RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-13 Par sujet Michel Py 
> Paul Rolland a écrit :
> Oui, a peu pres... c'est un peu le role de cette "optimisation" ;) (et si 
> qq'un
> sait pkoi Cisco ne l'active pas par defaut, je veux bien l'info, histoire de
> satisfaire ma curiosite, mais je sens venir le "c'etait bugge au debut...").

Ce que je me rappelle c'était un peu çà, mais aussi le fait que çà marchait ou 
pas suivant le SUP que tu avais et la version de DFC et toussa.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-13 Par sujet Paul Rolland (ポール・ロラン) 
Hello,

On Mon, 13 Jan 2020 13:54:30 +0100
Fabien H  wrote:

> access-list compiled => Turbo ACL => Cela a effectivement largement allégé
> le CPU (à mon avis, je suis retombé au niveau de CPU d'avant les ACL)

Oui, a peu pres... c'est un peu le role de cette "optimisation" ;) (et si
qq'un sait pkoi Cisco ne l'active pas par defaut, je veux bien l'info,
histoire de satisfaire ma curiosite, mais je sens venir le "c'etait bugge
au debut...").

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-13 Par sujet Fabien H 
Bonjour,
pour vous faire un retour:

access-list compiled => Turbo ACL => Cela a effectivement largement allégé
le CPU (à mon avis, je suis retombé au niveau de CPU d'avant les ACL)

Lors d'un DDOS, ACL sur une interface IN est encore plus efficace qu'une
route BGP envoyée en RTBH, mais forcément la gestion des ACL est moins
souple et dynamique que du RTBH.

Merci à tous pour les informations.

Fabien


Le jeu. 9 janv. 2020 à 20:05, Michel Py 
a écrit :

> >> Vérifie si t’as pas des routes statiques vers une interface Broadcast
> (c’est le mal)
>
> +1
>
> ip route 0.0.0.0 0.0.0.0 g1/0 c'est une catastrophe.
> Il faut faire : ip route 0.0.0.0 0.0.0.0 x.x.x.x
>
> Aussi voir si t'as pas un problème de flooding / unresolved unicast, c'est
> un classique sur certains IX. Différence entre le timeout de CAM (300
> secondes) et le timeout de ARP (4 heures) et dans une situation asymétrique
> on se retrouve avec des centaines de mégabits qui ne te sont pas destinés.
> Sur un 7301 çà m'étonnerait que çà touche le CPU, ceci dit.
>
> Tans que t'y es : sur l'ACL entrante, deny de tout ce qui n'est pas tes
> préfixes dans l'adresse de destination. C'est plus propre.
>
> > Bcp de unsupported et de redirect aussi
>
> Moi j'ai 0 dans les redirect. Les Unsupp'ted çà fait longtemps que j'ai
> abandonné.
>
> T'as quoi dans BGP using  total bytes of memory ?
> (sh ip bgp summary)
>
> Et dans sh mem (le début) ?
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Michel Py 
>> Michel Py a écrit :
>> Pour débugger le CPU sur un Cisco j'ai cet alias sympa :
>> alias exec ps sh proc cpu | excl 0.00%__0.00%__0.00%

> Paul Rolland a écrit :
> Cette version me parait plus sympa :
> sh proc cpu | excl 0.0[0-9]%__0.0[0-9]%__0.0[0-9]%

Ah ouais il est sympa celui-ci aussi ! C'est vrai que les 0.0x% on s'en fout un 
peu.
Le mien en listait 16 lignes, pas si pire.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Paul Rolland (ポール・ロラン) 
Bonsoir,

On Thu, 9 Jan 2020 19:05:09 +
Michel Py  wrote:

> > Bcp de unsupported et de redirect aussi  
> 
> Moi j'ai 0 dans les redirect. 

Pareil, sauf en IPv6 ou j'en ai un peu... mais OSEF, c'est V6 ;)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Paul Rolland (ポール・ロラン) 
Salut Michel,

On Thu, 9 Jan 2020 19:09:04 +
Michel Py  wrote:

> Pour débugger le CPU sur un Cisco j'ai cet alias sympa :
> 
> alias exec ps sh proc cpu | excl 0.00%__0.00%__0.00%

Cette version me parait plus sympa :

sh proc cpu | excl 0.0[0-9]%__0.0[0-9]%__0.0[0-9]%

Ca laissse moins de 10 process a l'ecran, c'est lisible ;)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet David Ponzone 
OUAHH

Pa Py a sorti son alias de course :)

> Le 9 janv. 2020 à 20:09, Michel Py  a 
> écrit :
> 
> Pour débugger le CPU sur un Cisco j'ai cet alias sympa :
> 
> alias exec ps sh proc cpu | excl 0.00%__0.00%__0.00%
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Michel Py 
Pour débugger le CPU sur un Cisco j'ai cet alias sympa :

alias exec ps sh proc cpu | excl 0.00%__0.00%__0.00%


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Michel Py 
>> Vérifie si t’as pas des routes statiques vers une interface Broadcast (c’est 
>> le mal)

+1

ip route 0.0.0.0 0.0.0.0 g1/0 c'est une catastrophe.
Il faut faire : ip route 0.0.0.0 0.0.0.0 x.x.x.x

Aussi voir si t'as pas un problème de flooding / unresolved unicast, c'est un 
classique sur certains IX. Différence entre le timeout de CAM (300 secondes) et 
le timeout de ARP (4 heures) et dans une situation asymétrique on se retrouve 
avec des centaines de mégabits qui ne te sont pas destinés. Sur un 7301 çà 
m'étonnerait que çà touche le CPU, ceci dit.

Tans que t'y es : sur l'ACL entrante, deny de tout ce qui n'est pas tes 
préfixes dans l'adresse de destination. C'est plus propre.

> Bcp de unsupported et de redirect aussi

Moi j'ai 0 dans les redirect. Les Unsupp'ted çà fait longtemps que j'ai 
abandonné.

T'as quoi dans BGP using  total bytes of memory ?
(sh ip bgp summary)

Et dans sh mem (le début) ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Paul Rolland (ポール・ロラン) 
Hello,

On Thu, 9 Jan 2020 19:52:03 +0100
David Ponzone  wrote:

> Ouais et les Unsupp'ted font couler beaucoup d’encre, mais leurs causes
> sont floues.

 - ipsec,
 - nat,
 - access-list avec log keyword
semblent etre les plus frequemment citees...
 
> Fabien, tu as de l’IPSec sur le bouzin ?
> Des virtual-template ?

Euh, je les ai pas vu... mais t'as surement une meilleure vue que moi ;)

> Tu peux vérifier ton CPU en virant toutes tes ACL inbound/outbound quand
> même ? Vu l’âge de ton IOS, je suis méfiant…

Deja, un 
show access-list compiled
show run | i access.*log$

histoire de faire une pre-inspection visuelle 

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet David Ponzone 
Ouais et les Unsupp'ted font couler beaucoup d’encre, mais leurs causes sont 
floues.

Fabien, tu as de l’IPSec sur le bouzin ?
Des virtual-template ?
Tu peux vérifier ton CPU en virant toutes tes ACL inbound/outbound quand même ?
Vu l’âge de ton IOS, je suis méfiant…

> Le 9 janv. 2020 à 19:50, Paul Rolland (ポール・ロラン)  a écrit 
> :
> 
> Hello,
> 
> On Thu, 9 Jan 2020 19:42:22 +0100
> Fabien H  wrote:
> 
>> sh cef not-cef-switched  => semble bon ( beaucoup de unsupported ?)
>> 
>> IPv4 CEF Packets passed on to next switching layer
>> Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access
>> Frag
>> RP 0   0  2029794728 55438199 941978023  1043853 1962
>> 11048
> 
> Bcp de unsupported et de redirect aussi 
> 
> Paul
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Paul Rolland (ポール・ロラン) 
Hello,

On Thu, 9 Jan 2020 19:42:22 +0100
Fabien H  wrote:

>  sh cef not-cef-switched  => semble bon ( beaucoup de unsupported ?)
> 
> IPv4 CEF Packets passed on to next switching layer
> Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access
> Frag
> RP 0   0  2029794728 55438199 941978023  1043853 1962
>  11048

Bcp de unsupported et de redirect aussi 

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Fabien H 
> La moitié de ton problème c'est que le 7301 est limité à 1GO de mémoire,
> même si çà rentre encore, 1GO c'est pas suffisant aujourd'hui pour faire du
> full-feed.
>
>
>
>
Surtout quand il y' a 2 full feed :-)

Sinon sh ip arp  => Pas d'incomplete

statiques vers Interfaces de broadcast : à priori non

 sh cef not-cef-switched  => semble bon ( beaucoup de unsupported ?)

IPv4 CEF Packets passed on to next switching layer
Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access
Frag
RP 0   0  2029794728 55438199 941978023  1043853 1962
 11048

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Paul Rolland (ポール・ロラン) 
Bonjour,

On Thu, 9 Jan 2020 18:16:15 +0100
David Ponzone  wrote:

> Ouais pas faux.
> 
> Fabien:
> 
> Vérifie si t’as pas des routes statiques vers une interface Broadcast
> (c’est le mal) Et aussi sh ip arp pour voir si t’as beaucoup de
> incomplète (ce qui signifierait que t’as un truc à toi ou pas qui scande
> comme un fou)

Ou bcp d'equipements qui font du Gratuitous... comme par exemple des
interfaces IPMI qui s'annoncent regulierement, et qui finissent par faire
bcp de bruit de fond sur un LAN. Chez certains constructeurs, c'est par
defaut une annonce toutes les 3s.
(Bon, OK, ca ne fait pas de Incomplete, mais ca reste bien une autre cause
de ARP Input eleve)

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Michel Py 
> David Ponzone
> Tu peux casser ta tirelire et passer sur un ASR d’occase please ?
> T’en a pour 1000-1500€ et t’es peinard pour un moment.

+1.

La moitié de ton problème c'est que le 7301 est limité à 1GO de mémoire, même 
si çà rentre encore, 1GO c'est pas suffisant aujourd'hui pour faire du 
full-feed.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet David Ponzone 
Ouais pas faux.

Fabien:

Vérifie si t’as pas des routes statiques vers une interface Broadcast (c’est le 
mal)
Et aussi sh ip arp pour voir si t’as beaucoup de incomplète (ce qui 
signifierait que t’as un truc à toi ou pas qui scande comme un fou)

Source: 
https://www.cisco.com/c/en/us/support/docs/routers/7500-series-routers/41180-highcpu-processes.html#arp
 




> Le 9 janv. 2020 à 18:10, Paul Rolland (ポール・ロラン)  a écrit 
> :
> 
> Bonjour,
> 
> On Thu, 9 Jan 2020 17:44:33 +0100
> Fabien H  wrote:
> 
>> PID Runtime(ms) Invoked  uSecs   5Sec   1Min   5Min TTY Process
>>   5  184144078492973711  19806 13.83%  3.30%  2.39%   0 Check
>> heaps 
>>  19  1503589012  3790327737  0  2.00%  1.94%  1.92%   0 ARP
>> Input
> 
> Y'a quand meme le runtime de ARP Input qui me parait super eleve 
> 
> Paul
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet David Ponzone 
Tu peux essayer:

sh cef not-cef-switched

sh interfaces  stats

Pour vérifier s’il y a des INT sur lequel c’est le processeur qui bosse.


> Le 9 janv. 2020 à 18:07, Fabien H  a écrit :
> 
> On le remplacement est prévu .. prochainement :-)
> 
> Oui c'est normalement OK pour l'IP CEF j'ai re-vérifié
> 
> Merci pour les conseils ..
> 
> Le jeu. 9 janv. 2020 à 18:02, David Ponzone  a
> écrit :
> 
>> H un 7301 en 2020 ? :)
>> 
>> Tu peux casser ta tirelire et passer sur un ASR d’occase please ? T’en a
>> pour 1000-1500€ et t’es peinard pour un moment.
>> 
>> CPU élevé, qui ne semble pas venir d’un process en particulier, si mes
>> souverains sont bons, ça signifie qu’il y a beaucoup d’interrupt.
>> Pas grand chose à faire.
>> Je suppose que CEF est bien activé partout ?
>> 12.4(24)T1, c’est pas tout jeune non plus, y a pas un upgrade que tu peux
>> faire ?
>> (Et perso, j’ai jamais été fan des versions T sur un routeur core, sauf
>> exception)
>> 
>>> Le 9 janv. 2020 à 17:44, Fabien H  a écrit :
>>> 
>>> On s'éloigne un peu du sujet là .. on va peut être arreter là ? :-)
>>> 
>>> La nuit ça descend à 40% environ.
>>> 
>>> Le CISCO est : Cisco IOS Software, 7301 Software
>> (C7301-ADVIPSERVICESK9-M),
>>> Version 12.4(24)T1,
>>> 
>>> Voici sh proc cpu sorted quand très peu de trafic  :
>>> 
>>> CPU utilization for five seconds: 48%/29%; one minute: 39%; five minutes:
>>> 39%
>>> PID Runtime(ms) Invoked  uSecs   5Sec   1Min   5Min TTY Process
>>>  5  184144078492973711  19806 13.83%  3.30%  2.39%   0 Check
>> heaps
>>> 19  1503589012  3790327737  0  2.00%  1.94%  1.92%   0 ARP Input
>>> 41   92475484875177219  12300  1.35%  1.34%  1.35%   0
>> Per-Second
>>> Jobs
>>> 5017633504 1563995  11274  0.31%  0.03%  0.00%   0
>> Per-minute
>>> Jobs
>>> 139 7214400  3940881273  0  0.31%  0.31%  0.31%   0 HQF
>> Shaper
>>> Backg
>>> 81   433478028  2143248657202  0.31%  0.29%  0.30%   0 IP Input
>>> 3775907128 9515323   7977  0.23%  0.12%  0.11%   0 Net
>>> Background
>>> 1072836212887526851324  0.15%  0.20%  0.21%   0 CEF: IPv4
>>> proces
>>> 187  2169791288   436003744   4976  0.07%  0.71%  0.98%   0 BGP
>> Router
>>> 162   202814048   358970281564  0.07%  0.11%  0.12%   0 BGP I/O
>>> 274 176 483364  0.07%  0.01%  0.00%   3 Virtual
>>> Exec
>>> 78 494392040813941121  0.07%  0.00%  0.00%   0 ADJ
>>> resolve proc
>>> 4820483456  700584 18  0.07%  0.03%  0.04%   0 Net Input
>>> 11211092668   692332804 16  0.07%  0.07%  0.07%   0 TCP Timer
>>> 14   0   1  0  0.00%  0.00%  0.00%   0 IPC Seat
>>> Manager
>>> 13   9819655914386  1  0.00%  0.00%  0.00%   0 IPC
>>> Deferred Por
>>> 12  12069655914409  2  0.00%  0.00%  0.00%   0 IPC
>>> Periodic Tim
>>> 11   0   1  0  0.00%  0.00%  0.00%   0 IPC Zone
>>> Manager
>>> 
>>> 
>>> Le jeu. 9 janv. 2020 à 17:21, Michel Py <
>> mic...@arneill-py.sacramento.ca.us>
>>> a écrit :
>>> 
> Paul Rolland a écrit :
> Ton CPU est a 70% d'usage ??? Je sais pas ce que c'est comme modele et
 de quand il date,
 
 C'est un AGS ? ;-)
 
 J'ai du full-feed sur une bouse antique (c3825), et mon CPU est à 4%. Si
 un full-feed tombe (je fais clear ip BGP x.x.x.x pour simuler) pendant
 quelques secondes j'ai 80% mais dès que la session est remontée le CPU
 redescends.
 
