avenir du FRnOG
« Partant », de la part d'un passionné qui touche au réseau quand ça lui chante ou deux trois mois ça et là si le hasard l'y mène, c'est beaucoup dire. Je pourrais apporter un peu d'expérience associative, une adhésion, mais tout de suite un avis. J'en connais la moitié qui vont arguer qu'une structure légale pour gérer les moyens techniques d'une association de techniciens, c'est d'un ridicule. Ils n'ont pas tort : pour héberger un tas d'outils, deux trois stats BGP et une liste, y'a bien assez de bonnes âmes pour déposer ça. Mais pourquoi s'y limiter ? D'autres sûrement qui verront plus pragmatiquement organiser les meetings, pouvoir accueillir un poil plus de monde, des techniciens de nombre d'associations (FAI locaux, Hackerspaces et autres sympathisants souvent curieux, parfois compétents et intéressants) et quelques clampins de mon espèce. C'est d'abord la question de savoir s'il y a matière à s'élargir pour le FRnOG, éventualité que les barbus se mèlent à un ou deux trolls et d'autres bien moins compétents. Quelle utilité et est-ce que bien pertinent ? liste corporate ? cercle de GNUs ? espace d'échange autour de la technique du réseau ? à voir. Puis surtout, les moyens mis à part, un point très con et malheureusement vrai. Une association loi 1901, ça implique une personne morale. Une personne morale, aux yeux de certains (cons ?), ça implique un avis. Un drapeau « association FRnOG », c'est le premier pas vers une presse et certainement d'autres joyeux pour rapporter l'avis du FRnOG. Pour avoir déjà vu pareille ânerie, je voudrais pas que ma prochaine boutade du trolldi finisse placardée « ce qu'en pensent les opérateurs réseau ». Pierre. -- Pierre Jaury pie...@jaury.eu Phone +33(0)1.83.64.80.90 Web http://kaiyou.org/ Twitter @kaiyou_ Version: 3.12 GCS d-- s+: a-- C++ UL+++ P+++ L+++ E W+++ N+ o-- K+ w-- O- M-- V- PS+ PE+ Y+ PGP++ t+ 5 X R tv-- b++ DI++ D+ G++ e+++ h+ r++ y? On Mon, 2012-07-30 at 23:33 +0200, Jérôme Nicolle wrote: Bonsoir à tous, Comme évoqué après notre dernière réunion, le FRnOG est une communauté de plus en plus dynamique et comptant de plus en plus de membres. Parti du noyau dur des barbus du réseau, on compte parmis nous des gens de tous horizons, dont beaucoup n'osent pas (encore ?) intervenir sur la liste ou se joindre aux réunions. Quelques problèmes pratiques ont aussi émergé, que ce soit pour les frais d'hébergement ou surtout pour les budgets des événements, et il semble opportun d'y remédier. Techniquement, le FRnOG constitue d'ores et déjà une association de fait, telle que défini par la loi de 1901. On pourrait finir le travail en déposant des statuts et en dotant l'association d'un compte en banque et surtout d'un bureau ou conseil d'administration qui assurerait plus d'efficacité et de pérennité à nos échanges et réunions. On est quelqus uns assez rodés aux statuts associatifs sur la liste, et j'inviterais ceux qui sont à l'aise avec la gestion d'une association à se manifester pour qu'on organise un groupe de travail sur les statuts. Une AG d'adoption de ces statuts pourrait alors se tenir lors du FRnOG 20, après reccueil de feedback ici-même. Perso je pense qu'il est temps de franchir le cap, que ce soit pour faciliter l'organisation des événements ou pour répartir un peu le boulot que la vie de la communauté peut représenter. Qui est partant ? P.S.: multi-tagging là dessus, ça concerne tout le monde. @+ signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [TECH] Avenir du FRnOG
Oh, j'oubliais dans la réponse : sur l'aspect purement financer les events et pourquoi pas un peu de hosting pour des projets intéressants, j'approuve. Avec réserve toutefois qu'il ne faille pas négliger effets de bord. -- Pierre Jaury pie...@jaury.eu Phone +33(0)1.83.64.80.90 Web http://kaiyou.org/ Twitter @kaiyou_ Version: 3.12 GCS d-- s+: a-- C++ UL+++ P+++ L+++ E W+++ N+ o-- K+ w-- O- M-- V- PS+ PE+ Y+ PGP++ t+ 5 X R tv-- b++ DI++ D+ G++ e+++ h+ r++ y? On Mon, 2012-07-30 at 23:33 +0200, Jérôme Nicolle wrote: Bonsoir à tous, Comme évoqué après notre dernière réunion, le FRnOG est une communauté de plus en plus dynamique et comptant de plus en plus de membres. Parti du noyau dur des barbus du réseau, on compte parmis nous des gens de tous horizons, dont beaucoup n'osent pas (encore ?) intervenir sur la liste ou se joindre aux réunions. Quelques problèmes pratiques ont aussi émergé, que ce soit pour les frais d'hébergement ou surtout pour les budgets des événements, et il semble opportun d'y remédier. Techniquement, le FRnOG constitue d'ores et déjà une association de fait, telle que défini par la loi de 1901. On pourrait finir le travail en déposant des statuts et en dotant l'association d'un compte en banque et surtout d'un bureau ou conseil d'administration qui assurerait plus d'efficacité et de pérennité à nos échanges et réunions. On est quelqus uns assez rodés aux statuts associatifs sur la liste, et j'inviterais ceux qui sont à l'aise avec la gestion d'une association à se manifester pour qu'on organise un groupe de travail sur les statuts. Une AG d'adoption de ces statuts pourrait alors se tenir lors du FRnOG 20, après reccueil de feedback ici-même. Perso je pense qu'il est temps de franchir le cap, que ce soit pour faciliter l'organisation des événements ou pour répartir un peu le boulot que la vie de la communauté peut représenter. Qui est partant ? P.S.: multi-tagging là dessus, ça concerne tout le monde. @+ signature.asc Description: This is a digitally signed message part
