Re: [FRnOG] [MISC] Amplifications NTP
Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry Bonjour, un petit article de cloudfare sur le sujet: http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On Sat, Feb 1, 2014, at 22:24, Raphael Maunier wrote: J’oublie surement des trucs, Voila, parce-que moi j'en ai 3 en tete (OSPF, LDP, BFD - ils doivent bien atteindre le CPU, meme s'ils doivent pas arrivervia une interface externe). D'autres personnes peuvent avoir encore d'autres... Tout ca avec les cas specifiques qui vont avec. mais c’est effectivement un routeur, pas un serveur, donc, il faut fout fermer :) J'ai quand-meme l'impression que la tendance est exactement dans ce direction (control-plane = analogue serveur). Il me semble que Juniper ont commence aussi a sauter dans le tain des equipements reseaux puppet-isables... J'en parle meme pas de ceux qui mettent carrement un mini-serveur a l'interieur de leurs equipements - eux au moins se limitent aux switches. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On 01/02/2014 22:24, Raphael Maunier wrote: J’oublie surement des trucs, mais c’est effectivement un routeur, pas un serveur, donc, il faut fout fermer :) J’ai un template que j’utilise qui est fait dans ce sens. Si tu peux nous le partager... ;) ça peut servir. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Amplifications NTP
Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par erreur a été utilisé pour de l'amplification, c'était effectivement assez visible en volume sortant chez nous et plutôt agressif. Sans Netflow on ne l'aurait surement pas vu avant un moment... Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce moment :p Frédéric Le 01/02/2014 14:55, David Ramahefason a écrit : COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Sans compter les Juniper dont le client ntp fait aussi spontanément serveur alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens parfaitement adaptés à relayer du DDoS. http://www.gossamer-threads.com/lists/nsp/juniper/49151 Quelle blague. Le 1 févr. 2014 à 15:16, Frederic Dhieux frede...@syn.fr a écrit : Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par erreur a été utilisé pour de l'amplification, c'était effectivement assez visible en volume sortant chez nous et plutôt agressif. Sans Netflow on ne l'aurait surement pas vu avant un moment... Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce moment :p Frédéric Le 01/02/2014 14:55, David Ramahefason a écrit : COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
SRSLY ? Non, mais franchement, les mecs qui développent le software sur les équipements réseau (quel que soient les constructeurs), est-ce qu'ils imaginent/réalisent que leur code est vraiment utilisé dans autre chose que des lab ? On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote: Sans compter les Juniper dont le client ntp fait aussi spontanément serveur alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens parfaitement adaptés à relayer du DDoS. http://www.gossamer-threads.com/lists/nsp/juniper/49151 Quelle blague. Le 1 févr. 2014 à 15:16, Frederic Dhieux frede...@syn.fr a écrit : Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par erreur a été utilisé pour de l'amplification, c'était effectivement assez visible en volume sortant chez nous et plutôt agressif. Sans Netflow on ne l'aurait surement pas vu avant un moment... Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce moment :p Frédéric Le 01/02/2014 14:55, David Ramahefason a écrit : COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Nan, Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur leurs routeurs comment dire :) Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout bloquer sur la loopback ! Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu l’utilise direct. En gros, on fait du tuning de routeur :) On 01 Feb 2014, at 16:55, Clement Cavadore clem...@cavadore.net wrote: SRSLY ? Non, mais franchement, les mecs qui développent le software sur les équipements réseau (quel que soient les constructeurs), est-ce qu'ils imaginent/réalisent que leur code est vraiment utilisé dans autre chose que des lab ? On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote: Sans compter les Juniper dont le client ntp fait aussi spontanément serveur alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens parfaitement adaptés à relayer du DDoS. http://www.gossamer-threads.com/lists/nsp/juniper/49151 Quelle blague. Le 1 févr. 2014 à 15:16, Frederic Dhieux frede...@syn.fr a écrit : Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par erreur a été utilisé pour de l'amplification, c'était effectivement assez visible en volume sortant chez nous et plutôt agressif. Sans Netflow on ne l'aurait surement pas vu avant un moment... Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce moment :p Frédéric Le 01/02/2014 14:55, David Ramahefason a écrit : COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Pour Juniper : set policy-options prefix-list ipv4-ntp-sources apply-path system ntp server *” extrait de conf à appliquer sur la loopback : set firewall family inet filter protect-routing-engine term ntp from source-prefix-list ipv4-ntp-sources set firewall family inet filter protect-routing-engine term ntp from protocol udp set firewall family inet filter protect-routing-engine term ntp from port ntp set firewall family inet filter protect-routing-engine term ntp then accept set firewall family inet filter protect-routing-engine term you-shall-not-pass then log set firewall family inet filter protect-routing-engine term you-shall-not-pass then discard On 01 Feb 2014, at 18:18, Raphael Maunier raph...@maunier.net wrote: Nan, Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur leurs routeurs comment dire :) Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout bloquer sur la loopback ! Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu l’utilise direct. En gros, on fait du tuning de routeur :) On 01 Feb 2014, at 16:55, Clement Cavadore clem...@cavadore.net wrote: SRSLY ? Non, mais franchement, les mecs qui développent le software sur les équipements réseau (quel que soient les constructeurs), est-ce qu'ils imaginent/réalisent que leur code est vraiment utilisé dans autre chose que des lab ? On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote: Sans compter les Juniper dont le client ntp fait aussi spontanément serveur alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens parfaitement adaptés à relayer du DDoS. http://www.gossamer-threads.com/lists/nsp/juniper/49151 Quelle blague. Le 1 févr. 2014 à 15:16, Frederic Dhieux frede...@syn.fr a écrit : Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par erreur a été utilisé pour de l'amplification, c'était effectivement assez visible en volume sortant chez nous et plutôt agressif. Sans Netflow on ne l'aurait surement pas vu avant un moment... Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce moment :p Frédéric Le 01/02/2014 14:55, David Ramahefason a écrit : COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Le 1 février 2014 18:18, Raphael Maunier raph...@maunier.net a écrit : Mais si les mecs mettent pas par défaut les bonnes règles d'ingénierie sur leurs routeurs comment dire :) Dans d'autres circonstances ont t'aurait entendu dire que le constructeur X ou Y est naze d'activer des services par défaut et non documenté sans pouvoir les désactiver. Mais comme tu dois encore refourguer du Juniper il est plus simple de rejeter la balle chez ces imbéciles de clients. C'est de l'objectivité à géométrie variable en somme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On va dire ça, si ça te rend heureux On 01 Feb 2014, at 20:07, Sidney Boumendil sidney.boumen...@gmail.com wrote: Le 1 février 2014 18:18, Raphael Maunier raph...@maunier.net a écrit : Mais si les mecs mettent pas par défaut les bonnes règles d'ingénierie sur leurs routeurs comment dire :) Dans d'autres circonstances ont t'aurait entendu dire que le constructeur X ou Y est naze d'activer des services par défaut et non documenté sans pouvoir les désactiver. Mais comme tu dois encore refourguer du Juniper il est plus simple de rejeter la balle chez ces imbéciles de clients. C'est de l'objectivité à géométrie variable en somme. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur leurs routeurs comment dire :) Tu parles de mecs de Juniper je suppose. Parce qu'activer le client et avoir en cadeau le serveur comment dire .. Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout bloquer sur la loopback ! OK, je ne suis pas expert Juniper, mais des IP il n'y a pas QUE sur la loopback. Et a certaines occasions on a bien besoin que les interfaces recoivent du traffic a traiter en control-plane. Donc le tout bloquer sauf _ a l'exception de _ quand _ . Mais bon, c'est bien connu, tous les problemes de l'humanite peuvent etre resolus en utilisant la methode Yaka Fokon dans ce cas, mettre des filtres a gogo. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On 01 Feb 2014, at 22:02, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu l’utilise direct. Si on devait avoir des voitures comme les routeurs, apres l'achat il faudrait automatiquement faire : - changer les penus - faire une vidange - flasher l'ordinateur de bord (avec la derniere version qui a telle ou telle fonctionalite et pas tel ou tel bug) - faire une vingtaine de reglages cote moteur faute de quoi on risque d'arriver a l'hosiptal ou au cimitiere au lieu de chez soi. C’est bien ce que je dis, tu dois forcement faire des choses sur tout les routeurs que ce soit, Juniper, Cisco, Brocade ( surtout ) , and cie. Tu ne peux pas juste passer ta commande, prendre le routeur, et faire le wizard BGP :) En gros, on fait du tuning de routeur :) Oui, sauf que la on est dans plein bug-fix. Y a plein de bugs que pleins de gens ne voient pas parce que les règles d’ingénierie sont bonnes des le depart. C’est justement que je connais bien Juniper que je ne fais pas 100% confiance et que je fais en sorte de ne pas avoir ce genre de problème. J’ai en ce moment plus de 4 ou 5 bugs complement pourris avec Juniper et des trucs bien débiles. L’avantage, c’est