 Fabien, t'est sur que c'est le control-plane BGP qui bouffe le CPU ? çà
 descend pendant la nuit quand il y a moins de trafic ?
 
 Michel.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Paul Rolland (ポール・ロラン) 
Bonjour,

On Thu, 9 Jan 2020 17:44:33 +0100
Fabien H  wrote:

>  PID Runtime(ms) Invoked  uSecs   5Sec   1Min   5Min TTY Process
>5  184144078492973711  19806 13.83%  3.30%  2.39%   0 Check
> heaps 
>   19  1503589012  3790327737  0  2.00%  1.94%  1.92%   0 ARP
> Input

Y'a quand meme le runtime de ARP Input qui me parait super eleve 

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Fabien H 
On le remplacement est prévu .. prochainement :-)

Oui c'est normalement OK pour l'IP CEF j'ai re-vérifié

Merci pour les conseils ..

Le jeu. 9 janv. 2020 à 18:02, David Ponzone  a
écrit :

> H un 7301 en 2020 ? :)
>
> Tu peux casser ta tirelire et passer sur un ASR d’occase please ? T’en a
> pour 1000-1500€ et t’es peinard pour un moment.
>
> CPU élevé, qui ne semble pas venir d’un process en particulier, si mes
> souverains sont bons, ça signifie qu’il y a beaucoup d’interrupt.
> Pas grand chose à faire.
> Je suppose que CEF est bien activé partout ?
> 12.4(24)T1, c’est pas tout jeune non plus, y a pas un upgrade que tu peux
> faire ?
> (Et perso, j’ai jamais été fan des versions T sur un routeur core, sauf
> exception)
>
> > Le 9 janv. 2020 à 17:44, Fabien H  a écrit :
> >
> > On s'éloigne un peu du sujet là .. on va peut être arreter là ? :-)
> >
> > La nuit ça descend à 40% environ.
> >
> > Le CISCO est : Cisco IOS Software, 7301 Software
> (C7301-ADVIPSERVICESK9-M),
> > Version 12.4(24)T1,
> >
> > Voici sh proc cpu sorted quand très peu de trafic  :
> >
> > CPU utilization for five seconds: 48%/29%; one minute: 39%; five minutes:
> > 39%
> > PID Runtime(ms) Invoked  uSecs   5Sec   1Min   5Min TTY Process
> >   5  184144078492973711  19806 13.83%  3.30%  2.39%   0 Check
> heaps
> >  19  1503589012  3790327737  0  2.00%  1.94%  1.92%   0 ARP Input
> >  41   92475484875177219  12300  1.35%  1.34%  1.35%   0
> Per-Second
> > Jobs
> >  5017633504 1563995  11274  0.31%  0.03%  0.00%   0
> Per-minute
> > Jobs
> > 139 7214400  3940881273  0  0.31%  0.31%  0.31%   0 HQF
> Shaper
> > Backg
> >  81   433478028  2143248657202  0.31%  0.29%  0.30%   0 IP Input
> >  3775907128 9515323   7977  0.23%  0.12%  0.11%   0 Net
> > Background
> > 1072836212887526851324  0.15%  0.20%  0.21%   0 CEF: IPv4
> > proces
> > 187  2169791288   436003744   4976  0.07%  0.71%  0.98%   0 BGP
> Router
> > 162   202814048   358970281564  0.07%  0.11%  0.12%   0 BGP I/O
> > 274 176 483364  0.07%  0.01%  0.00%   3 Virtual
> > Exec
> >  78 494392040813941121  0.07%  0.00%  0.00%   0 ADJ
> > resolve proc
> >  4820483456  700584 18  0.07%  0.03%  0.04%   0 Net Input
> > 11211092668   692332804 16  0.07%  0.07%  0.07%   0 TCP Timer
> >  14   0   1  0  0.00%  0.00%  0.00%   0 IPC Seat
> > Manager
> >  13   9819655914386  1  0.00%  0.00%  0.00%   0 IPC
> > Deferred Por
> >  12  12069655914409  2  0.00%  0.00%  0.00%   0 IPC
> > Periodic Tim
> >  11   0   1  0  0.00%  0.00%  0.00%   0 IPC Zone
> > Manager
> >
> >
> > Le jeu. 9 janv. 2020 à 17:21, Michel Py <
> mic...@arneill-py.sacramento.ca.us>
> > a écrit :
> >
> >>> Paul Rolland a écrit :
> >>> Ton CPU est a 70% d'usage ??? Je sais pas ce que c'est comme modele et
> >> de quand il date,
> >>
> >> C'est un AGS ? ;-)
> >>
> >> J'ai du full-feed sur une bouse antique (c3825), et mon CPU est à 4%. Si
> >> un full-feed tombe (je fais clear ip BGP x.x.x.x pour simuler) pendant
> >> quelques secondes j'ai 80% mais dès que la session est remontée le CPU
> >> redescends.
> >>
> >> Fabien, t'est sur que c'est le control-plane BGP qui bouffe le CPU ? çà
> >> descend pendant la nuit quand il y a moins de trafic ?
> >>
> >> Michel.
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet David Ponzone 
H un 7301 en 2020 ? :)

Tu peux casser ta tirelire et passer sur un ASR d’occase please ? T’en a pour 
1000-1500€ et t’es peinard pour un moment.

CPU élevé, qui ne semble pas venir d’un process en particulier, si mes 
souverains sont bons, ça signifie qu’il y a beaucoup d’interrupt.
Pas grand chose à faire.
Je suppose que CEF est bien activé partout ?
12.4(24)T1, c’est pas tout jeune non plus, y a pas un upgrade que tu peux faire 
?
(Et perso, j’ai jamais été fan des versions T sur un routeur core, sauf 
exception)

> Le 9 janv. 2020 à 17:44, Fabien H  a écrit :
> 
> On s'éloigne un peu du sujet là .. on va peut être arreter là ? :-)
> 
> La nuit ça descend à 40% environ.
> 
> Le CISCO est : Cisco IOS Software, 7301 Software (C7301-ADVIPSERVICESK9-M),
> Version 12.4(24)T1,
> 
> Voici sh proc cpu sorted quand très peu de trafic  :
> 
> CPU utilization for five seconds: 48%/29%; one minute: 39%; five minutes:
> 39%
> PID Runtime(ms) Invoked  uSecs   5Sec   1Min   5Min TTY Process
>   5  184144078492973711  19806 13.83%  3.30%  2.39%   0 Check heaps
>  19  1503589012  3790327737  0  2.00%  1.94%  1.92%   0 ARP Input
>  41   92475484875177219  12300  1.35%  1.34%  1.35%   0 Per-Second
> Jobs
>  5017633504 1563995  11274  0.31%  0.03%  0.00%   0 Per-minute
> Jobs
> 139 7214400  3940881273  0  0.31%  0.31%  0.31%   0 HQF Shaper
> Backg
>  81   433478028  2143248657202  0.31%  0.29%  0.30%   0 IP Input
>  3775907128 9515323   7977  0.23%  0.12%  0.11%   0 Net
> Background
> 1072836212887526851324  0.15%  0.20%  0.21%   0 CEF: IPv4
> proces
> 187  2169791288   436003744   4976  0.07%  0.71%  0.98%   0 BGP Router
> 162   202814048   358970281564  0.07%  0.11%  0.12%   0 BGP I/O
> 274 176 483364  0.07%  0.01%  0.00%   3 Virtual
> Exec
>  78 494392040813941121  0.07%  0.00%  0.00%   0 ADJ
> resolve proc
>  4820483456  700584 18  0.07%  0.03%  0.04%   0 Net Input
> 11211092668   692332804 16  0.07%  0.07%  0.07%   0 TCP Timer
>  14   0   1  0  0.00%  0.00%  0.00%   0 IPC Seat
> Manager
>  13   9819655914386  1  0.00%  0.00%  0.00%   0 IPC
> Deferred Por
>  12  12069655914409  2  0.00%  0.00%  0.00%   0 IPC
> Periodic Tim
>  11   0   1  0  0.00%  0.00%  0.00%   0 IPC Zone
> Manager
> 
> 
> Le jeu. 9 janv. 2020 à 17:21, Michel Py 
> a écrit :
> 
>>> Paul Rolland a écrit :
>>> Ton CPU est a 70% d'usage ??? Je sais pas ce que c'est comme modele et
>> de quand il date,
>> 
>> C'est un AGS ? ;-)
>> 
>> J'ai du full-feed sur une bouse antique (c3825), et mon CPU est à 4%. Si
>> un full-feed tombe (je fais clear ip BGP x.x.x.x pour simuler) pendant
>> quelques secondes j'ai 80% mais dès que la session est remontée le CPU
>> redescends.
>> 
>> Fabien, t'est sur que c'est le control-plane BGP qui bouffe le CPU ? çà
>> descend pendant la nuit quand il y a moins de trafic ?
>> 
>> Michel.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Fabien H 
On s'éloigne un peu du sujet là .. on va peut être arreter là ? :-)

La nuit ça descend à 40% environ.

Le CISCO est : Cisco IOS Software, 7301 Software (C7301-ADVIPSERVICESK9-M),
Version 12.4(24)T1,

Voici sh proc cpu sorted quand très peu de trafic  :

CPU utilization for five seconds: 48%/29%; one minute: 39%; five minutes:
39%
 PID Runtime(ms) Invoked  uSecs   5Sec   1Min   5Min TTY Process
   5  184144078492973711  19806 13.83%  3.30%  2.39%   0 Check heaps
  19  1503589012  3790327737  0  2.00%  1.94%  1.92%   0 ARP Input
  41   92475484875177219  12300  1.35%  1.34%  1.35%   0 Per-Second
Jobs
  5017633504 1563995  11274  0.31%  0.03%  0.00%   0 Per-minute
Jobs
 139 7214400  3940881273  0  0.31%  0.31%  0.31%   0 HQF Shaper
Backg
  81   433478028  2143248657202  0.31%  0.29%  0.30%   0 IP Input
  3775907128 9515323   7977  0.23%  0.12%  0.11%   0 Net
Background
 1072836212887526851324  0.15%  0.20%  0.21%   0 CEF: IPv4
proces
 187  2169791288   436003744   4976  0.07%  0.71%  0.98%   0 BGP Router
 162   202814048   358970281564  0.07%  0.11%  0.12%   0 BGP I/O
 274 176 483364  0.07%  0.01%  0.00%   3 Virtual
Exec
  78 494392040813941121  0.07%  0.00%  0.00%   0 ADJ
resolve proc
  4820483456  700584 18  0.07%  0.03%  0.04%   0 Net Input
 11211092668   692332804 16  0.07%  0.07%  0.07%   0 TCP Timer
  14   0   1  0  0.00%  0.00%  0.00%   0 IPC Seat
Manager
  13   9819655914386  1  0.00%  0.00%  0.00%   0 IPC
Deferred Por
  12  12069655914409  2  0.00%  0.00%  0.00%   0 IPC
Periodic Tim
  11   0   1  0  0.00%  0.00%  0.00%   0 IPC Zone
Manager


Le jeu. 9 janv. 2020 à 17:21, Michel Py 
a écrit :

> > Paul Rolland a écrit :
> > Ton CPU est a 70% d'usage ??? Je sais pas ce que c'est comme modele et
> de quand il date,
>
> C'est un AGS ? ;-)
>
> J'ai du full-feed sur une bouse antique (c3825), et mon CPU est à 4%. Si
> un full-feed tombe (je fais clear ip BGP x.x.x.x pour simuler) pendant
> quelques secondes j'ai 80% mais dès que la session est remontée le CPU
> redescends.
>
> Fabien, t'est sur que c'est le control-plane BGP qui bouffe le CPU ? çà
> descend pendant la nuit quand il y a moins de trafic ?
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Michel Py 
> Paul Rolland a écrit :
> Ton CPU est a 70% d'usage ??? Je sais pas ce que c'est comme modele et de 
> quand il date,

C'est un AGS ? ;-)

J'ai du full-feed sur une bouse antique (c3825), et mon CPU est à 4%. Si un 
full-feed tombe (je fais clear ip BGP x.x.x.x pour simuler) pendant quelques 
secondes j'ai 80% mais dès que la session est remontée le CPU redescends.

Fabien, t'est sur que c'est le control-plane BGP qui bouffe le CPU ? çà descend 
pendant la nuit quand il y a moins de trafic ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet David Ponzone 
C’est beaucoup ce niveau de CPU sur un Cisco…
Sachant que c’est un moyenne, ça signifie que tu as des crêtes plus hautes.