Re: [FRnOG] Re: [MISC] Trouble dans la force ( soucis vers AS3215 )
Switch ves MISC, dernier échauffement pour trolldi. Après Google, ce serait à Twitter de ne pas signer ses annonces ? Stéphane, un conseil ? (et à ceux qui promettent de déserter, même pour un ahuri dans mon genre et malgré la masse de conneries nécessaire sur une ML, y'a toujours à pêcher de bons pointeurs et des points-de-vue intéressants par ici ; c'est non seulement un bon outil de travail mais aussi une mine d'or pour les curieux) -- Pierre Jaury pie...@jaury.eu Phone +33(0)1.83.64.80.90 Web http://kaiyou.org/ Twitter @kaiyou_ Version: 3.12 GCS d-- s+: a-- C++ UL+++ P+++ L+++ E W+++ N+ o-- K+ w-- O- M-- V- PS+ PE+ Y+ PGP++ t+ 5 X R tv-- b++ DI++ D+ G++ e+++ h+ r++ y? On Thu, 2012-07-26 at 20:56 +0800, Jean Barbezat wrote: Si je puis me permettre une toute petite remarque: dans le mail initial, que je trouve plutot utile j'aurai bien aimer voir les prefix hijackes et l'AS en question histoire d'etre un poil plus utile que de juste dire grosso modo y a un probleme ca vient d'ailleurs, ne m'appelez pas Mais sinon oui, utile. 2012/7/26 Raphael MAUNIER rmaun...@neotelecoms.com: Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [MISC] Neutralité du net
Et peut-être à la trentième consultation on aura un début de semblant de réflexion sur une législation sensée ? /rage Ca fera quand même une bonne occasion d'ouvrir sa gueule et de se faire à moitié entendre. -- Pierre Jaury pie...@jaury.eu Phone +33(0)1.83.64.80.90 Web http://kaiyou.org/ Twitter @kaiyou_ Version: 3.12 GCS d-- s+: a-- C++ UL+++ P+++ L+++ E W+++ N+ o-- K+ w-- O- M-- V- PS+ PE+ Y+ PGP++ t+ 5 X R tv-- b++ DI++ D+ G++ e+++ h+ r++ y? On Wed, 2012-07-25 at 13:13 +0200, Jean-Paul Chiron wrote: Bonjour, comme cela semble intéresser beaucoup de co-listiers, la CE lance une consultation sur la neutralité du net : http://europa.eu/rapid/pressReleasesAction.do?reference=IP/12/817format=HTMLaged=0language=FR Cordialement. signature.asc Description: This is a digitally signed message part
Re: [FRnOG] Re: [MISC] Le jour où internet a changé
Filtrer ICMP ne fait pourtant plus partie depuis longtemps des directives standard en matière de sécurité. C'est plutôt d'arrêter de sécuriser par l'obscurité qu'il faudra convaincre les RSSI. Pour ça t'auras le droit à une carmagnole. On Sat, 2012-06-09 at 20:24 +0200, Raphaël Durand wrote: Le 09/06/2012 17:30, Stephane Bortzmeyer a écrit : On Sat, Jun 09, 2012 at 04:07:06PM +0200, Julien Richer jul...@ywigo.fr wrote a message of 35 lines which said: Pour la qualification du natif, qui est d'accord pour prendre le MTU comme mesure ? Moi. Car c'est ce qui est important du point de vue *pratique* (sites bogués qui filtrent l'ICMP packet-too-big, etc)... Le reste est plutôt de l'esthétique. --- Liste de diffusion du FRnOG http://www.frnog.org/ Pour celà il faut convaincre les experts en sécurité de ne pas filtrer ICMP (le ping c'est le ML ça tue des serveurs) Si vous y arrivez, je veux bien danser la carmagnole sur le Trocadéro. Raphaël Durand --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] URGENT EuroWeb/SD-France
Y'a surtout déjà un type pour ce genre de message qui ne nécessite pas de liste diffusion. Ça s'appelle abuse et on a rapidement un réponse quand c'est pas le week-end et que le noc est sérieux. Ensuite, se plaindre de la lenteur des échanges, pourquoi pas ; mais flooder une liste alert pour ça, j'ai des doutes : y'a sûrement plus adapté (et je ne suis moi-même pas de ceux que ça emmerde vraiment, ni pour relancer le débat « on split ou pas le ml »). On Wed, 2012-02-22 at 23:05 +0100, Nicolas CARTRON wrote: Hello, On 22 févr. 2012, at 22:57, Jérémy Martin li...@freeheberg.com wrote: Mouaip j'avoue. C'est mal foutus. Faudrait un type pour ce type de message. [...] Euh, ça va commencer à faire beaucoup de types, non ? Trop de types tue le type ! -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [TECH] Geolocation par adresse IP
Pas que je soutienne pour autant l'utilisation des TXT pour transporter plus d'information qu'il n'en faut (on a déjà une panoplie de protocoles pour ce qui est renseignement de contacts et informations administrative/géographiques), jeter le tout parce que c'est déclaratif, il n'est peut-être pas la peine de se leurer pour autant. À l'heure des réseaux privés virtuels à grande échelle, des fibres noires transcontinentales, géolocaliser sur le préfixe ou se baser sur quelque information issue de la couche routage, c'est plus guère envisageable. Ou bien je propose le tagging des équipements réseaux avec des trackers géolocalisant, ainsi qu'une révision d'IP pour y inclure les metainfos signées par le chip agréé Cisco avec une clé sagement stockée en hard. Y'a peut-être plus simple ? On Wed, 2012-02-08 at 09:09 +0100, Emmanuel Thierry wrote: Le 8 févr. 2012 à 03:39, Michel Py a écrit : Salut la liste, Michel Py a écrit: un géoloc potable ce n'est pas compliqué à interroger, ou ça l'est ? Patrick Maigron a écrit: Le problème est l'aspect potable justement. Ces softs ont des taux d'erreur non négligeables, entre ceux qui travaillent par /24 et ceux qui se basent sur les réponses des internautes... Si un registrar français met deux serveurs de sa plage d'adresses dans un data center US pour répondre aux critères, est-ce que les logiciels de géoloc les verront au bon endroit ? Depuis des lustres, il existe un moyen de préciser la position d'un domaine, subnet ou host: RFC 1876 (ftp://ftp.rfc-editor.org/in-notes/rfc1876.txt). C'est resté au stade expérimental, possiblement à cause d'un petit coté usine à gaz sur les bords. Ca n'a pas l'air d'être répandu. Je propose un nouveau système basé sur rDNS: Créer un RR de type TXT qui contient l'info. 1 IN PTRcisco.arneill-py.sacramento.ca.us 1 IN TXTblah: blah 1 IN TXTgeoloc: lat 38.559219 /lat long -121.481927 /long city Sacramento /city country USA /country 2 IN PTRserver.arneill-py.sacramento.ca.us Oui, enfin ça ne résout pas le problème, ça reste déclaratif. Donc c'est même pire que de la géolocalisation classique, puisqu'il te suffit de déclarer ton serveur aux US dans ses DNS pour que maintenant il soit éligible à être authoritative sur des noms de domaines US ! :) Tu peux même te monter un us.domaine.com, fr.domaine.com, es.domaine.com, ... pour avoir un même serveur multilocalisé ! --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [TECH] MegaUpload - whois
La méthode US se rapproche tout-de-même d'une troisième méthode : on évite l'ingérance dans les affaires d'un privé qui n'a rien à voir directement avec le souci et on effraie un peu moins le public en expédiant ces messieux du FBI directement dans la salle machine concernée. Reste le danger que ça ne débranche plus qu'il ne faut alors que taper sur le nommage cible bien mieux le service. Les deux gardent presque le mérite de pas mettre son merdier dans le réseau. On Thu, 2012-01-26 at 10:11 +0100, Rémi Bouhl wrote: Le 26/01/2012 00:08, Patrick Maigron a écrit : Méthode US : C'est accessible chez nous, on va chez VeriSign et on prend possession du domaine pour le faire pointer vers le logo FBI. Méthode FR : C'est accessible chez nous, on demande à nos FAI de bloquer l'accès au domaine. Ou à l'IP. Ou à l'URL. Ou au contenu... La méthode US présente l'immense avantage de ne pas mentir au citoyen : non, le serveur n'est pas en panne, il est volontairement bloqué. Là où la France ne semble pas choquée à l'idée de falsifier la réalité et de faire croire à une fausse panne. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [MISC] MegaUpload
Je ne parle qu'en nom des graphes qui on pu me passer sous la main, n'étant pas franchement opérateur : 1. évidemment ; 2. marginalement. Oui ça s'est vu, en tout cas de ce que j'ai pu constater. Non, ça n'a pas eu de conséquence même mineure sur la gestion du réseau (de ce que j'en sais, encore une fois). On Wed, 2012-01-25 at 08:38 +0800, Jean Barbezat wrote: Question subsidiaire: avez-vous constater une baisse du traffic depuis? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [TECH] Vocabulaire DNS
Les RFC aussi bien que la doc de la moitié des serveurs emploient le terme ``refresh''. Je suppose donc que « rafraîchissement » est le plus adapté en français ; même si je dois admettre : on lit et entend « propager » assez régulièrement. On Sat, 2012-01-21 at 21:28 +0100, Matthieu CERDA wrote: Le 21/01/2012 21:23, Michel Py a écrit : Stephane Bortzmeyer a écrit: Il n'y a pas de propagation dans le DNS. Contrairement à BGP, qui est push, le DNS est pull. En effet, et j'ai commis un crime de vocabulaire hier: Patrick Maigron a écrit: Ça a l'air de changer, maintenant dig me donne un SOA au FBI : Michel Py a écrit : Ce n'est pas encore bien propagé je pense. Bon je comprends comment ça marche; le DNS est caché partout et donc pendant la période entre le moment ou les changements sont faits et le moment où le TTL force les caches à se rafraîchir, les changements ne sont pas visibles. J'aurais du écrire: Ce n'est pas encore bien rafraîchi je pense. Une autre suggestion? Rafraîchissement c'est pas mal. Normalement on a un temps incompressible, le TTL des entrées. Mais bon une fois cette durée dépassée ça dépend un peu du bon vouloir de ton cache, qui peut parfois en suivre un autre et ainsi de suite. Les caches ont parfois tendance a faire preuve de pas mal d'inertie. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
RE: [FRnOG] [ALERT] MegaUpload
À choisir effectivement entre aujourd'hui un état qui baffoue les libertés de base pour une cause presque pas trop mauvaise et prive trente-douze millions d'utilisateurs de leur film déshabillé du jeudi soir ; demain un groupe terroriste qui met par terre un des services qu'on s'apprête à couronner unique vecteur d'information ou de communication (comprendre Google ou Facebook, pilliers branlants de la démocratie moderne), on n'a certes pas fini d'en causer, ça reste un moindre mal et peut-être un vrai pas vers une prise de conscience. On Thu, 2012-01-19 at 21:56 +, BODJIKIAN Mathieu wrote: Je ne peux qu'approuver ce message. Ces sites sont des plaies pour Internet. Et vont en l'encontre du réseau. Quand je vois que certains de mes contacts utilisent ce site et y stockaient des données personnelles et viennent dire que c'était le seul endroit où elles étaient, et bien ça me rassure pas trop. Je sens qu'on a pas fini d'en parler. Bien cordialement, Mathieu BODJIKIAN -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Spyou Envoyé : jeudi 19 janvier 2012 22:46 À : Frnog Mounet Cc : frnog@FRnOG.org Objet : Re: [FRnOG] [ALERT] MegaUpload Le 19/01/2012 22:37, Frnog Mounet a écrit : La communauté est en deuil. La communauté est très contente d'avoir une illustration concrète que les bidules centralisés sont des merdes qu'il convient de ne pas utiliser et qu'internet n'a pas été conçu pour ça. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
[FRnOG] [MISC] Dos depuis Online / Dedibox