que je peux tester facilement, avoir accès du lab pour trouver ou ça coince ! Il faut arrêter de croire que parce que j’utilise et que j’en ai vendu que chez Juniper est tout rose pour moi aussi :) J’ai fais 3 nuits debug bien agréables sur du junos ou d’une version à une autre tu n’as pas le meme comportement. Pareil lorsque tu changes de version ( c’est le cas pour le NTP par exemple ), il y a des failles qui apparaissent. Ils sont super fort pour aussi changer certains paramètres de configuration, ou d’une version x.x vers x.y et , tu dois changer tes templates. ( je crois que ça c’est la chose la plus pénible que j’ai en ce moment ) Bref, les constructeurs font et feront toujours de la merde, on le sait tous, et c’est au client de se prémunir, de réparer, et d’avoir une meilleure reduc la prochaine fois que ton gentil commercial viendra te payer à bouffer ! Imagine que chaque fois que tu fais un telnet depuis un routeur, le serveur telnet s'active….. Bah il faut s’y attendre ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On 01 Feb 2014, at 21:47, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur leurs routeurs comment dire :) Tu parles de mecs de Juniper je suppose. Parce qu'activer le client et avoir en cadeau le serveur comment dire .. Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout bloquer sur la loopback ! OK, je ne suis pas expert Juniper, mais des IP il n'y a pas QUE sur la loopback. Et a certaines occasions on a bien besoin que les interfaces recoivent du traffic a traiter en control-plane. Donc le tout bloquer sauf _ a l'exception de _ quand _ . Mais bon, c'est bien connu, tous les problemes de l'humanite peuvent etre resolus en utilisant la methode Yaka Fokon dans ce cas, mettre des filtres a gogo”. Sur un Juniper, tu bloques le traffic à destination du routeur via la loopback et les règles s’appliquent pour l’ensemble du routeur. Si tu veux faire des règles plus spécifique pour un port, tu dois le faire effectivement sur l’interface De toute façon, ton routeur ne doit pas accepter de traffic sauf : - SSH pour l’admin - SNMP pour tes graphs - BGP des peers - ICMP / traceroute … ( en rate-limitant ) Ensuite Il doit pouvoir faire : - DNS / NTP - Netflow - Traceroute / icmp J’oublie surement des trucs, mais c’est effectivement un routeur, pas un serveur, donc, il faut fout fermer :) J’ai un template que j’utilise qui est fait dans ce sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Le 2/1/14 10:15 PM, Raphael Maunier a écrit : On 01 Feb 2014, at 22:02, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu l’utilise direct. Si on devait avoir des voitures comme les routeurs, apres l'achat il faudrait automatiquement faire : - changer les penus - faire une vidange - flasher l'ordinateur de bord (avec la derniere version qui a telle ou telle fonctionalite et pas tel ou tel bug) - faire une vingtaine de reglages cote moteur faute de quoi on risque d'arriver a l'hosiptal ou au cimitiere au lieu de chez soi. C’est bien ce que je dis, tu dois forcement faire des choses sur tout les routeurs que ce soit, Juniper, Cisco, Brocade ( surtout ) , and cie. Tu ne peux pas juste passer ta commande, prendre le routeur, et faire le wizard BGP :) En gros, on fait du tuning de routeur :) Oui, sauf que la on est dans plein bug-fix. Y a plein de bugs que pleins de gens ne voient pas parce que les règles d’ingénierie sont bonnes des le depart. C’est justement que je connais bien Juniper que je ne fais pas 100% confiance et que je fais en sorte de ne pas avoir ce genre de problème. J’ai en ce moment plus de 4 ou 5 bugs complement pourris avec Juniper et des trucs bien débiles. L’avantage, c’est que je peux tester facilement, avoir accès du lab pour trouver ou ça coince ! Il faut arrêter de croire que parce que j’utilise et que j’en ai vendu que chez Juniper est tout rose pour moi aussi :) J’ai fais 3 nuits debug bien agréables sur du junos ou d’une version à une autre tu n’as pas le meme comportement. Pareil lorsque tu changes de version ( c’est le cas pour le NTP par exemple ), il y a des failles qui apparaissent. Ils sont super fort pour aussi changer certains paramètres de configuration, ou d’une version x.x vers x.y et , tu dois changer tes templates. ( je crois que ça c’est la chose la plus pénible que j’ai en ce moment ) Bref, les constructeurs font et feront toujours de la merde, on le sait tous, et c’est au client de se prémunir, de réparer, et d’avoir une meilleure reduc la prochaine fois que ton gentil commercial viendra te payer à bouffer ! Je vais être taquin : Je croyais que ça juste marche-ait Juniper ? :p On en revient à ce que je disais sur un autre sujet, la qualité d'un constructeur dépend aussi de l'habitude qu'on en a. Imagine que chaque fois que tu fais un telnet depuis un routeur, le serveur telnet s'active….. Bah il faut s’y attendre ! Je dirais qu'il faut plutôt le redouter et en être choqué quand ça arrive :/ La confiance n'exclut pas le contrôle, mais le contrôle peut entamer la confiance... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