Pour le filtrage ntp, je crois que tu peux te permettre de filtrer aussi:
deny  udp any eq ntp any eq ntp

Tout client NTP moderne ne doit plus utiliser le port 123 comme port source, 
donc il ne doit pas y avoir de traffic 123<—>123



> Le 9 janv. 2020 à 12:52, Fabien H  a écrit :
> 
> Non, il ne l'a pas !
> 
> Je vais appliquer en soirée pour voir merci.
> 
> Mais nos routeurs sont un peu chargés d'habitude environ 60-65% à cause des
> sessions BGP..
> 
> 
> 
> Le jeu. 9 janv. 2020 à 12:48, Paul Rolland (ポール・ロラン) 
> a écrit :
> 
>> Hello,
>> 
>> On Thu, 9 Jan 2020 12:41:39 +0100
>> Fabien H  wrote:
>> 
>>> J'ai appliqué l'ACL suivante sur plusieurs interfaces (transitaires +
>> GIX)
>>> du routeur CISCO :
>>> 
>>> ip access-list extended INTERNET_TRANSIT_IN
>>>  deny  udp any eq ntp host A.B.C.D
>>>  permit ip any any
>>> 
>>> Pour un trafic équivalent à hier, le CPU a pris un bon 5% mais ça reste
>>> tout à fait correct, je suis à 70% environ
>> 
>> Ton CPU est a 70% d'usage ???
>> Je sais pas ce que c'est comme modele et de quand il date, mais regarde si
>> ton IOS a la commande :
>> 
>> access-list compiled
>> 
>> et assure-toi que c'est applique.
>> 
>> Paul
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Fabien H 
Non, il ne l'a pas !

Je vais appliquer en soirée pour voir merci.

Mais nos routeurs sont un peu chargés d'habitude environ 60-65% à cause des
sessions BGP..



Le jeu. 9 janv. 2020 à 12:48, Paul Rolland (ポール・ロラン) 
a écrit :

> Hello,
>
> On Thu, 9 Jan 2020 12:41:39 +0100
> Fabien H  wrote:
>
> > J'ai appliqué l'ACL suivante sur plusieurs interfaces (transitaires +
> GIX)
> > du routeur CISCO :
> >
> > ip access-list extended INTERNET_TRANSIT_IN
> >   deny  udp any eq ntp host A.B.C.D
> >   permit ip any any
> >
> > Pour un trafic équivalent à hier, le CPU a pris un bon 5% mais ça reste
> > tout à fait correct, je suis à 70% environ
>
> Ton CPU est a 70% d'usage ???
> Je sais pas ce que c'est comme modele et de quand il date, mais regarde si
> ton IOS a la commande :
>
> access-list compiled
>
> et assure-toi que c'est applique.
>
> Paul
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Paul Rolland (ポール・ロラン) 
Hello,

On Thu, 9 Jan 2020 12:41:39 +0100
Fabien H  wrote:

> J'ai appliqué l'ACL suivante sur plusieurs interfaces (transitaires + GIX)
> du routeur CISCO :
> 
> ip access-list extended INTERNET_TRANSIT_IN
>   deny  udp any eq ntp host A.B.C.D
>   permit ip any any
> 
> Pour un trafic équivalent à hier, le CPU a pris un bon 5% mais ça reste
> tout à fait correct, je suis à 70% environ

Ton CPU est a 70% d'usage ???
Je sais pas ce que c'est comme modele et de quand il date, mais regarde si
ton IOS a la commande :

access-list compiled

et assure-toi que c'est applique.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-09 Par sujet Fabien H 
Juste pour faire un retour sur les perfs :

J'ai appliqué l'ACL suivante sur plusieurs interfaces (transitaires + GIX)
du routeur CISCO :

ip access-list extended INTERNET_TRANSIT_IN
  deny  udp any eq ntp host A.B.C.D
  permit ip any any

Pour un trafic équivalent à hier, le CPU a pris un bon 5% mais ça reste
tout à fait correct, je suis à 70% environ






Le mer. 8 janv. 2020 à 13:08, David Ponzone  a
écrit :

> Ben ouais quand même, faut bien filtrer des petits trucs :)
> Sur un Cisco, c’est pas géré par le CPU normalement, depuis quelques
> années maintenant.
>
> > Le 8 janv. 2020 à 12:47, Fabien H  a écrit :
> >
> > Bonne remarque !
> >
> > Pendant l'attaque, je n'ai pas eu l'idée de regarder, j'ai préférer
> > vérifier le RTBH. Je ferais la prochaine fois..
> >
> > La question est juste de savoir si c'est une pratique qui se fait
> > régulièrement sur un routeur de bordure de mettre une ACL extended sur
> les
> > interfaces des transitaires ou alors si c'est pas conseillé..
> >
> > Merci
> >
> > Le mer. 8 janv. 2020 à 12:35, David Ponzone  a
> > écrit :
> >
> >> Ca donne quoi un sh proc c ?
> >>
> >>> Le 8 janv. 2020 à 12:27, Fabien H  a écrit :
> >>>
> >>> Bonjour,
> >>> bonne année à la communauté FRNOG :-)
> >>>
> >>> Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais
> je
> >>> trouve que mes routeurs de bordure montent un peu trop en CPU à mon
> gout
> >>> (encore pas mal de pertes de paquets sur les paquets traversant).
> >>>
> >>> Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un
> ACL
> >>> IN (étendue) sur les interfaces des transitaires du style :
> >>>
> >>> deny udp port source 123 ip dest A.B.C.D
> >>> permit any any
> >>>
> >>> Est-ce que c'est mieux d'un point de vue performance et mitigation vu
> que
> >>> le paquet est droppé en entrée par rapport à une route Null 0 ? Ou
> alors
> >> à
> >>> l'inverse l'ACL va entrainer une surcharge CPU qui va le faire
> >> s'effondrer ?
> >>>
> >>> Merci,
> >>>
> >>> Fabien
> >>>
> >>>
> >>>
> >>>
> >>> Le mar. 24 déc. 2019 à 07:41, Michel Py <
> >> mic...@arneill-py.sacramento.ca.us>
> >>> a écrit :
> >>>
> >>> Alarig Le Lay a écrit :
> >>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.
> 
> >> Moi aussi, mais à part le problème d'avoir le matos récent qui le
> >> fait,
>  va donc trouver un transitaire qui ferait
> >> çà en amont pour toi :-(  Déjà en trouver qui connaissent quelque
>  choses aux communautés c'est pas évident.
> 
> > Yannis Aribaud a écrit :
> > Hurricane Electric propose le support de flowspec en option sur leurs
>  offres de transit. Mais ça coûte une blinde !
> 
>  C'est bon à savoir que quelqu'un le propose, mais malheureusement
> c'est
> >> le
>  genre de chose qui ne vaut le coup de déployer que si tout le monde ou
>  presque le propose. C'est lamentable, mais çà ne vaut pas la peine de
> >> payer
>  si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-(
>  Intellectuellement, HE a mon support.
> 
>  Malheureusement, flowspec c'est quelque chose que j'aimerais bien
>  implémenter mais que je n'ai pas le pognon de le faire.
>  Encore une fois : ROI = zéro.
>  En plus, avec les vendeurs qui demandent une license extra pour le
> >> faire...
>  Bientôt, il faudra avoir une license pour aller pisser quand on
> >> configure
>  un routeur.
> 
>  Michel.
> 
> 
>  ---
>  Liste de diffusion du FRnOG
>  http://www.frnog.org/
> 
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Michel Py 
> OK mais pour vous ce quoi le mieux ? Transitaire avec Arbor ou transitaire 
> avec RTBH et tu gères tes annonces /32 en interne ?

Pour moi c'est Arbor mais pour mon portefeuille c'est RTBH !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Fabien H 
OK mais pour vous ce quoi le mieux ? Transitaire avec Arbor ou transitaire
avec RTBH et tu gères tes annonces /32 en interne ?

J'aurai tendance à dire Arbor parce que c'est quand même reconnu et je
suppose que la mitigation est très rapide et efficace dans la plupart des
cas ..

Le mer. 8 janv. 2020 à 19:10, Michel Py 
a écrit :

> > David Ponzone a écrit :
> > Sauf que maintenant le transitaire Tier2 un peu gros va essayer de te
> fourguer
> > du Arbor, et n’a donc aucun intérêt à avoir du RTBH à la papa/maman :)
>
> C'est clair, et justement quand tu es en phase de renouvellement du
> contrat tu leur dis que tu réduis le commit et le prix parce qu'ils n'ont
> pas ce que tu veux. Si tu as le choix, un transitaire çà se remplace, et
> c'est toujours bon de leur expliquer que les cimetières sont remplis de
> gens indispensables.
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Michel Py 
> David Ponzone a écrit :
> Sauf que maintenant le transitaire Tier2 un peu gros va essayer de te fourguer
> du Arbor, et n’a donc aucun intérêt à avoir du RTBH à la papa/maman :)

C'est clair, et justement quand tu es en phase de renouvellement du contrat tu 
leur dis que tu réduis le commit et le prix parce qu'ils n'ont pas ce que tu 
veux. Si tu as le choix, un transitaire çà se remplace, et c'est toujours bon 
de leur expliquer que les cimetières sont remplis de gens indispensables.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet David Ponzone 
Sauf que maintenant le transitaire Tier2 un peu gros va essayer de te fourguer 
du Arbor, et n’a donc aucun intérêt à avoir du RTBH à la papa/maman :)

> Le 8 janv. 2020 à 17:13, Michel Py  a 
> écrit :
> 
>> David Ponzone a écrit :
>> Ben déjà les IP RFC1918 et assimilées.
> 
> David m'a enlevé les mots de la bouche !
> 
> Fabien, il faut que tu travailles avec tes transitaires pour que le RTBH soit 
> fait chez eux. Il y en a certains qui acceptent des préfixes /32 avec la 
> bonne communauté et qui bloquent en amont.  C'est dans le besoin qu'on 
> reconnait ses amis, un transitaire qui ne comprend pas le besoin de fournir 
> ce genre de service en standard faut lui expliquer qu'il ferait mieux de se 
> remuer le c.
> 
> Michel.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Fabien H 
J'ai essayé avec le transitaire, mais sans donner son nom (ça va être
facile à trouver :-) ) , il propose un serveur blackhole sur lequel on
ouvre une session BGP et je n'arrive pas  jusqu'à maintenant à ouvrir cette
session (Problème de MD5..)

Je vais me re-concentrer dessus..


Le mer. 8 janv. 2020 à 17:13, Michel Py 
a écrit :

> > David Ponzone a écrit :
> > Ben déjà les IP RFC1918 et assimilées.
>
> David m'a enlevé les mots de la bouche !
>
> Fabien, il faut que tu travailles avec tes transitaires pour que le RTBH
> soit fait chez eux. Il y en a certains qui acceptent des préfixes /32 avec
> la bonne communauté et qui bloquent en amont.  C'est dans le besoin qu'on
> reconnait ses amis, un transitaire qui ne comprend pas le besoin de fournir
> ce genre de service en standard faut lui expliquer qu'il ferait mieux de se
> remuer le c.
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Michel Py 
> David Ponzone a écrit :
> Ben déjà les IP RFC1918 et assimilées.

David m'a enlevé les mots de la bouche !

Fabien, il faut que tu travailles avec tes transitaires pour que le RTBH soit 
fait chez eux. Il y en a certains qui acceptent des préfixes /32 avec la bonne 
communauté et qui bloquent en amont.  C'est dans le besoin qu'on reconnait ses 
amis, un transitaire qui ne comprend pas le besoin de fournir ce genre de 
service en standard faut lui expliquer qu'il ferait mieux de se remuer le c.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Michel Py 
> Fabien H a écrit :
> Sans forcément donner toutes les ficelles : Je pensais qu'en tant
> qu'opérateur, on fournissait un internet sans filtrage particulier,

C'est la majorité, mais çà veut pas dire que c'est propre. Par exemple, RFC1918 
sur un lien client ou un lien transit çà devrait être bloqué.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet David Ponzone 
Internet ouvert, mon cul :)

Ben déjà les IP RFC1918 et assimilées.
Et puis d’autres merdes.
Tu sais de nos jours les gens font HTTP à 99% alors tu peux bloquer Gopher :)


> Le 8 janv. 2020 à 16:59, Fabien H  a écrit :
> 
> OK merci pour ce 2eme retour.
> 
> Sans forcément donner toutes les ficelles : Je pensais qu'en tant
> qu'opérateur, on fournissait un internet sans filtrage particulier, j'ai du
> mal à imaginer ce qu'on peut filtrer en IN et OUT sans aller à l'encontre
> de l'internet ouvert ?
> 
> C'est peut-être en lien avec les activités illégales type DDOS justement ?
> Difficile avec des ACL simples permit/deny de filtrer je trouve..
> 
> 
> 
> Le mer. 8 janv. 2020 à 16:54, Michel Py 
> a écrit :
> 
>>> Fabien H a écrit :
>>> La question est juste de savoir si c'est une pratique qui se fait
>>> régulièrement sur un routeur de bordure de mettre une ACL extended
>>> sur les interfaces des transitaires ou alors si c'est pas conseillé..
>> 
>> Pour moi c'est systématique. In et out. Avec un routeur pas trop pourri
>> c'est géré par le hard, donc normalement une ACL sur une interface ne
>> devrait pas tuer le CPU. Après comme disait David, sh proc cpu.
>> 
>> Michel.
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Fabien H 
OK merci pour ce 2eme retour.

Sans forcément donner toutes les ficelles : Je pensais qu'en tant
qu'opérateur, on fournissait un internet sans filtrage particulier, j'ai du
mal à imaginer ce qu'on peut filtrer en IN et OUT sans aller à l'encontre
de l'internet ouvert ?

C'est peut-être en lien avec les activités illégales type DDOS justement ?
Difficile avec des ACL simples permit/deny de filtrer je trouve..



Le mer. 8 janv. 2020 à 16:54, Michel Py 
a écrit :

> > Fabien H a écrit :
> > La question est juste de savoir si c'est une pratique qui se fait
> > régulièrement sur un routeur de bordure de mettre une ACL extended
> > sur les interfaces des transitaires ou alors si c'est pas conseillé..
>
> Pour moi c'est systématique. In et out. Avec un routeur pas trop pourri
> c'est géré par le hard, donc normalement une ACL sur une interface ne
> devrait pas tuer le CPU. Après comme disait David, sh proc cpu.
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Michel Py 
> Fabien H a écrit :
> La question est juste de savoir si c'est une pratique qui se fait
> régulièrement sur un routeur de bordure de mettre une ACL extended
> sur les interfaces des transitaires ou alors si c'est pas conseillé..

Pour moi c'est systématique. In et out. Avec un routeur pas trop pourri c'est 
géré par le hard, donc normalement une ACL sur une interface ne devrait pas 
tuer le CPU. Après comme disait David, sh proc cpu.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Fabien H 
Ouf ça me rassure.

Donc je vais préparer l'ACL extended et l'appliquer en soirée pour voir..