On Wed, 2012-01-11 at 09:56 +0100, DonKiShoot wrote: Bonjour, A quoi va pouvoir servir un LB avec des options de syn cookie pour contrer un DOS UDP ??? À troller sur une mailing list à la base presque intéressante ? En tout cas c'est réussi. Switch tout-de-même sur MISC pour une réaction qui m'interpelle de la part de Mickael : sans chercher à retomber dans le débat raz-le-plancher sur la nature de l'Internet, comment le représentant d'un opérateur réseau aux débuts techniquement cahotiques (sulfureux ? :D) et à l'infra hébergement historiquement plus que légère peut-il s'autoriser une telle remarque ? Mis à part encore les quelques véritables internautes qui osent s'héberger derrière une truc-box (qui vend maintenant si j'ai compris plus de téléphonie mobile que d'Internet), à l'heure où les grands tiennent déjà le marché en France par une concurrence qui frôle le ridicule, quel est le propos d'écraser en prime les projets raisonables par des arguments techniques dédaigneux et faux ? J'ai souvenir pas si vieux de routeurs chez Online qui terminaient les deux genoux au sol avant d'avoir eu le temps de voir venir quoi que ce soit ; admettre modestement que l'Internet a débuté en tirant trois câbles et deux routeurs, autoriser une concurrence à marge raisonable et accepter les projets qui n'ont pas vocation à vous faire de l'ombre, ce serait peut-être un début vers un coup de frais dans le paysage français, non ? -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [ALERT] Dos depuis Online / Dedibox
Bonjour, Malheureusement, ce n'est pas bien le propos de la liste : on n'y pourra bêtement rien pour toi (et que les quelque(s) personne(s) du noc online ne sont probablement pas celles qui traitent les tickets). Ce que tu peux faire : 1. ticket/mail abuse à Online (déjà fait si j'ai bien lu) ; 2. drop le traffic à l'entrée de ton réseau ; 3. faire drop le traffic par ton/tes transitaires ; 4. attendre. On Tue, 2012-01-10 at 21:26 +0100, Jérémy Martin wrote: Bonjour, Y a quelqu'un sur cette liste qui aurait en contact une personne compétente pour pouvoir stopper un DOS provenant d'une dédibox ? 20:23:56.662781 IP 88.191.134.206.41584 91.229.20.130.9987: UDP, length 50 20:23:56.662787 IP 88.191.134.206.41584 91.229.20.130.9987: UDP, length 50 20:23:56.662791 IP 88.191.134.206.41584 91.229.20.130.9987: UDP, length 50 20:23:56.662797 IP 88.191.134.206.41584 91.229.20.130.9987: UDP, length 50 20:23:56.662802 IP 88.191.134.206.41584 91.229.20.130.9987: UDP, length 50 20:23:56.662809 IP 88.191.134.206.41584 91.229.20.130.9987: UDP, length 50 20:23:56.662845 IP 88.191.134.206.41584 91.229.20.130.9987: UDP, length 50 20:23:56.662850 IP 88.191.134.206.41584 91.229.20.130.9987: UDP, length 50 Le ticket abuse est ouvert : #16225 Merci. -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [TECH] Pertes et latence importantes
Je ne vois pas ce que vient faire l'argument d'un overhead TCP si tu fais ta mesure en amont. Quels types de mesures ont été effectués ? vous avez une idée du débit/latence vers plusieurs AS en raw IP ? Du reste, ça sent (au moins en partie) le foutage de gueule ; curieux de connaître la véritable raison lorsque vous aurez élucidé. Et quitte à avoir plusieurs lignes, autant multiplier les opérateurs, non ? On Wed, 2011-12-28 at 13:27 +0100, Grégoire Leroy wrote: Bonjour à tous, Je suis étudiant à TELECOM Lille1, et j'ai repris le réseau d'une certaine résidence de 150 utilisateurs derrière 2 lignes ADSL et une ligne SDSL (chez Orange). Étant donné que nous avons régulièrement des pertes et une latence très importante, j'ai effectué quelques tests et contacté Orange Business Services. Test : http://bpaste.net/show/21180/ Un seul utilisateur était connecté et téléchargeait 2 ou 3 fichiers par torrents, atteignant 1.4 méga. Des tests ont été effectués, en bridant notre QoS à 1.080 méga, pour le même résultat. Il est apparu qu'à environ 800kbit/s, nous n'avions plus de problèmes. Le débit maximal mesuré, lui, allait jusqu'à environ 1.75 méga Le support d'OBS m'a tenu ce raisonnement : -La ligne est une ligne 2 mégas - l'overhead ATM = 1.6 méga -Il faut y retrancher 200 kbit/s utilisés pour la téléphonie, soit 1.4 méga -Il faut minorer ce débit pour laisser passer les ack TCP. J'aurais donc 2 questions : 1) De combien est-il habituel de réduire le débit dans ce genre de cas ? Lors de la mise en place de la QoS, j'avais lu entre 5 et 10%. Passer de 1.4 méga à 800kbit, c'est plutôt de l'ordre de 40%... 2) Quand on regarde le MTR, on s'aperçoit que la latence ne vient pas de la ligne elle-même, mais du troisième routeur chez Orange. OBS m'a dit que c'était normal (tous nos routeurs ne vont pas à la même vitesse) Est-ce que ce comportement est réellement justifié, ou est ce que c'est de la mauvaise foi de leur part ? Pourquoi la latence n'apparaitrait qu'une fois dans l'infra Orange ? PS : ce problème n'a _rien_ à voir avec le fait que nous soyons 150, les tests ont été menés avec un seul utilisateur. Merci d'avance pour vos réponses, Cordialement, Grégoire Leroy --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [TECH] Pertes et latence importantes