Le mer. 8 janv. 2020 à 13:08, David Ponzone  a
écrit :

> Ben ouais quand même, faut bien filtrer des petits trucs :)
> Sur un Cisco, c’est pas géré par le CPU normalement, depuis quelques
> années maintenant.
>
> > Le 8 janv. 2020 à 12:47, Fabien H  a écrit :
> >
> > Bonne remarque !
> >
> > Pendant l'attaque, je n'ai pas eu l'idée de regarder, j'ai préférer
> > vérifier le RTBH. Je ferais la prochaine fois..
> >
> > La question est juste de savoir si c'est une pratique qui se fait
> > régulièrement sur un routeur de bordure de mettre une ACL extended sur
> les
> > interfaces des transitaires ou alors si c'est pas conseillé..
> >
> > Merci
> >
> > Le mer. 8 janv. 2020 à 12:35, David Ponzone  a
> > écrit :
> >
> >> Ca donne quoi un sh proc c ?
> >>
> >>> Le 8 janv. 2020 à 12:27, Fabien H  a écrit :
> >>>
> >>> Bonjour,
> >>> bonne année à la communauté FRNOG :-)
> >>>
> >>> Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais
> je
> >>> trouve que mes routeurs de bordure montent un peu trop en CPU à mon
> gout
> >>> (encore pas mal de pertes de paquets sur les paquets traversant).
> >>>
> >>> Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un
> ACL
> >>> IN (étendue) sur les interfaces des transitaires du style :
> >>>
> >>> deny udp port source 123 ip dest A.B.C.D
> >>> permit any any
> >>>
> >>> Est-ce que c'est mieux d'un point de vue performance et mitigation vu
> que
> >>> le paquet est droppé en entrée par rapport à une route Null 0 ? Ou
> alors
> >> à
> >>> l'inverse l'ACL va entrainer une surcharge CPU qui va le faire
> >> s'effondrer ?
> >>>
> >>> Merci,
> >>>
> >>> Fabien
> >>>
> >>>
> >>>
> >>>
> >>> Le mar. 24 déc. 2019 à 07:41, Michel Py <
> >> mic...@arneill-py.sacramento.ca.us>
> >>> a écrit :
> >>>
> >>> Alarig Le Lay a écrit :
> >>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.
> 
> >> Moi aussi, mais à part le problème d'avoir le matos récent qui le
> >> fait,
>  va donc trouver un transitaire qui ferait
> >> çà en amont pour toi :-(  Déjà en trouver qui connaissent quelque
>  choses aux communautés c'est pas évident.
> 
> > Yannis Aribaud a écrit :
> > Hurricane Electric propose le support de flowspec en option sur leurs
>  offres de transit. Mais ça coûte une blinde !
> 
>  C'est bon à savoir que quelqu'un le propose, mais malheureusement
> c'est
> >> le
>  genre de chose qui ne vaut le coup de déployer que si tout le monde ou
>  presque le propose. C'est lamentable, mais çà ne vaut pas la peine de
> >> payer
>  si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-(
>  Intellectuellement, HE a mon support.
> 
>  Malheureusement, flowspec c'est quelque chose que j'aimerais bien
>  implémenter mais que je n'ai pas le pognon de le faire.
>  Encore une fois : ROI = zéro.
>  En plus, avec les vendeurs qui demandent une license extra pour le
> >> faire...
>  Bientôt, il faudra avoir une license pour aller pisser quand on
> >> configure
>  un routeur.
> 
>  Michel.
> 
> 
>  ---
>  Liste de diffusion du FRnOG
>  http://www.frnog.org/
> 
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet David Ponzone 
Ben ouais quand même, faut bien filtrer des petits trucs :)
Sur un Cisco, c’est pas géré par le CPU normalement, depuis quelques années 
maintenant.

> Le 8 janv. 2020 à 12:47, Fabien H  a écrit :
> 
> Bonne remarque !
> 
> Pendant l'attaque, je n'ai pas eu l'idée de regarder, j'ai préférer
> vérifier le RTBH. Je ferais la prochaine fois..
> 
> La question est juste de savoir si c'est une pratique qui se fait
> régulièrement sur un routeur de bordure de mettre une ACL extended sur les
> interfaces des transitaires ou alors si c'est pas conseillé..
> 
> Merci
> 
> Le mer. 8 janv. 2020 à 12:35, David Ponzone  a
> écrit :
> 
>> Ca donne quoi un sh proc c ?
>> 
>>> Le 8 janv. 2020 à 12:27, Fabien H  a écrit :
>>> 
>>> Bonjour,
>>> bonne année à la communauté FRNOG :-)
>>> 
>>> Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais je
>>> trouve que mes routeurs de bordure montent un peu trop en CPU à mon gout
>>> (encore pas mal de pertes de paquets sur les paquets traversant).
>>> 
>>> Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un ACL
>>> IN (étendue) sur les interfaces des transitaires du style :
>>> 
>>> deny udp port source 123 ip dest A.B.C.D
>>> permit any any
>>> 
>>> Est-ce que c'est mieux d'un point de vue performance et mitigation vu que
>>> le paquet est droppé en entrée par rapport à une route Null 0 ? Ou alors
>> à
>>> l'inverse l'ACL va entrainer une surcharge CPU qui va le faire
>> s'effondrer ?
>>> 
>>> Merci,
>>> 
>>> Fabien
>>> 
>>> 
>>> 
>>> 
>>> Le mar. 24 déc. 2019 à 07:41, Michel Py <
>> mic...@arneill-py.sacramento.ca.us>
>>> a écrit :
>>> 
>>> Alarig Le Lay a écrit :
>>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.
 
>> Moi aussi, mais à part le problème d'avoir le matos récent qui le
>> fait,
 va donc trouver un transitaire qui ferait
>> çà en amont pour toi :-(  Déjà en trouver qui connaissent quelque
 choses aux communautés c'est pas évident.
 
> Yannis Aribaud a écrit :
> Hurricane Electric propose le support de flowspec en option sur leurs
 offres de transit. Mais ça coûte une blinde !
 
 C'est bon à savoir que quelqu'un le propose, mais malheureusement c'est
>> le
 genre de chose qui ne vaut le coup de déployer que si tout le monde ou
 presque le propose. C'est lamentable, mais çà ne vaut pas la peine de
>> payer
 si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-(
 Intellectuellement, HE a mon support.
 
 Malheureusement, flowspec c'est quelque chose que j'aimerais bien
 implémenter mais que je n'ai pas le pognon de le faire.
 Encore une fois : ROI = zéro.
 En plus, avec les vendeurs qui demandent une license extra pour le
>> faire...
 Bientôt, il faudra avoir une license pour aller pisser quand on
>> configure
 un routeur.
 
 Michel.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Fabien H 
Bonne remarque !

Pendant l'attaque, je n'ai pas eu l'idée de regarder, j'ai préférer
vérifier le RTBH. Je ferais la prochaine fois..

La question est juste de savoir si c'est une pratique qui se fait
régulièrement sur un routeur de bordure de mettre une ACL extended sur les
interfaces des transitaires ou alors si c'est pas conseillé..

Merci

Le mer. 8 janv. 2020 à 12:35, David Ponzone  a
écrit :

> Ca donne quoi un sh proc c ?
>
> > Le 8 janv. 2020 à 12:27, Fabien H  a écrit :
> >
> > Bonjour,
> > bonne année à la communauté FRNOG :-)
> >
> > Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais je
> > trouve que mes routeurs de bordure montent un peu trop en CPU à mon gout
> > (encore pas mal de pertes de paquets sur les paquets traversant).
> >
> > Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un ACL
> > IN (étendue) sur les interfaces des transitaires du style :
> >
> > deny udp port source 123 ip dest A.B.C.D
> > permit any any
> >
> > Est-ce que c'est mieux d'un point de vue performance et mitigation vu que
> > le paquet est droppé en entrée par rapport à une route Null 0 ? Ou alors
> à
> > l'inverse l'ACL va entrainer une surcharge CPU qui va le faire
> s'effondrer ?
> >
> > Merci,
> >
> > Fabien
> >
> >
> >
> >
> > Le mar. 24 déc. 2019 à 07:41, Michel Py <
> mic...@arneill-py.sacramento.ca.us>
> > a écrit :
> >
> > Alarig Le Lay a écrit :
> > Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.
> >>
>  Moi aussi, mais à part le problème d'avoir le matos récent qui le
> fait,
> >> va donc trouver un transitaire qui ferait
>  çà en amont pour toi :-(  Déjà en trouver qui connaissent quelque
> >> choses aux communautés c'est pas évident.
> >>
> >>> Yannis Aribaud a écrit :
> >>> Hurricane Electric propose le support de flowspec en option sur leurs
> >> offres de transit. Mais ça coûte une blinde !
> >>
> >> C'est bon à savoir que quelqu'un le propose, mais malheureusement c'est
> le
> >> genre de chose qui ne vaut le coup de déployer que si tout le monde ou
> >> presque le propose. C'est lamentable, mais çà ne vaut pas la peine de
> payer
> >> si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-(
> >> Intellectuellement, HE a mon support.
> >>
> >> Malheureusement, flowspec c'est quelque chose que j'aimerais bien
> >> implémenter mais que je n'ai pas le pognon de le faire.
> >> Encore une fois : ROI = zéro.
> >> En plus, avec les vendeurs qui demandent une license extra pour le
> faire...
> >> Bientôt, il faudra avoir une license pour aller pisser quand on
> configure
> >> un routeur.
> >>
> >> Michel.
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet David Ponzone 
Ca donne quoi un sh proc c ?

> Le 8 janv. 2020 à 12:27, Fabien H  a écrit :
> 
> Bonjour,
> bonne année à la communauté FRNOG :-)
> 
> Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais je
> trouve que mes routeurs de bordure montent un peu trop en CPU à mon gout
> (encore pas mal de pertes de paquets sur les paquets traversant).
> 
> Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un ACL
> IN (étendue) sur les interfaces des transitaires du style :
> 
> deny udp port source 123 ip dest A.B.C.D
> permit any any
> 
> Est-ce que c'est mieux d'un point de vue performance et mitigation vu que
> le paquet est droppé en entrée par rapport à une route Null 0 ? Ou alors à
> l'inverse l'ACL va entrainer une surcharge CPU qui va le faire s'effondrer ?
> 
> Merci,
> 
> Fabien
> 
> 
> 
> 
> Le mar. 24 déc. 2019 à 07:41, Michel Py 
> a écrit :
> 
> Alarig Le Lay a écrit :
> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.
>> 
 Moi aussi, mais à part le problème d'avoir le matos récent qui le fait,
>> va donc trouver un transitaire qui ferait
 çà en amont pour toi :-(  Déjà en trouver qui connaissent quelque
>> choses aux communautés c'est pas évident.
>> 
>>> Yannis Aribaud a écrit :
>>> Hurricane Electric propose le support de flowspec en option sur leurs
>> offres de transit. Mais ça coûte une blinde !
>> 
>> C'est bon à savoir que quelqu'un le propose, mais malheureusement c'est le
>> genre de chose qui ne vaut le coup de déployer que si tout le monde ou
>> presque le propose. C'est lamentable, mais çà ne vaut pas la peine de payer
>> si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-(
>> Intellectuellement, HE a mon support.
>> 
>> Malheureusement, flowspec c'est quelque chose que j'aimerais bien
>> implémenter mais que je n'ai pas le pognon de le faire.
>> Encore une fois : ROI = zéro.
>> En plus, avec les vendeurs qui demandent une license extra pour le faire...
>> Bientôt, il faudra avoir une license pour aller pisser quand on configure
>> un routeur.
>> 
>> Michel.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2020-01-08 Par sujet Fabien H 
Bonjour,
bonne année à la communauté FRNOG :-)

Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais je
trouve que mes routeurs de bordure montent un peu trop en CPU à mon gout
(encore pas mal de pertes de paquets sur les paquets traversant).

Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un ACL
IN (étendue) sur les interfaces des transitaires du style :

deny udp port source 123 ip dest A.B.C.D
permit any any

Est-ce que c'est mieux d'un point de vue performance et mitigation vu que
le paquet est droppé en entrée par rapport à une route Null 0 ? Ou alors à
l'inverse l'ACL va entrainer une surcharge CPU qui va le faire s'effondrer ?

Merci,

Fabien




Le mar. 24 déc. 2019 à 07:41, Michel Py 
a écrit :

> >>> Alarig Le Lay a écrit :
> >>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.
>
> >> Moi aussi, mais à part le problème d'avoir le matos récent qui le fait,
> va donc trouver un transitaire qui ferait
> >> çà en amont pour toi :-(  Déjà en trouver qui connaissent quelque
> choses aux communautés c'est pas évident.
>
> > Yannis Aribaud a écrit :
> > Hurricane Electric propose le support de flowspec en option sur leurs
> offres de transit. Mais ça coûte une blinde !
>
> C'est bon à savoir que quelqu'un le propose, mais malheureusement c'est le
> genre de chose qui ne vaut le coup de déployer que si tout le monde ou
> presque le propose. C'est lamentable, mais çà ne vaut pas la peine de payer
> si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-(
> Intellectuellement, HE a mon support.
>
> Malheureusement, flowspec c'est quelque chose que j'aimerais bien
> implémenter mais que je n'ai pas le pognon de le faire.
> Encore une fois : ROI = zéro.
> En plus, avec les vendeurs qui demandent une license extra pour le faire...
> Bientôt, il faudra avoir une license pour aller pisser quand on configure
> un routeur.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-23 Par sujet Michel Py 
>>> Alarig Le Lay a écrit :
>>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.

>> Moi aussi, mais à part le problème d'avoir le matos récent qui le fait, va 
>> donc trouver un transitaire qui ferait
>> çà en amont pour toi :-(  Déjà en trouver qui connaissent quelque choses aux 
>> communautés c'est pas évident.

> Yannis Aribaud a écrit :
> Hurricane Electric propose le support de flowspec en option sur leurs offres 
> de transit. Mais ça coûte une blinde !

C'est bon à savoir que quelqu'un le propose, mais malheureusement c'est le 
genre de chose qui ne vaut le coup de déployer que si tout le monde ou presque 
le propose. C'est lamentable, mais çà ne vaut pas la peine de payer si on a 4 
ou 5 transits et que HE est le seul à proposer l'option :-(
Intellectuellement, HE a mon support.

Malheureusement, flowspec c'est quelque chose que j'aimerais bien implémenter 
mais que je n'ai pas le pognon de le faire.
Encore une fois : ROI = zéro.
En plus, avec les vendeurs qui demandent une license extra pour le faire...
Bientôt, il faudra avoir une license pour aller pisser quand on configure un 
routeur.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-22 Par sujet Alarig Le Lay 
On dim. 22 déc. 10:24:32 2019, Yannis Aribaud wrote:
> Je ne dévoilerai pas le tarif qu'ils m'ont proposé, mais pour vous
> donner un ordre d'idée, c'est presque 3x le prix de mon port 10Gb en
> récurrent et encore 3x plus en setup...

Ah ouais… ça te fait réfléchir deux minutes avant de signer le bon de
commande.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-22 Par sujet Yannis Aribaud 
22 décembre 2019 11:24 "Yannis Aribaud"  a écrit:

> 22 décembre 2019 11:13 "Alarig Le Lay"  a écrit:
> 
>> On dim. 22 déc. 09:57:59 2019, Yannis Aribaud wrote:
>> 
>>> Hurricane Electric propose le support de flowspec en option sur leurs
>>> offres de transit. Mais ça coûte une blinde !
>> 
>> Genre combien ?
> 
> Je ne dévoilerai pas le tarif qu'ils m'ont proposé, mais pour vous donner un 
> ordre d'idée, c'est
> presque 3x le prix de mon port 10Gb en récurrent et encore 3x plus en setup...

A noter que le tarif est le même peu importe la capacité du transit (jusqu'à 
100Gb), ça peut donc être intéressant si on a un transit avec une grosse capa 
chez eux. 

Regards,
-- 
Yannis Aribaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-22 Par sujet Yannis Aribaud 
22 décembre 2019 11:13 "Alarig Le Lay"  a écrit:

> On dim. 22 déc. 09:57:59 2019, Yannis Aribaud wrote:
> 
>> Hurricane Electric propose le support de flowspec en option sur leurs
>> offres de transit. Mais ça coûte une blinde !
> 
> Genre combien ?

Je ne dévoilerai pas le tarif qu'ils m'ont proposé, mais pour vous donner un 
ordre d'idée, c'est presque 3x le prix de mon port 10Gb en récurrent et encore 
3x plus en setup...


Regards,
-- 
Yannis Aribaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-22 Par sujet Alarig Le Lay 
On dim. 22 déc. 09:57:59 2019, Yannis Aribaud wrote:
> Hurricane Electric propose le support de flowspec en option sur leurs
> offres de transit. Mais ça coûte une blinde !

Genre combien ?

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-22 Par sujet Yannis Aribaud 
20 décembre 2019 22:16 "Michel Py"  a écrit:

>> Alarig Le Lay a écrit :
>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.
> 
> Moi aussi, mais à part le problème d'avoir le matos récent qui le fait, va 
> donc trouver un
> transitaire qui ferait çà en amont pour toi :-(
> Déjà en trouver qui connaissent quelque choses aux communautés c'est pas 
> évident.

Hurricane Electric propose le support de flowspec en option sur leurs offres de 
transit. Mais ça coûte une blinde !

Regards,
-- 
Yannis Aribaud


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Alarig Le Lay 
On ven. 20 déc. 21:24:52 2019, Michel Py wrote:
> Moi aussi, mais à part le problème d'avoir le matos récent qui le
> fait, va donc trouver un transitaire qui ferait çà en amont pour toi
> :-( Déjà en trouver qui connaissent quelque choses aux communautés
> c'est pas évident.

Flowspec en eBGP j’ai jamais trouvé :D (j’avais pas cherché tellement
non plus)
Après, le RTBH c’est un pré-requis de base pour moi.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Michel Py 
> Alarig Le Lay a écrit :
> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.

Moi aussi, mais à part le problème d'avoir le matos récent qui le fait, va donc 
trouver un transitaire qui ferait çà en amont pour toi :-(
Déjà en trouver qui connaissent quelque choses aux communautés c'est pas 
évident.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Alarig Le Lay 
On ven. 20 déc. 17:50:10 2019, Michel Py wrote:
> Il faut bien comprendre que je n'utilise pas uRPF dans l'esprit ou il
> a été conçu. L'origine de uRPF c'était de ne pas propager la merdasse
> spoofée, et ce n'est pas un succès. Ce que j'utilise dans uRPF (et en
> particulier avec l'implémentation Cisco de null0) c'est en combinaison
> avec plusieurs RTBH BGP basés sur l'adresse source.

Dans ce cas je préfère faire du flowspec, je trouve ça plus propre.
Après, j’ai déjà utilisé cette technique sur des routeurs qui ne le
supportaient pas (ça reste assez neuf).

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Michel Py 
> Fabien H a écrit :
> Pendant une attaque DDOS vers une seule IP

Pour clarifier, le /32 que tu bloques, c'est une de tes propres adresses, la 
cible de l'attaque ?
Dans ce cas, uRPF ne sert à rien, car ton RTBH est basé sur l'adresse de 
destination.
uRPF, çà sert quand le RTBH est basé sur l'adresse source.

Etape suivante : travailler avec tes transitaires, et voir s'ils acceptent un 
préfixe /32 avec la communauté qui va bien pour le bloquer chez eux.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Michel Py 
> Fabien H a écrit :
> Par contre juste une question qui me chagrine, en environnement multi-homé,
> multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas un
> risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?

C'est plus qu'un risque, c'est pratiquement garanti. BGP est par nature 
asymétrique, donc le paquet entrant n'arrive pas forcément par la même 
interface qu'il est sorti. Il faut donc utiliser uRPF en mode "loose", ou le 
test est fait en regardant si le préfixe est dans la RIB, alors qu'en mode 
strict le test est fait en regardant si le préfixe est dans la FIB.
Et, lire plus bas.

> Alarig Le Lay a écrit :
> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p

Dans bien des cas, c'est vrai que le mode loose c'est un peu comme pisser dans 
un violon, en effet.
Je reconnais volontiers que uRPF/BCP38, en particulier pour un AS de transit 
et/ou un AS présent dans un IX, c'est d'une utilité douteuse et çà a des effets 
de bords. Ta position est parfaitement valable, mais lire plus bas aussi.

> David Ponzone a écrit :
> Michel, quand tu seras réveillé: t’avais pas des stats sur ce que à ta 
> modeste échelle tu arrivais à filtrer avec uRPF ?

Sur un /24 dont seulement 4 adresses on accès à l'Internet complet, c'est entre 
10 PPS et 1000 PPS que je jette dès l'entrée. J'ai pas de bons moyens de 
mesurer quoi. Mon environnement : vraie DFZ (pas de route par défaut), uRPF en 
mode loose, routage null0 venant de CBBC + Cymru fullbogons (qui inclut 
RFC1918).

Il faut bien comprendre que je n'utilise pas uRPF dans l'esprit ou il a été 
conçu. L'origine de uRPF c'était de ne pas propager la merdasse spoofée, et ce 
n'est pas un succès. Ce que j'utilise dans uRPF (et en particulier avec 
l'implémentation Cisco de null0) c'est en combinaison avec plusieurs RTBH BGP 
basés sur l'adresse source.

L'intérêt dans ce cas, c'est de jeter le paquet dont on ne veut pas directement 
sur l'interface qui le reçoit, avant même de l'inspecter (au lieu de le router 
vers null0 ou de le donner au pare-feu).

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Alarig Le Lay 
Bah tu t’en fous que ça soit joignable en retour ou pas, c’est sans état
l’ICMP. Et si le gus en face n’en prends pas compte, c’est pas vraiment
ton problème.

On 20/12/2019 11:30, David Ponzone wrote:
> Ouais c’est juste, j’avais omis ce cas, mais je sais pas pourquoi ça
> me choque (tout problématique technique mise de côté) qu’on puisse
> émettre un paquet valide depuis une adresse non-joignable en retour.
> 
> Michel, quand tu seras réveillé: t’avais pas des stats sur ce que à
> ta modeste échelle tu arrivais à filtrer avec uRPF ?
> 
>> Le 20 déc. 2019 à 11:26, Vincent Bernat  a écrit
>> :
>> 
>> Je pense que c'est plutôt le contraire. Par exemple les IX
>> n'annoncent pas leurs subnets pour éviter les attaques (exemple,
>> France-IX, AMS-IX). Et ils demandent de ne pas les réannoncer non
>> plus. -- Don't stop at one bug. - The Elements of Programming Style
>> (Kernighan & Plauger)
>> 
>> ――― Original Message ――――――― From: David Ponzone
>>  Sent: 20 décembre 2019 10:37 +01 Subject:
>> Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un
>> routeur CISCO depuis une VM Linux To: Alarig Le Lay Cc:
>> frnog@frnog.org
>> 
>>> A la base c’est pas considéré comme « bad practice » d’avoir des 
>>> équipements qui renvoient des ICMP depuis des IP non annoncées ?
>>> 
>>>> Le 20 déc. 2019 à 10:35, Alarig Le Lay  a
>>>> écrit :
>>>> 
>>>> Pour les traceroutes/mtr et le PMTUd.
>>>> 
>>>> On 20/12/2019 10:34, David Ponzone wrote:
>>>>> OK ça se défend. Ca te gêne pour les traceroute ou pour autre
>>>>> chose ?
>>>>> 
>>>>>> Le 20 déc. 2019 à 10:29, Alarig Le Lay
>>>>>>  a écrit :
>>>>>> 
>>>>>> Je n’ai jamais eu de soucis de spoof d’IP pas annoncées.
>>>>>> Par contre, ne plus recevoir les ICMP des backbones pas
>>>>>> annoncés, j’ai déjà eu. Donc l’intérêt est négatif pour
>>>>>> moi.
>>>>>> 
>>>>>> On 20/12/2019 10:27, David Ponzone wrote:
>>>>>>> Ben si t’as pas de route pour l’IP source du paquet, tu
>>>>>>> le drop au plus tôt non ?
>>>>>>> 
>>>>>>> 
>>>>>>>> Le 20 déc. 2019 à 10:23, Alarig Le Lay
>>>>>>>>  a écrit :
>>>>>>>> 
>>>>>>>> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode
>>>>>>>> strict perso :p
>>>>>>>> 
>>>>>>>> On 20/12/2019 10:22, David Ponzone wrote:
>>>>>>>>> Pas en mode strict en tout cas.
>>>>>>>>> 
>>>>>>>>>> Le 20 déc. 2019 à 10:16, Alarig Le Lay
>>>>>>>>>>  a écrit :
>>>>>>>>>> 
>>>>>>>>>> uRPF faut le faire sur ton réseau à toi, pas sur
>>>>>>>>>> les intercos vers l’extérieur, sinon effectivement
>>>>>>>>>> ça casse tout.
>>>>>>>>>> 
>>>>>>>>>> On 20/12/2019 09:57, Fabien H wrote:
>>>>>>>>>>> Bonjour Michel (quand il fera jour
>>>>>>>>>>> outre-atlantique :-) )
>>>>>>>>>>> 
>>>>>>>>>>> J'ai regardé un peu uRPF, effectivement, c'est
>>>>>>>>>>> très intéressant effectivement !
>>>>>>>>>>> 
>>>>>>>>>>> Par contre juste une question qui me chagrine, en
>>>>>>>>>>> environnement multi-homé, multi-transitaire avec
>>>>>>>>>>> ton préfixe /22 annoncé sur tous les
>>>>>>>>>>> transitaires, sans local pref sur le sortant vers
>>>>>>>>>>> tel ou tel transitaire, il n'y a pas un risque
>>>>>>>>>>> que le paquet arrive "de bonne foi" par le
>>>>>>>>>>> mauvais transitaire ?
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> Le jeu. 19 déc. 2019 à 21:27, Michel Py
>>>>>>>>>>>  a écrit :
>>>>>>>>>>> 
>>>>>>>>>>>>> Fabien H a écrit : announce route A.B.C.D/32
>>>>>>>>>>>>> next-hop 10.10.2.41 community 65532:666
>>>>>>>>>>>> 
>>>>>>>>>>>> Change 65532 pour quelque chose d'autre.
>>>>>>>>>>>> Réservé pour Michel/CBBC :P A éviter aussi :
>>>>>>>>>>>> 65332 (team Cymru)
>>>>>>>>>>>> 
>>>>>>>>>>>> Ne pas oublier :
>>>>>>>>>>>> 
>>>>>>>>>>>> interface null 0 no ip unreachables
>>>>>>>>>>>> 
>>>>>>>>>>>>> Pas de problème de peformance si le routeur
>>>>>>>>>>>>> envoie d'abord vers 192.0.2.1 puis cherche la
>>>>>>>>>>>>> route 192.0.2.1 vers Null 0 ?
>>>>>>>>>>>> 
>>>>>>>>>>>> Non, c'est la bonne manière.
>>>>>>>>>>>> 
>>>>>>>>>>>> Tu as quoi pour sh ip route 0.0.0.0 ? tu
>>>>>>>>>>>> utilises la route par défaut ?
>>>>>>>>>>>> 
>>>>>>>>>>>> Prochaine étape : uRPF sur l'interface
>>>>>>>>>>>> externe.
>>>>>>>>>>>> 
>>>>>>>>>>>> Michel.
>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> --- Liste de diffusion du
>>>>>>>>>>> FRnOG http://www.frnog.org/
>>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> --- Liste de diffusion du
>>>>>>>>>> FRnOG http://www.frnog.org/
>>>>>>>>> 
>>>>>>>> 
>>>>>>> 
>>>>>> 
>>>>> 
>>>> 
>>> 
>>> 
>>> --- Liste de diffusion du FRnOG 
>>> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet David Ponzone 
Ouais c’est juste, j’avais omis ce cas, mais je sais pas pourquoi ça me choque 
(tout problématique technique mise de côté) qu’on puisse émettre un paquet 
valide depuis une adresse non-joignable en retour.

Michel, quand tu seras réveillé: t’avais pas des stats sur ce que à ta modeste 
échelle tu arrivais à filtrer avec uRPF ?