En vérité j'ai probablement lu de travers : où appliquez-vous la QOS ? l'algorithme et les paramètres sont également importants dans ce genre de cas (a fortiori sur de faibles débits très variables). Les filtres à base de bucket entre autres, lorsque mal configurés, ont une tendance malsaine à écraser la fenêtre TCP et le débit qui va avec, spécialement si tu fais tes tests avec une connexion unique qui plafonne. On Wed, 2011-12-28 at 13:27 +0100, Grégoire Leroy wrote: Bonjour à tous, Je suis étudiant à TELECOM Lille1, et j'ai repris le réseau d'une certaine résidence de 150 utilisateurs derrière 2 lignes ADSL et une ligne SDSL (chez Orange). Étant donné que nous avons régulièrement des pertes et une latence très importante, j'ai effectué quelques tests et contacté Orange Business Services. Test : http://bpaste.net/show/21180/ Un seul utilisateur était connecté et téléchargeait 2 ou 3 fichiers par torrents, atteignant 1.4 méga. Des tests ont été effectués, en bridant notre QoS à 1.080 méga, pour le même résultat. Il est apparu qu'à environ 800kbit/s, nous n'avions plus de problèmes. Le débit maximal mesuré, lui, allait jusqu'à environ 1.75 méga Le support d'OBS m'a tenu ce raisonnement : -La ligne est une ligne 2 mégas - l'overhead ATM = 1.6 méga -Il faut y retrancher 200 kbit/s utilisés pour la téléphonie, soit 1.4 méga -Il faut minorer ce débit pour laisser passer les ack TCP. J'aurais donc 2 questions : 1) De combien est-il habituel de réduire le débit dans ce genre de cas ? Lors de la mise en place de la QoS, j'avais lu entre 5 et 10%. Passer de 1.4 méga à 800kbit, c'est plutôt de l'ordre de 40%... 2) Quand on regarde le MTR, on s'aperçoit que la latence ne vient pas de la ligne elle-même, mais du troisième routeur chez Orange. OBS m'a dit que c'était normal (tous nos routeurs ne vont pas à la même vitesse) Est-ce que ce comportement est réellement justifié, ou est ce que c'est de la mauvaise foi de leur part ? Pourquoi la latence n'apparaitrait qu'une fois dans l'infra Orange ? PS : ce problème n'a _rien_ à voir avec le fait que nous soyons 150, les tests ont été menés avec un seul utilisateur. Merci d'avance pour vos réponses, Cordialement, Grégoire Leroy --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [TECH] Question mise à jour DNS pour les internautes numericable
Le cache DNS en proxy transparent, ce serait quand même s'embêter pour rien de la part de Numéricable. Même peut-être s'attirer des emmerdes rapidement avec les soucis de signature. Orange a connu ce genre de déboires avec des LiveBox qui faisaient cache local très moisi qui te résolvait les CNAME de manière transparente et ne laissait passer aucun MX ou SRV. On Wed, 2011-12-28 at 17:46 +0100, Damien Fleuriot wrote: On 12/28/11 5:43 PM, David B. wrote: Bonsoir, Depuis quelques jours, je suis confronté à un soucis de DNS vraiment étrange avec les internautes qui utilisent numericable. Une zone DNS a été mise à jour (dans les règles) il y a de cela plus d'une semaine. Le TTL de la zone était bien de une journée. A priori tous les internautes ont bien vu la mise à jour, SAUF ceux de numericable. Je pensais au début que c'était les DNS de l'opérateur qui étaient pas à jour. Mais dig me dit le contraire : Si tu dig le SOA tu as bien le bon numéro de série pour ta zone ? Ton idée de cache DNS sur la box a du mérite, il conviendrait de faire redémarrer sa box à un de tes sujets de test, puis ré-essayer. Ca peut, éventuellement, également venir de l'OS. Tous les internautes de NC sont concernés ou seulement certains ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [TECH] Pourcentage trafic v4 v6 Quagga
Au plus simple pour avoir quelques détails : iptables/netfilter. Plus subtil, tu peux travailler à partir d'hypothèses sur la forme de ton traffic et te baser sur des statistiques niveau applicatif. Je n'ai pas connaissance de compteurs couche 3 dans la pile IP autres que ceux de netfilter en tout cas. Je prends volontiers si c'est une lacune de mon côté. On Sat, 2011-12-24 at 14:41 +, Antoine Durant wrote: Bonjour, Je voudrais avoir une idée du trafic IPv4/IPv6 qui circule sur mon routeur QUAGGA Linux. Aujourd'hui je récupère bien la bandwidth des interfaces réseaux mais j'aimerai avoir le pourcentage de trafic IPv4 ET IPv6. Je RRDTool le résultat :) Je suis en dualstack sur mon interface réseau. Une piste, une idée un script ? Merci et bonne fêtes. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [MISC] Pourcentage trafic v4 v6 Quagga
Ça pioche à quel niveau dans le noyau ? On Sat, 2011-12-24 at 23:26 +0100, Francois Romieu wrote: Bonsoir, Pierre Jaury pie...@jaury.eu : [...] Je n'ai pas connaissance de compteurs couche 3 dans la pile IP autres que ceux de netfilter en tout cas. Je prends volontiers si c'est une lacune de mon côté. nstat, parmi les utilitaires iproute. -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
(GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
RE: [FRnOG] [MISC] Re: Diffusion du virus gendarmerie par javascripts modifiés
joues le jeu des criminels. C'est à rapprocher du procès fait à thepiratebay.org et similaires. Pout ces gens-là, il n'y a pas de mauvaise publicité; plus tu parles d'eux plus ils sont contents. Je pense que ce que tu ne réalises pas, c'est que dans les yeux de quelqu'un qui n'a pas de scrupules, ton intervention veut dire que les gens qui sont derrière ça ont atteint leur but: ils emmerdent les gendarmes et la maréchaussée, peuvent le faire en toute impunité, et c'est toi qui viens le confirmer. Si j'étais sur le marché pour sous traiter le hameçonnage de quelque chose, je contacterais les gens qui ont fait ce coup-là. Tu leur fais de la pub gratos; quelqu'un à Moscou est en train de boire de la vodka a ta santé en espérant que tu fasses encore plus de bruit, c'est comme ça que ce genre de business attire les nouveaux clients. - Sur le second, j'apporte une information, des