> Le 20 déc. 2019 à 11:26, Vincent Bernat  a écrit :
> 
> Je pense que c'est plutôt le contraire. Par exemple les IX n'annoncent
> pas leurs subnets pour éviter les attaques (exemple, France-IX, AMS-IX).
> Et ils demandent de ne pas les réannoncer non plus.
> -- 
> Don't stop at one bug.
>- The Elements of Programming Style (Kernighan & Plauger)
> 
> ――― Original Message ―――
> From: David Ponzone 
> Sent: 20 décembre 2019 10:37 +01
> Subject: Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un 
> routeur CISCO depuis une VM Linux
> To: Alarig Le Lay
> Cc: frnog@frnog.org
> 
>> A la base c’est pas considéré comme « bad practice » d’avoir des
>> équipements qui renvoient des ICMP depuis des IP non annoncées ?
>> 
>>> Le 20 déc. 2019 à 10:35, Alarig Le Lay  a écrit :
>>> 
>>> Pour les traceroutes/mtr et le PMTUd.
>>> 
>>> On 20/12/2019 10:34, David Ponzone wrote:
>>>> OK ça se défend.
>>>> Ca te gêne pour les traceroute ou pour autre chose ?
>>>> 
>>>>> Le 20 déc. 2019 à 10:29, Alarig Le Lay  a écrit :
>>>>> 
>>>>> Je n’ai jamais eu de soucis de spoof d’IP pas annoncées. Par contre, ne
>>>>> plus recevoir les ICMP des backbones pas annoncés, j’ai déjà eu. Donc
>>>>> l’intérêt est négatif pour moi.
>>>>> 
>>>>> On 20/12/2019 10:27, David Ponzone wrote:
>>>>>> Ben si t’as pas de route pour l’IP source du paquet, tu le drop au plus 
>>>>>> tôt non ?
>>>>>> 
>>>>>> 
>>>>>>> Le 20 déc. 2019 à 10:23, Alarig Le Lay  a écrit :
>>>>>>> 
>>>>>>> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p
>>>>>>> 
>>>>>>> On 20/12/2019 10:22, David Ponzone wrote:
>>>>>>>> Pas en mode strict en tout cas.
>>>>>>>> 
>>>>>>>>> Le 20 déc. 2019 à 10:16, Alarig Le Lay  a écrit 
>>>>>>>>> :
>>>>>>>>> 
>>>>>>>>> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
>>>>>>>>> l’extérieur, sinon effectivement ça casse tout.
>>>>>>>>> 
>>>>>>>>> On 20/12/2019 09:57, Fabien H wrote:
>>>>>>>>>> Bonjour Michel (quand il fera jour outre-atlantique :-) )
>>>>>>>>>> 
>>>>>>>>>> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
>>>>>>>>>> effectivement !
>>>>>>>>>> 
>>>>>>>>>> Par contre juste une question qui me chagrine, en environnement 
>>>>>>>>>> multi-homé,
>>>>>>>>>> multi-transitaire avec ton préfixe /22 annoncé sur tous les 
>>>>>>>>>> transitaires,
>>>>>>>>>> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a 
>>>>>>>>>> pas un
>>>>>>>>>> risque que le paquet arrive "de bonne foi" par le mauvais 
>>>>>>>>>> transitaire ?
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> Le jeu. 19 déc. 2019 à 21:27, Michel Py 
>>>>>>>>>> 
>>>>>>>>>> a écrit :
>>>>>>>>>> 
>>>>>>>>>>>> Fabien H a écrit :
>>>>>>>>>>>> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>>>>>>>>>>> 
>>>>>>>>>>> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
>>>>>>>>>>> A éviter aussi : 65332 (team Cymru)
>>>>>>>>>>> 
>>>>>>>>>>> Ne pas oublier :
>>>>>>>>>>> 
>>>>>>>>>>> interface null 0
>>>>>>>>>>> no ip unreachables
>>>>>>>>>>> 
>>>>>>>>>>>> Pas de problème de peformance si le routeur envoie d'abord vers 
>>>>>>>>>>>> 192.0.2.1
>>>>>>>>>>>> puis cherche la route 192.0.2.1 vers Null 0 ?
>>>>>>>>>>> 
>>>>>>>>>>> Non, c'est la bonne manière.
>>>>>>>>>>> 
>>>>>>>>>>> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par 
>>>>>>>>>>> défaut ?
>>>>>>>>>>> 
>>>>>>>>>>> Prochaine étape : uRPF sur l'interface externe.
>>>>>>>>>>> 
>>>>>>>>>>> Michel.
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> ---
>>>>>>>>>> Liste de diffusion du FRnOG
>>>>>>>>>> http://www.frnog.org/
>>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> ---
>>>>>>>>> Liste de diffusion du FRnOG
>>>>>>>>> http://www.frnog.org/
>>>>>>>> 
>>>>>>> 
>>>>>> 
>>>>> 
>>>> 
>>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Vincent Bernat 
Je pense que c'est plutôt le contraire. Par exemple les IX n'annoncent
pas leurs subnets pour éviter les attaques (exemple, France-IX, AMS-IX).
Et ils demandent de ne pas les réannoncer non plus.
-- 
Don't stop at one bug.
- The Elements of Programming Style (Kernighan & Plauger)

 ――― Original Message ―――
 From: David Ponzone 
 Sent: 20 décembre 2019 10:37 +01
 Subject: Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur 
CISCO depuis une VM Linux
 To: Alarig Le Lay
 Cc: frnog@frnog.org

> A la base c’est pas considéré comme « bad practice » d’avoir des
> équipements qui renvoient des ICMP depuis des IP non annoncées ?
>
>> Le 20 déc. 2019 à 10:35, Alarig Le Lay  a écrit :
>> 
>> Pour les traceroutes/mtr et le PMTUd.
>> 
>> On 20/12/2019 10:34, David Ponzone wrote:
>>> OK ça se défend.
>>> Ca te gêne pour les traceroute ou pour autre chose ?
>>> 
>>>> Le 20 déc. 2019 à 10:29, Alarig Le Lay  a écrit :
>>>> 
>>>> Je n’ai jamais eu de soucis de spoof d’IP pas annoncées. Par contre, ne
>>>> plus recevoir les ICMP des backbones pas annoncés, j’ai déjà eu. Donc
>>>> l’intérêt est négatif pour moi.
>>>> 
>>>> On 20/12/2019 10:27, David Ponzone wrote:
>>>>> Ben si t’as pas de route pour l’IP source du paquet, tu le drop au plus 
>>>>> tôt non ?
>>>>> 
>>>>> 
>>>>>> Le 20 déc. 2019 à 10:23, Alarig Le Lay  a écrit :
>>>>>> 
>>>>>> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p
>>>>>> 
>>>>>> On 20/12/2019 10:22, David Ponzone wrote:
>>>>>>> Pas en mode strict en tout cas.
>>>>>>> 
>>>>>>>> Le 20 déc. 2019 à 10:16, Alarig Le Lay  a écrit :
>>>>>>>> 
>>>>>>>> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
>>>>>>>> l’extérieur, sinon effectivement ça casse tout.
>>>>>>>> 
>>>>>>>> On 20/12/2019 09:57, Fabien H wrote:
>>>>>>>>> Bonjour Michel (quand il fera jour outre-atlantique :-) )
>>>>>>>>> 
>>>>>>>>> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
>>>>>>>>> effectivement !
>>>>>>>>> 
>>>>>>>>> Par contre juste une question qui me chagrine, en environnement 
>>>>>>>>> multi-homé,
>>>>>>>>> multi-transitaire avec ton préfixe /22 annoncé sur tous les 
>>>>>>>>> transitaires,
>>>>>>>>> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a 
>>>>>>>>> pas un
>>>>>>>>> risque que le paquet arrive "de bonne foi" par le mauvais transitaire 
>>>>>>>>> ?
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> Le jeu. 19 déc. 2019 à 21:27, Michel Py 
>>>>>>>>> 
>>>>>>>>> a écrit :
>>>>>>>>> 
>>>>>>>>>>> Fabien H a écrit :
>>>>>>>>>>> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>>>>>>>>>> 
>>>>>>>>>> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
>>>>>>>>>> A éviter aussi : 65332 (team Cymru)
>>>>>>>>>> 
>>>>>>>>>> Ne pas oublier :
>>>>>>>>>> 
>>>>>>>>>> interface null 0
>>>>>>>>>> no ip unreachables
>>>>>>>>>> 
>>>>>>>>>>> Pas de problème de peformance si le routeur envoie d'abord vers 
>>>>>>>>>>> 192.0.2.1
>>>>>>>>>>> puis cherche la route 192.0.2.1 vers Null 0 ?
>>>>>>>>>> 
>>>>>>>>>> Non, c'est la bonne manière.
>>>>>>>>>> 
>>>>>>>>>> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par 
>>>>>>>>>> défaut ?
>>>>>>>>>> 
>>>>>>>>>> Prochaine étape : uRPF sur l'interface externe.
>>>>>>>>>> 
>>>>>>>>>> Michel.
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>>> 
>>>>>>>>> 
>>>>>>>>> ---
>>>>>>>>> Liste de diffusion du FRnOG
>>>>>>>>> http://www.frnog.org/
>>>>>>>>> 
>>>>>>>> 
>>>>>>>> 
>>>>>>>> ---
>>>>>>>> Liste de diffusion du FRnOG
>>>>>>>> http://www.frnog.org/
>>>>>>> 
>>>>>> 
>>>>> 
>>>> 
>>> 
>> 
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet David Ponzone 
A la base c’est pas considéré comme « bad practice » d’avoir des équipements 
qui renvoient des ICMP depuis des IP non annoncées ?

> Le 20 déc. 2019 à 10:35, Alarig Le Lay  a écrit :
> 
> Pour les traceroutes/mtr et le PMTUd.
> 
> On 20/12/2019 10:34, David Ponzone wrote:
>> OK ça se défend.
>> Ca te gêne pour les traceroute ou pour autre chose ?
>> 
>>> Le 20 déc. 2019 à 10:29, Alarig Le Lay  a écrit :
>>> 
>>> Je n’ai jamais eu de soucis de spoof d’IP pas annoncées. Par contre, ne
>>> plus recevoir les ICMP des backbones pas annoncés, j’ai déjà eu. Donc
>>> l’intérêt est négatif pour moi.
>>> 
>>> On 20/12/2019 10:27, David Ponzone wrote:
 Ben si t’as pas de route pour l’IP source du paquet, tu le drop au plus 
 tôt non ?
 
 
> Le 20 déc. 2019 à 10:23, Alarig Le Lay  a écrit :
> 
> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p
> 
> On 20/12/2019 10:22, David Ponzone wrote:
>> Pas en mode strict en tout cas.
>> 
>>> Le 20 déc. 2019 à 10:16, Alarig Le Lay  a écrit :
>>> 
>>> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
>>> l’extérieur, sinon effectivement ça casse tout.
>>> 
>>> On 20/12/2019 09:57, Fabien H wrote:
 Bonjour Michel (quand il fera jour outre-atlantique :-) )
 
 J'ai regardé un peu uRPF, effectivement, c'est très intéressant
 effectivement !
 
 Par contre juste une question qui me chagrine, en environnement 
 multi-homé,
 multi-transitaire avec ton préfixe /22 annoncé sur tous les 
 transitaires,
 sans local pref sur le sortant vers tel ou tel transitaire, il n'y a 
 pas un
 risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
 
 
 
 
 
 
 Le jeu. 19 déc. 2019 à 21:27, Michel Py 
 
 a écrit :
 
>> Fabien H a écrit :
>> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
> 
> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
> A éviter aussi : 65332 (team Cymru)
> 
> Ne pas oublier :
> 
> interface null 0
> no ip unreachables
> 
>> Pas de problème de peformance si le routeur envoie d'abord vers 
>> 192.0.2.1
>> puis cherche la route 192.0.2.1 vers Null 0 ?
> 
> Non, c'est la bonne manière.
> 
> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut 
> ?
> 
> Prochaine étape : uRPF sur l'interface externe.
> 
> Michel.
> 
> 
> 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
> 
 
>>> 
>> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Alarig Le Lay 
Pour les traceroutes/mtr et le PMTUd.

On 20/12/2019 10:34, David Ponzone wrote:
> OK ça se défend.
> Ca te gêne pour les traceroute ou pour autre chose ?
> 
>> Le 20 déc. 2019 à 10:29, Alarig Le Lay  a écrit :
>>
>> Je n’ai jamais eu de soucis de spoof d’IP pas annoncées. Par contre, ne
>> plus recevoir les ICMP des backbones pas annoncés, j’ai déjà eu. Donc
>> l’intérêt est négatif pour moi.
>>
>> On 20/12/2019 10:27, David Ponzone wrote:
>>> Ben si t’as pas de route pour l’IP source du paquet, tu le drop au plus tôt 
>>> non ?
>>>
>>>
 Le 20 déc. 2019 à 10:23, Alarig Le Lay  a écrit :

 Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p

 On 20/12/2019 10:22, David Ponzone wrote:
> Pas en mode strict en tout cas.
>
>> Le 20 déc. 2019 à 10:16, Alarig Le Lay  a écrit :
>>
>> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
>> l’extérieur, sinon effectivement ça casse tout.
>>
>> On 20/12/2019 09:57, Fabien H wrote:
>>> Bonjour Michel (quand il fera jour outre-atlantique :-) )
>>>
>>> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
>>> effectivement !
>>>
>>> Par contre juste une question qui me chagrine, en environnement 
>>> multi-homé,
>>> multi-transitaire avec ton préfixe /22 annoncé sur tous les 
>>> transitaires,
>>> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a 
>>> pas un
>>> risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
>>>
>>>
>>>
>>>
>>>
>>>
>>> Le jeu. 19 déc. 2019 à 21:27, Michel Py 
>>> 
>>> a écrit :
>>>
> Fabien H a écrit :
> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666

 Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
 A éviter aussi : 65332 (team Cymru)

 Ne pas oublier :

 interface null 0
 no ip unreachables

> Pas de problème de peformance si le routeur envoie d'abord vers 
> 192.0.2.1
> puis cherche la route 192.0.2.1 vers Null 0 ?

 Non, c'est la bonne manière.

 Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?

 Prochaine étape : uRPF sur l'interface externe.

 Michel.



>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>

>>>
>>
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet David Ponzone 
OK ça se défend.
Ca te gêne pour les traceroute ou pour autre chose ?

> Le 20 déc. 2019 à 10:29, Alarig Le Lay  a écrit :
> 
> Je n’ai jamais eu de soucis de spoof d’IP pas annoncées. Par contre, ne
> plus recevoir les ICMP des backbones pas annoncés, j’ai déjà eu. Donc
> l’intérêt est négatif pour moi.
> 
> On 20/12/2019 10:27, David Ponzone wrote:
>> Ben si t’as pas de route pour l’IP source du paquet, tu le drop au plus tôt 
>> non ?
>> 
>> 
>>> Le 20 déc. 2019 à 10:23, Alarig Le Lay  a écrit :
>>> 
>>> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p
>>> 
>>> On 20/12/2019 10:22, David Ponzone wrote:
 Pas en mode strict en tout cas.
 
> Le 20 déc. 2019 à 10:16, Alarig Le Lay  a écrit :
> 
> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
> l’extérieur, sinon effectivement ça casse tout.
> 
> On 20/12/2019 09:57, Fabien H wrote:
>> Bonjour Michel (quand il fera jour outre-atlantique :-) )
>> 
>> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
>> effectivement !
>> 
>> Par contre juste une question qui me chagrine, en environnement 
>> multi-homé,
>> multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
>> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas 
>> un
>> risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
>> 
>> 
>> 
>> 
>> 
>> 
>> Le jeu. 19 déc. 2019 à 21:27, Michel Py 
>> 
>> a écrit :
>> 
 Fabien H a écrit :
 announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>>> 
>>> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
>>> A éviter aussi : 65332 (team Cymru)
>>> 
>>> Ne pas oublier :
>>> 
>>> interface null 0
>>> no ip unreachables
>>> 
 Pas de problème de peformance si le routeur envoie d'abord vers 
 192.0.2.1
 puis cherche la route 192.0.2.1 vers Null 0 ?
>>> 
>>> Non, c'est la bonne manière.
>>> 
>>> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?
>>> 
>>> Prochaine étape : uRPF sur l'interface externe.
>>> 
>>> Michel.
>>> 
>>> 
>>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
 
>>> 
>> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Alarig Le Lay 
Je n’ai jamais eu de soucis de spoof d’IP pas annoncées. Par contre, ne
plus recevoir les ICMP des backbones pas annoncés, j’ai déjà eu. Donc
l’intérêt est négatif pour moi.

On 20/12/2019 10:27, David Ponzone wrote:
> Ben si t’as pas de route pour l’IP source du paquet, tu le drop au plus tôt 
> non ?
> 
> 
>> Le 20 déc. 2019 à 10:23, Alarig Le Lay  a écrit :
>>
>> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p
>>
>> On 20/12/2019 10:22, David Ponzone wrote:
>>> Pas en mode strict en tout cas.
>>>
 Le 20 déc. 2019 à 10:16, Alarig Le Lay  a écrit :

 uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
 l’extérieur, sinon effectivement ça casse tout.

 On 20/12/2019 09:57, Fabien H wrote:
> Bonjour Michel (quand il fera jour outre-atlantique :-) )
>
> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
> effectivement !
>
> Par contre juste une question qui me chagrine, en environnement 
> multi-homé,
> multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas 
> un
> risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
>
>
>
>
>
>
> Le jeu. 19 déc. 2019 à 21:27, Michel Py 
> 
> a écrit :
>
>>> Fabien H a écrit :
>>> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>>
>> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
>> A éviter aussi : 65332 (team Cymru)
>>
>> Ne pas oublier :
>>
>> interface null 0
>> no ip unreachables
>>
>>> Pas de problème de peformance si le routeur envoie d'abord vers 
>>> 192.0.2.1
>>> puis cherche la route 192.0.2.1 vers Null 0 ?
>>
>> Non, c'est la bonne manière.
>>
>> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?
>>
>> Prochaine étape : uRPF sur l'interface externe.
>>
>> Michel.
>>
>>
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>>
>>
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet David Ponzone 
Ben non, mais en mode loose.

Mais bon, Alarig est pas d’accord alors ça mérite d’écouter son argument :)

> Le 20 déc. 2019 à 10:27, Fabien H  a écrit :
> 
> Mauvais transitaire, je voulais dire que le paquet arrive par la GW du
> transitaire qui n'est pas celle défini dans la table de routage pour le
> réseau source du paquet
> 
> OK compris, donc sur les interfaces transitaire, on oublie uRPF.
> 
> Le ven. 20 déc. 2019 à 10:01, David Ponzone  a
> écrit :
> 
>> Définis « mauvais transitaire » ? :)
>> 
>>> Le 20 déc. 2019 à 09:57, Fabien H  a écrit :
>>> 
>>> Bonjour Michel (quand il fera jour outre-atlantique :-) )
>>> 
>>> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
>>> effectivement !
>>> 
>>> Par contre juste une question qui me chagrine, en environnement
>> multi-homé,
>>> multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
>>> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas
>> un
>>> risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
>>> 
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet David Ponzone 
Ben si t’as pas de route pour l’IP source du paquet, tu le drop au plus tôt non 
?


> Le 20 déc. 2019 à 10:23, Alarig Le Lay  a écrit :
> 
> Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p
> 
> On 20/12/2019 10:22, David Ponzone wrote:
>> Pas en mode strict en tout cas.
>> 
>>> Le 20 déc. 2019 à 10:16, Alarig Le Lay  a écrit :
>>> 
>>> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
>>> l’extérieur, sinon effectivement ça casse tout.
>>> 
>>> On 20/12/2019 09:57, Fabien H wrote:
 Bonjour Michel (quand il fera jour outre-atlantique :-) )
 
 J'ai regardé un peu uRPF, effectivement, c'est très intéressant
 effectivement !
 
 Par contre juste une question qui me chagrine, en environnement multi-homé,
 multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
 sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas un
 risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
 
 
 
 
 
 
 Le jeu. 19 déc. 2019 à 21:27, Michel Py 
 
 a écrit :
 
>> Fabien H a écrit :
>> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
> 
> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
> A éviter aussi : 65332 (team Cymru)
> 
> Ne pas oublier :
> 
> interface null 0
> no ip unreachables
> 
>> Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
>> puis cherche la route 192.0.2.1 vers Null 0 ?
> 
> Non, c'est la bonne manière.
> 
> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?
> 
> Prochaine étape : uRPF sur l'interface externe.
> 
> Michel.
> 
> 
> 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Fabien H 
Mauvais transitaire, je voulais dire que le paquet arrive par la GW du
transitaire qui n'est pas celle défini dans la table de routage pour le
réseau source du paquet

OK compris, donc sur les interfaces transitaire, on oublie uRPF.

Le ven. 20 déc. 2019 à 10:01, David Ponzone  a
écrit :

> Définis « mauvais transitaire » ? :)
>
> > Le 20 déc. 2019 à 09:57, Fabien H  a écrit :
> >
> > Bonjour Michel (quand il fera jour outre-atlantique :-) )
> >
> > J'ai regardé un peu uRPF, effectivement, c'est très intéressant
> > effectivement !
> >
> > Par contre juste une question qui me chagrine, en environnement
> multi-homé,
> > multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
> > sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas
> un
> > risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
> >
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Alarig Le Lay 
Je ne vois pas l’utilité de l’uRPF si c’est pas en mode strict perso :p

On 20/12/2019 10:22, David Ponzone wrote:
> Pas en mode strict en tout cas.
> 
>> Le 20 déc. 2019 à 10:16, Alarig Le Lay  a écrit :
>>
>> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
>> l’extérieur, sinon effectivement ça casse tout.
>>
>> On 20/12/2019 09:57, Fabien H wrote:
>>> Bonjour Michel (quand il fera jour outre-atlantique :-) )
>>>
>>> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
>>> effectivement !
>>>
>>> Par contre juste une question qui me chagrine, en environnement multi-homé,
>>> multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
>>> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas un
>>> risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
>>>
>>>
>>>
>>>
>>>
>>>
>>> Le jeu. 19 déc. 2019 à 21:27, Michel Py 
>>> a écrit :
>>>
> Fabien H a écrit :
> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666

 Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
 A éviter aussi : 65332 (team Cymru)

 Ne pas oublier :

 interface null 0
 no ip unreachables

> Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
> puis cherche la route 192.0.2.1 vers Null 0 ?

 Non, c'est la bonne manière.

 Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?

 Prochaine étape : uRPF sur l'interface externe.

 Michel.



>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet David Ponzone 
Pas en mode strict en tout cas.

> Le 20 déc. 2019 à 10:16, Alarig Le Lay  a écrit :
> 
> uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
> l’extérieur, sinon effectivement ça casse tout.
> 
> On 20/12/2019 09:57, Fabien H wrote:
>> Bonjour Michel (quand il fera jour outre-atlantique :-) )
>> 
>> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
>> effectivement !
>> 
>> Par contre juste une question qui me chagrine, en environnement multi-homé,
>> multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
>> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas un
>> risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
>> 
>> 
>> 
>> 
>> 
>> 
>> Le jeu. 19 déc. 2019 à 21:27, Michel Py 
>> a écrit :
>> 
 Fabien H a écrit :
 announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>>> 
>>> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
>>> A éviter aussi : 65332 (team Cymru)
>>> 
>>> Ne pas oublier :
>>> 
>>> interface null 0
>>> no ip unreachables
>>> 
 Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
 puis cherche la route 192.0.2.1 vers Null 0 ?
>>> 
>>> Non, c'est la bonne manière.
>>> 
>>> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?
>>> 
>>> Prochaine étape : uRPF sur l'interface externe.
>>> 
>>> Michel.
>>> 
>>> 
>>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Alarig Le Lay 
uRPF faut le faire sur ton réseau à toi, pas sur les intercos vers
l’extérieur, sinon effectivement ça casse tout.

On 20/12/2019 09:57, Fabien H wrote:
> Bonjour Michel (quand il fera jour outre-atlantique :-) )
> 
> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
> effectivement !
> 
> Par contre juste une question qui me chagrine, en environnement multi-homé,
> multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas un
> risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
> 
> 
> 
> 
> 
> 
> Le jeu. 19 déc. 2019 à 21:27, Michel Py 
> a écrit :
> 
>>> Fabien H a écrit :
>>> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>>
>> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
>> A éviter aussi : 65332 (team Cymru)
>>
>> Ne pas oublier :
>>
>> interface null 0
>>  no ip unreachables
>>
>>> Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
>>> puis cherche la route 192.0.2.1 vers Null 0 ?
>>
>> Non, c'est la bonne manière.
>>
>> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?
>>
>> Prochaine étape : uRPF sur l'interface externe.
>>
>> Michel.
>>
>>
>>
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet David Ponzone 
Définis « mauvais transitaire » ? :)

> Le 20 déc. 2019 à 09:57, Fabien H  a écrit :
> 
> Bonjour Michel (quand il fera jour outre-atlantique :-) )
> 
> J'ai regardé un peu uRPF, effectivement, c'est très intéressant
> effectivement !
> 
> Par contre juste une question qui me chagrine, en environnement multi-homé,
> multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
> sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas un
> risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-20 Par sujet Fabien H 
Bonjour Michel (quand il fera jour outre-atlantique :-) )

J'ai regardé un peu uRPF, effectivement, c'est très intéressant
effectivement !

Par contre juste une question qui me chagrine, en environnement multi-homé,
multi-transitaire avec ton préfixe /22 annoncé sur tous les transitaires,
sans local pref sur le sortant vers tel ou tel transitaire, il n'y a pas un
risque que le paquet arrive "de bonne foi" par le mauvais transitaire ?






Le jeu. 19 déc. 2019 à 21:27, Michel Py 
a écrit :

> > Fabien H a écrit :
> > announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>
> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
> A éviter aussi : 65332 (team Cymru)
>
> Ne pas oublier :
>
> interface null 0
>  no ip unreachables
>
> > Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
> > puis cherche la route 192.0.2.1 vers Null 0 ?
>
> Non, c'est la bonne manière.
>
> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?
>
> Prochaine étape : uRPF sur l'interface externe.
>
> Michel.
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Alarig Le Lay 
On jeu. 19 déc. 20:27:49 2019, Michel Py wrote:
> > Fabien H a écrit :
> > announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
> 
> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
> A éviter aussi : 65332 (team Cymru)

Ni l’un ni l’autre, la commu standard pour le BH c’est 65535:666

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Fabien H 
C'est OK pour la communauté et le no-export addditive.

Oui du coup, j'ai enlevé le set ip next-hop pour que réellement le next hop
soit celui envoyé par exaBGP 10.10.2.41

Et ensuite je rajoute sur le CISCO une route statique 10.10.2.41/32 vers
Null0 (qui est plus spécifique que le réseau directly connected 10.10.2.0/24
)

Merci encore




Le jeu. 19 déc. 2019 à 22:05, Michel Py 
a écrit :

> > Fabien H
> > exaBGP
> > announce route A.B.C.D/32 next-hop 10.10.2.41
>
> Mets une communauté 65000:666
>
> > route-map ANTIDDOS_IN permit 10
> >  no set ip next-hop 192.0.2.1
>
> "no" ?
>
> match community 65000:666
> SET COMMUNITY NO-EXPORT ADDITIVE
>
> Tant que tu n'es pas près à annoncer ce préfixe à tes transitaires avec la
> bonne communauté, il faut qu'il soit en no-export.
> Les fuitages de BGP, çà commence toujours avec quelqu'un qui a oublié
> no-export
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Michel Py 
> Fabien H
> exaBGP
> announce route A.B.C.D/32 next-hop 10.10.2.41

Mets une communauté 65000:666

> route-map ANTIDDOS_IN permit 10
>  no set ip next-hop 192.0.2.1

"no" ?

match community 65000:666
SET COMMUNITY NO-EXPORT ADDITIVE

Tant que tu n'es pas près à annoncer ce préfixe à tes transitaires avec la 
bonne communauté, il faut qu'il soit en no-export.
Les fuitages de BGP, çà commence toujours avec quelqu'un qui a oublié no-export


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Fabien H 
#show ip route 192.0.2.1
Routing entry for 192.0.2.1/32
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp ASN
  Routing Descriptor Blocks:
  * directly connected, via Null0
  Route metric is 0, traffic share count is 1



Bon finalement je pense que cette fois c'est bon !

exaBGP

announce route A.B.C.D/32 next-hop 10.10.2.41

CISCO

ip route 10.10.2.41 255.255.255.255 Null0 name ANTIDDOS_BLACKHOLE

route-map ANTIDDOS_IN permit 10
 no set ip next-hop 192.0.2.1


Ce qui donne :

show ip route A.B.C.D/32

Routing entry for A.B.C.D/32
  Known via "bgp ASN", distance 20, metric 0
  Tag 65000, type external
  Last update from 10.10.2.41 00:03:15 ago
  Routing Descriptor Blocks:
  * 10.10.2.41, from 10.10.2.40, 00:03:15 ago
  Route metric is 0, traffic share count is 1
  AS Hops 1
  Route tag 65000

show ip route 10.10.2.41

Routing entry for 10.10.2.41/32
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp ASN
  Routing Descriptor Blocks:
  * directly connected, via Null0
  Route metric is 0, traffic share count is 1


Merci beaucoup pour ton aide et celles des autres juste avant !