centaines de personnes sont victimes (et contactent notamment la gendarmerie à travers toute la France) en ce moment de ce virus et ce grâce à ses modes de diffusion multiples. Je suis désolé de te décevoir, mais cette information ne sert à rien sur cette liste. Les vulnérabilités en questions sont résolues depuis longtemps, et les signatures d'anti-virus sont à jour d'après ce que je sais. Refuznikster a écrit: Bref des sites lus par de possible administrateur du dimanche. Pour une fois je suis d'accord; surprenant, vu que Refuz est un rêveur anarchiste agitateur de gauche alors que je suis un immonde capitaliste profiteur de droite. Bon je suis d'accord qu'il y a encore des efforts à faire pour éduquer les masses, mais pas sur frnog-alert. Et maintenant, trollons pour de bon. Aux pisse-froids de tous bords qui n'aiment pas lire mes trolls, solution facile: ne lisez pas frnog-misc. Si vous ne savez pas comment, vous n'avez rien à foutre ici. Spyou a écrit : Sûr qu'il reviendra pas, l'ami Eric, vu comment vous l'avez reçu. Francois Demeyer a écrit: Mais si voyons. Tu le vois surement trop fragile. Vu son domaine d'activité, cela m'étonnerait qu'il recule face a quelques réactions épidermiques à la vue d'un e-Képi :-) :-) Spyou, tu n'a pas du rencontrer beaucoup de colonels de la Gendarmerie. Parmi les qualités nécessaires, avoir la peau dure est en haut de la liste. Eric, bienvenue au club. Ca vole bas (surtout le vendredi) mais on s'y fait. J'espère que, comme la plupart de tes collègues que j'ai eu le plaisir de rencontrer il y a bien longtemps, tu sais tenir un verre et que tu ne t'effondreras pas après le premier bouchon de Stroh. La dernière fois que j'ai rencontré un colonel de la Gendarmerie, il a du m'aider à marcher en sortant du mess du fort de Rosny-sous-bois; j'étais pas assez entraîné. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [MISC] C'est pas trolldi?
La seule véritable réponse que je trouve à la question tient en pas grand chose : que signifie une mesure de durée de vie d'atomes ? quelle signification a la précision d'une telle mesure ? qu'est-ce qu'un ping sur un réseau Ethernet (où, franchement, saturation du canal mis à part, un nombre incomparable de facteurs indéfinis dans le problème est à prendre en compte) vient donc encore perturber la compréhension de l'énoncé ? Oh, et depuis quand trouve-t-on des isotopes d'uranium autour des masses 130 ? U-233, U-235, U-238, certes ; U-133, pas beaucoup entendu parler. Je propose de le modifier ainsi : « Un atome d'uranium-233 est installé en présence d'un dispositif émettant une trame Ethernet broadcast sur un medium soumis à des tempêtes de bits quantiques. Un second dispositif connecté au medium assassine un chat dans une boîte à la réception de la trame. Tenez compte du taux d'erreur sur le canal et de la demi-vie de 61ms de l'uranium-233 pour calculer le temps nécessaire t entre le début de l'expérience et l'observation pour que le chat dispose de probabilités égales de vie et mort. Subsidiaire à 1 point : le chat est-il alors mort ou vivant ? » Le troll mis à part, je suis intéressé de savoir si les dispositifs de mesure du genre se basent véritablement sur des latences en Ethernet pour assurer la précision de leur mesure ou plutôt sur des mesures d'horloges. Et si Ethernet était employé, quels facteurs seraient véritablement à prendre en compte ? Reste à savoir si la discussion a vraiment sa place sur la mailing list, j'ai déjà le sentiment d'être pas mal hors-sujet. On Mon, 2011-12-12 at 09:45 +0100, Fabien Delmotte wrote: Bonjour, Je vais peut être dire une ânerie mais : La demie vie est de 61 milli sec donc dans 1 s il y a 16 1/2 vies A chaque demie vie nous perdons 50% du matériel : t0 = 1000 atomes t1 = 500 atomes etc …jusqu'à 16 fois en additionnant le tout nous sommes même inférieur a un réseau 10 M (14880 pps) J'aurais du écrire cela vendredi pour une trollerie…. et voyons si le ridicule tu :) Fabien Le 12 déc. 2011 à 09:23, William Gacquer a écrit : Le 12 déc. 2011 à 09:09, Dominique Rousseau a écrit : Le Sun, Dec 11, 2011 at 05:42:56PM +0100, William Gacquer [w.gacq...@france-citevision.fr] a écrit: Hello je corrige des copies d'élèves de 5e années à l'ESIEE. J'ai décidé d'attribuer deux points à une question un peu hors sujet mais qui, je pense, peut intéresser quelques uns d'entre vous. Voici la question. Libre à vous de la jeter aux oubliettes où d'y répondre. Mille atomes d'uranium 133 ( dont la demi-vie est de 61 milli-secondes ) sont disposés dans un détecteur. Celui-ci envoie un ping sur un réseau ethernet à 100Gbps dès qu'un atome se désintègre. Ce dispositif est-il judicieux pour mesurer la durée de vie des atomes avec un précision inférieure à 10ms ? Argumentez. Il manque la taille du paquet de « ping ». Hello Dom la plus petite possible of course. Même question pour le mercure 186 dont la demi-vie est de 82 micro-secondes, avec une précision souhaitée inférieure à 10µs. Je relève les copies dans 15 minutes. William Gacquer --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Pierre Jaury pie...@jaury.eu +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer signature.asc Description: This is a digitally signed message part
Re: [FRnOG] SORBS, blacklisting
Bonjour, Les procédures de SORBS sont certes insupportables (injustifiées, qui sait), mais ça mis à part ainsi que les re-listing réguliers, je n'ai pas eu de souci pour obtenir un de-listing avec un rDNS propre. Cela ne m'empêche pas de rester graylisted sur un nombre sympathique de listes privées ; je m'en contente vu le nombre de mes contacts chez MS hotmail ou orange. Trolldi sobre, Pierre. Le vendredi 20 mai 2011 à 10:56 +0200, Yves Dubromelle a écrit : Bonjour, Vu que certains s'inquiètent du manque de grosse bestioles poilues sur la liste aujourd'hui, je profite d'un problème que j'ai pour me jeter à l'eau. Je remarque que mon IP publique chez Free est blacklistée chez SORBS, car en fait toute la plage des clients de Free sont blacklistés. Au passage, en cherchant un peu d'autres cas, j'ai lu que les plages IP des dédibox sont à peu près dans le même cas. Bien entendu SORBS refuse de délister l'IP seule, et dit que c'est au FAI de s'occuper de ça, le FAI m'envoyant bouler quand j'en parle au support. Comme je suppose que Free/Proxad n'est pas le seul dans ce cas là, et que des adminsys se servent des blacklists de SORBS (j'ai eu le cas ce mois ci d'un mail refusé depuis mon serveur@home pour cette raison précise), je me demandais ce que pensait la communauté (et éventuellement les gens @free qui passeraient par là) de ce problème. Bon trolldi, Yves Dubromelle --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SORBS, blacklisting
Le vendredi 20 mai 2011 à 12:01 +0200, Pascal Rullier a écrit : D'autres, comme Orange sont dans ce cas. Des plages IP des clients sont blacklistées. Le problème est plus drôle encore chez Orange, qui a installé un tas de parapluies pour se prémunir efficacement du spam quantique et des clients qui se voudraient internautes. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] OVH crée un datacenter
À quand alors le datacenter autonome à énergie positive ? Cela dit, si le programme fait des émules à la voix du nord, l'information n'est pas nouvelle me semble-t-il, TeleHouse et Telecity ont annoncé depuis plusieurs années des systèmes à base de cogénération à échelle urbaine, voire sur place en collaboration serrée avec l'INRA. Quelqu'un dispose de données en retour de ces projets, fiabilité, rentabilités ? Pierre. Le mercredi 06 octobre 2010 à 10:38 +0200, Sebastien WILLEMIJNS a écrit : On Wed, 06 Oct 2010 10:26 +0200, Frédéric frede...@placenet.org wrote: il est vraiment dommage de gacher cette chaleur dans l'air ^^ surtout en été faire tourner des mini-turbines pour transformer en éléctricité ? ok bonjour le rendement mais bon... --- Liste de diffusion du FRnOG http://www.frnog.org/ signature.asc Description: This is a digitally signed message part
Re: [FRnOG] Sonde de reseau WAN ?
Mmmmh... ? http://plugcomputer.org/ + http://www.snort.org/ _ laid mais fait l'affaire. Il existe sinon de nombreuses solutions logicielles et matérielles plus ou moins abouties, chères, laides (Google is your friend inside). Pierre. Le jeudi 03 juin 2010 à 18:45 +0200, Olivier CALVANO a écrit : Bonsoir a tous, J'ai vu sur un réseau a l'étranger un système (fluke il me semble) d'analyse de réseau en temps reel. Il s'agissait d'une petite sonde mise entre le routeur et le lan, qui semble assez autonome et surtout laissant passer le flux en cas de défaillance et qui remonterait les informations du trafic sur un serveur central pour l'analyse Problème: Impossible de trouver le nom du produit, quelqu'un n'aurait pas cette information sous la main et une idée du coup ? Merci d'avance olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Sonde de reseau WAN ?
My bad, je n'avais pas lu que tu cherchais un outil Fluke. Optiview et Etherscope sont connus comme de bons outils portables dans ce cas (pas les moyens ni l'occasion d'en avoir utilisé). Conrad proposait il y a quelques temps une sonde en tout intégré, alléchante et ce qu'il faut, chez un autre fabriquant ; je n'ai pas retrouvé l'offre. (je maintiens que pour de l'analyse en surface et sur une période raisonable, investir dans un outil comme Optiview n'est pas nécessairement justifié vu ce qu'il traine comme matériel vieux ou bon marché et solutions libres d'analyse) Le jeudi 03 juin 2010 à 19:10 +0200, Pierre Jaury a écrit : Mmmmh... ? http://plugcomputer.org/ + http://www.snort.org/ _ laid mais fait l'affaire. Il existe sinon de nombreuses solutions logicielles et matérielles plus ou moins abouties, chères, laides (Google is your friend inside). Pierre. Le jeudi 03 juin 2010 à 18:45 +0200, Olivier CALVANO a écrit : Bonsoir a tous, J'ai vu sur un réseau a l'étranger un système (fluke il me semble) d'analyse de réseau en temps reel. Il s'agissait d'une petite sonde mise entre le routeur et le lan, qui semble assez autonome et surtout laissant passer le flux en cas de défaillance et qui remonterait les informations du trafic sur un serveur central pour l'analyse Problème: Impossible de trouver le nom du produit, quelqu'un n'aurait pas cette information sous la main et une idée du coup ? Merci d'avance olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Il y a une nuance et pas des moindres entre Hacker et Kevin de passage. Si tu n'as pas le temps de relire tout le code, en tant que responsable de l'aspect sécurité, tu pourrais au moins exécuter quelques outils d'analyse de base (have a look http://sectools.org/) plutôt que de faire impasse sur du fatalisme. De même que mourrons tous un jour, tu as bien un hygiène de vie, non ? Et un petit outil qui t'évitera une relecture fastidieuse et te fournira quelques données utiles sur le code en lui même : http://www.icosaedro.it/phplint/ Pierre. Le dimanche 28 février 2010 à 08:16 +0100, Greg a écrit : La différence ici c'est que le gars ne s'est pas contenté de faire mumuse avec notre site, il a essayé de voler des informations, ce n'est pas juste un bot de passage. Si je veux creuser plus loin, c'est pour essayer de savoir si c'est un concurrent. On subit régulièrement des attaques, des bots, du phishing des (gros) concurrents outre-atlantique. Et ils s'en sortent ! Le fait d'avoir lancer une enquête les empêche de continuer pour quelques mois voir années. Et de savoir qui c'est, pour prendre des mesures supplémentaires. Moi aussi ça me fait saigner les yeux (chez moi) ou hurler (au taf) quand je vois des énormités pareilles... Surtout que c'est moi qui répare. Je pensais sensibiliser suffisamment les développeurs aux problèmes de sécurité, suffisamment pour passer pour parano :) Je ne peux pas passer derrière tout leur code, il n'y a pas que 100k de ligne mais des millions, même un grep ne serait pas simple comme les requêtes sont dans des variables, multilignes, etc il faudrait revoir absolument tout le code. J'ai assisté à quelques salons du hacker (FRHACK, Insomni'hack, ...) et j'en suis ressortis fataliste: si un hacker veut passer, il passera. Ils arrivent à passer les agences gouvernementales (google le nouveau robin des bois), personne ne fait zéro erreur. -- Pierre Jaury pie...@jaury.eu -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS d- s+:- a-- C++ UL+++ P++ L+++ E W+++ N++ o-- K w-- O- M- V- PS+ PE Y PGP+++ t++ 5 X R tv b++ DI+ D G+ e++ h- r++ y+ --END GEEK CODE BLOCK-- signature.asc Description: Ceci est une partie de message numériquement signée
Re: [FRnOG] probleme de routage avec free
On Thu, 12 Nov 2009 14:07:29 +0100, Boby BAVAFA 007b...@gmail.com wrote: 2009/11/12 Jérôme Nicolle jer...@ceriz.fr Boby, 2009/11/11 Boby BAVAFA 007b...@gmail.com: Bon, Il semblerait juste que ce soit la communication entre le FAI et l'hebergeur qui soit en cause. L'hebergeur Strato m'indique que c'est Free qui ne repond pas à ses requetes (cf email ci dessous), es ce que c'est la barriere de la langue qui pose ces problemes? Donc en fait, ça confirme les craintes évoquées plus haut, à savoir que Free à pis la très mauvaise habitude de blakholer par principe et de poser les questions après, s'ils ont le temps. L'excuse de l'hebergeur réponds pas c'est du vent, ils se sont juste comportés comme des sagouins. J'ai beau lire tous les avis (dont les defenseurs de Mme Michu), je ne concoi toujours pas qu'une telle censure puisse s'appliquer et être toléré dans notre pays. J'aimerai bien savoir si c'est la direction technique qui a pris cette initiative, ou si ca vient d'un tech qui s'est pris à un moment pour Walker Texas Rangers. Je ne suis pas juriste mais je suppose que ce sont quand meme des pratiques qui peuvent etre lourdes de conséquence pour un FAI. J'ai beau être totalement opposé à la pratique en elle-même, filtrer un /32 ce n'est tout-de-même pas se prendre pour Dieu. Tu t'emportes un peu et je peux le comprendre comme tu en fais les frais. Et tout-puissant, free l'est de ce côté. A part avancer le L32-1 du CPCE et une éthique certe noble mais sûrement bien naïve de beaucoup de points-de-vue, tu ne peux pas grand chose. Des condamnations sur base du L32-1, aspect neutralité, je n'ai lu/ouï nulle part de précédent et pour cause : toujours les sanctions potentielles, inapplicables. Il te reste l'éventualité de te faire passer pour un Monsieur Michou très ignorant mais très énervé de ne pas pouvoir accéder à son superbe site alors que son voisin -chez un FAI que je ne citerai pas- n'a pas le moindre souci (c'est peut-être très naïf aussi, ça aura sûrement pour mérite le comique). Pierre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] probleme de routage avec free
On Mon, 09 Nov 2009 22:41:39 +0100, Radu-Adrian Feurdean r...@ftml.net wrote: On Mon, 9 Nov 2009 16:51:15 +0100, Jérôme Nicolle jer...@ceriz.fr said: Précisément. Mais justement, l'esprit de la loi, c'est la différence entre hébergeur et transport : dès lors que tu prends une décision qui affecte le contenu, y compris sa disponibilité, tu en assumes la NON ! Si tu a du packet loss a cause d'un lien congestione est-ce que ca veut dire que tu n'est plus neutre ? Si ton routage est sub-obtimal (voir foireux) tu n'est plus neutre ? D'apres moi, assez longtemps qu'on ne *modifie* pas les paquets et qu'on regarde pas plus loin que les entetes IP (pour les L4 - notamment TCP et UDP - c'est un peu limite), on reste neutre. Apres, il y a la loi, qui parfois (souvent) dit des conneries.. Au lieu de blackholer des IP, il doit avoir aussi moyen de les router via un lien analogique 9600 bps :) Non ! Et presque plus. Pour prendre une analogie parfaitement naïve mais pas trop mal significative, parce qu'il y a eu quelques indépendantistes basques violents, tu vas limiter le trafic et couper la moitié des routes vers le Sud du pays ? La neutralité ne touche surtout pas au seul contenu. Filtrer sur L4, c'est déjà faire des suppositions sur l'utilité et le contenu des paquets ; clairement, il s'agit de prendre la décision de privilégier tel ou tel lien, de couper tel ou tel autre. Cela n'a en revanche presque rien à voir avec un routage foireux, lent, ou un lien endommagé : ces alés ne comprennent aucune part de décision, pas plus de responsabilité légale au regard de la neutralité. Etre neutre, ce n'est pas avoir un réseau parfaitement équitable, c'est s'abstenir de décisions et de responsabilités qui en perturbent l'équilibre. Pierre Jaury. --- Liste de diffusion du FRnOG http://www.frnog.org/