Bonne fin de journée / soirée

Fabien

Le jeu. 19 déc. 2019 à 21:45, Michel Py 
a écrit :

> > A noter que j'ai encore un problème : La route BGP ci-dessous
> > ne s'installe pas car 192.0.2.1 est inaccessible à priori
>
> sh ip route 192.0.2.1 ?
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Michel Py 
> A noter que j'ai encore un problème : La route BGP ci-dessous
> ne s'installe pas car 192.0.2.1 est inaccessible à priori

sh ip route 192.0.2.1 ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Fabien H 
C'est noté merci pour les conseils.

A noter que j'ai encore un problème : La route BGP ci-dessous ne s'installe
pas car 192.0.2.1 est inaccessible à priori

#show ip bgp A.B.C.D/32
BGP routing table entry for  A.B.C.D /32, version 0
Paths: (1 available, no best path)
  Not advertised to any peer
  65000
192.0.2.1 (inaccessible) from 10.10.2.40 (10.10.2.40)
  Origin IGP, localpref 100, valid, external
  Community: 65532:666 no-export

# show ip bgp A.B.C.D/32

n'affiche ni 192.0.2.1, ni Null 0  :-(



sh ip route 0.0.0.0 m'indique l'IP d'un de mes transitaires qui m'envoie la
route par défaut



Le jeu. 19 déc. 2019 à 21:27, Michel Py 
a écrit :

> > Fabien H a écrit :
> > announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666
>
> Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
> A éviter aussi : 65332 (team Cymru)
>
> Ne pas oublier :
>
> interface null 0
>  no ip unreachables
>
> > Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
> > puis cherche la route 192.0.2.1 vers Null 0 ?
>
> Non, c'est la bonne manière.
>
> Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?
>
> Prochaine étape : uRPF sur l'interface externe.
>
> Michel.
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Michel Py 
> Fabien H a écrit :
> announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666

Change 65532 pour quelque chose d'autre. Réservé pour Michel/CBBC :P
A éviter aussi : 65332 (team Cymru)

Ne pas oublier :

interface null 0
 no ip unreachables

> Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
> puis cherche la route 192.0.2.1 vers Null 0 ?

Non, c'est la bonne manière.

Tu as quoi pour sh ip route 0.0.0.0 ? tu utilises la route par défaut ?

Prochaine étape : uRPF sur l'interface externe.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Fabien H 
Ca y'est j'ai réussi :-)

J'ai juste annoncé avec un next hop qui est directly connected au routeur
CISCO mais pas sur le routeur CISCO et la route s'est bien installée :

exaBGP

announce route A.B.C.D/32 next-hop 10.10.2.41 community 65532:666

CISCO

#show ip bgp A.B.C.D/32
BGP routing table entry for  A.B.C.D /32, version 0
Paths: (1 available, no best path)
  Not advertised to any peer
  65000
192.0.2.1 (inaccessible) from 10.10.2.40 (10.10.2.40)
  Origin IGP, localpref 100, valid, external
  Community: 65532:666 no-export

#show ip route 192.0.2.1
Routing entry for 192.0.2.1/32
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp 60718
  Routing Descriptor Blocks:
  * directly connected, via Null0
  Route metric is 0, traffic share count is 1


Pas de problème de peformance si le routeur envoie d'abord vers 192.0.2.1
puis cherche la route 192.0.2.1 vers Null 0 ?

Merci

Le jeu. 19 déc. 2019 à 21:10, Fabien H  a écrit :

> % Network not in table
>
> La route n'est pas installée..
>
>
>
> Le jeu. 19 déc. 2019 à 21:08, Michel Py <
> mic...@arneill-py.sacramento.ca.us> a écrit :
>
>> Si tu fais sh ip bgp x.x.x.x/32 (l'addresse que tu bloques) tu as quoi ?
>>
>>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Michel Py 
route-map ANTIDDOS_IN permit 10
 match ip address prefix-list ANTIDDOS_IN

Cà c'est pas glop : route-map et prefix-list avec le même nom.
Enlèves : match ip address prefix-list ANTIDDOS_IN

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Fabien H 
% Network not in table

La route n'est pas installée..



Le jeu. 19 déc. 2019 à 21:08, Michel Py 
a écrit :

> Si tu fais sh ip bgp x.x.x.x/32 (l'addresse que tu bloques) tu as quoi ?
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Michel Py 
Si tu fais sh ip bgp x.x.x.x/32 (l'addresse que tu bloques) tu as quoi ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Fabien H 
Cisco IOS Software, 7301 Software (C7301-ADVIPSERVICESK9-M), Version
12.4(24)T1, RELEASE SOFTWARE (fc3)

show ip bgp neighbors 10.10.2.40

10.10.2.40 = IP de la VM exaBGP

Le jeu. 19 déc. 2019 à 20:59, Michel Py 
a écrit :

> > Fabien H a écrit :
> > @Michel,
> > J'obtiens toujours l'erreur NEXT_HOP non-local  sur le neighbor sur le
> CISCO :-(
> >  OutboundInbound
> > Local Policy Denied Prefixes:---
> >   route-map:   797007  0
> >   NEXT_HOP non-local: n/a  1
> >   Total:   797007  1
>
> Quel routeur, quelle version d'IOS, quelle est la commande que tu tapes
> pour obtenir ce qui est au-dessus ?
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Michel Py 
> Fabien H a écrit :
> @Michel,
> J'obtiens toujours l'erreur NEXT_HOP non-local  sur le neighbor sur le CISCO 
> :-(
>  OutboundInbound
> Local Policy Denied Prefixes:---
>   route-map:   797007  0
>   NEXT_HOP non-local: n/a  1
>   Total:   797007  1

Quel routeur, quelle version d'IOS, quelle est la commande que tu tapes  pour 
obtenir ce qui est au-dessus ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Guillaume Genty (Waycom) 

Dans ce cas il faut mieux le faire comme une route:

ip route 192.0.2.1 255.255.255.255 Null0

Et ce que tu cherche à faire a un nom: le RTBH
("Remotely-Triggered Black Hole")

Et je te conseille ce super article sur le sujet:
https://packetlife.net/blog/2009/jul/6/remotely-triggered-black-hole-rtbh-routing/

Cdlt,

Guillaume

--
Guillaume Genty | WAYCOM
Directeur Innovation et Expertise
1 quai Marcel Dassault | 92150 Suresnes, FRANCE
T. : +33 (0)1 41 44 83 00 | F. : +33 (0)1 41 44 00 22
gge...@waycom.net | www.waycom.net

Le 19/12/2019 à 19:37, Paul Rolland (ポール・ロラン) a écrit :

Hello,

On Thu, 19 Dec 2019 19:33:31 +0100
Fabien H  wrote:


@Paul : A mon avis, la condition c'est une route directly Connected

Truc a la con :
interface loopback 192021
   ip addr 192.0.2.1 255.255.255.255

Et tu routes vers cette adresse

Possible que ca ne charge pas trop le CPU sur un routeur recent...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Fabien H 
@Michel,

j'ai donc testé comme ceci comme dans CBBC :

...
 neighbor 10.10.2.40 route-map ANTIDDOS_IN in
...
...
route-map ANTIDDOS_IN permit 10
 match ip address prefix-list ANTIDDOS_IN
 set community no-export additive
 set ip next-hop 192.0.2.1
!
...
ip route 192.0.2.1 255.255.255.255 Null0 name ANTI_DDOS_BLACKHOLE

Malgré tout quand je pousse ma route depuis exaBGP :

announce route A.B.C.D/32 next-hop 192.0.2.1

J'obtiens toujours l'erreur NEXT_HOP non-local  sur le neighbor sur le
CISCO :-(


   OutboundInbound
  Local Policy Denied Prefixes:---
route-map:   797007  0
NEXT_HOP non-local: n/a  1
Total:   797007  1



Une idée ?
Merci


Le jeu. 19 déc. 2019 à 19:26, Michel Py 
a écrit :

> >> Fabien H a écrit :
> >> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à
> envoyer autorise
> >> uniquement un next-hop de type IP ! : announce route X.Y.Z.A/32
> next-hop 
>
> C'est tout a fait adapté, c'est ce que je fais.
>
> > David Ponzone a écrit :
> > Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur
> le Cisco vers Null0.
>
> Pas bidon, il y a une adresse pratiquement standard : 192.0.2.1
>
> Fabien, regarde l'exemple ici :
> http://arneill-py.sacramento.ca.us/cbbc/
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Michel Py 
> Paul Rolland a écrit :
> Ou alors Cisco fait un cas particulier quand la resolution finale est un 
> Null0 ???

C'est le cas en effet.

> Truc a la con :
> interface loopback 192021
> ip addr 192.0.2.1 255.255.255.255
> Et tu routes vers cette adresse
> Possible que ca ne charge pas trop le CPU sur un routeur recent...

Avec Cisco vaut mieux installer une route vers null0, c'est traité par CEF/dCEF 
possiblement assisté hardware.

Fabien, tu devrais aussi implémenter uRPF; çà n'empêche pas le trafic d'arriver 
chez toi, mais çà le dégage dès l'interface entrante.

Après, il faut travailler avec ton upstream pour bloquer avant que çà arrive 
chez toi. La même route que tu injectes dans ton routeur, il faut essayer de la 
propager à ton transit avec la communauté qui va bien.

http://arneill-py.sacramento.ca.us/cbbc/
https://www.team-cymru.com/bgp-examples.html#cisco-full-v4trans

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Paul Rolland (ポール・ロラン) 
Hello,

On Thu, 19 Dec 2019 19:33:31 +0100
Fabien H  wrote:

> @Paul : A mon avis, la condition c'est une route directly Connected

Truc a la con :
interface loopback 192021
  ip addr 192.0.2.1 255.255.255.255

Et tu routes vers cette adresse

Possible que ca ne charge pas trop le CPU sur un routeur recent...

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Fabien H 
Super
un grand merci à la communauté pour les réponses !!

@Michel : J'avais pas pensé au route-map qui change le next-hop je vais
tester rapidement..

@Paul : A mon avis, la condition c'est une route directly Connected

@Alexis : Même principe que Michel : route-map mais pour changer
l'interface, je vais tester aussi

Vous me sauvez ma soirée :-)

Le jeu. 19 déc. 2019 à 19:26, Michel Py 
a écrit :

> >> Fabien H a écrit :
> >> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à
> envoyer autorise
> >> uniquement un next-hop de type IP ! : announce route X.Y.Z.A/32
> next-hop 
>
> C'est tout a fait adapté, c'est ce que je fais.
>
> > David Ponzone a écrit :
> > Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur
> le Cisco vers Null0.
>
> Pas bidon, il y a une adresse pratiquement standard : 192.0.2.1
>
> Fabien, regarde l'exemple ici :
> http://arneill-py.sacramento.ca.us/cbbc/
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Alexis Lameire 
Tu as 2 solutions pour moi,
Si tu as du matos récent, je pense que bgp flowspec est là voie à emprunter

Sinon, je passerais une route avec une communauté (genre 65000:666) et
faire une route map qui set l'interface a null0 en matchant la
communauté

Cordialement

Le jeu. 19 déc. 2019 à 19:26, Michel Py
 a écrit :
>
> >> Fabien H a écrit :
> >> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à 
> >> envoyer autorise
> >> uniquement un next-hop de type IP ! : announce route X.Y.Z.A/32 next-hop 
> >> 
>
> C'est tout a fait adapté, c'est ce que je fais.
>
> > David Ponzone a écrit :
> > Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur le 
> > Cisco vers Null0.
>
> Pas bidon, il y a une adresse pratiquement standard : 192.0.2.1
>
> Fabien, regarde l'exemple ici :
> http://arneill-py.sacramento.ca.us/cbbc/
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Paul Rolland (ポール・ロラン) 
Hello,

On Thu, 19 Dec 2019 19:20:55 +0100
Fabien H  wrote:

> Alors je n'avais pas essayé ça parce que ma route est refusée par le
> routeur CISCO si le next hop n'existe pas sur le routeur CISCO (erreur
> NEXT_HOP non-local)
> 
> J'ai essayé malgré tout de créer une route vers Null0 sur le CISCO pour le
> Next Hop mais pas mieux
> 
>  Local Policy Denied Prefixes:---
> route-map:   827333  0
> NEXT_HOP non-local: n/a  2

Bizarre, normalement, la contrainte, c'est que le next-hop doit etre
joignable, point. Comment ca se passe quand tu as des sessions iBGP avec un
next-hop qui est sur le voisin ? Tu un une route qui rend ca joignable... 

Ou alors Cisco fait un cas particulier quand la resolution finale est un
Null0 ???

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Michel Py 
>> Fabien H a écrit :
>> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à 
>> envoyer autorise
>> uniquement un next-hop de type IP ! : announce route X.Y.Z.A/32 next-hop 

C'est tout a fait adapté, c'est ce que je fais.

> David Ponzone a écrit :
> Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur le 
> Cisco vers Null0.

Pas bidon, il y a une adresse pratiquement standard : 192.0.2.1 

Fabien, regarde l'exemple ici :
http://arneill-py.sacramento.ca.us/cbbc/

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet Fabien H 
 Bonsoir David,

comme d'habitude, réponse plus vite que l'éclair !

Alors je n'avais pas essayé ça parce que ma route est refusée par le
routeur CISCO si le next hop n'existe pas sur le routeur CISCO (erreur
NEXT_HOP non-local)

J'ai essayé malgré tout de créer une route vers Null0 sur le CISCO pour le
Next Hop mais pas mieux

 Local Policy Denied Prefixes:---
route-map:   827333  0
NEXT_HOP non-local: n/a  2


Merci

Le jeu. 19 déc. 2019 à 19:12, David Ponzone  a
écrit :

> Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur le
> Cisco vers Null0.
>
> David Ponzone
>
>
>
> > Le 19 déc. 2019 à 19:09, Fabien H  a écrit :
> >
> > Bonsoir,
> >
> > Le titre résume ce que j'ai besoin de faire :
> >
> > Pendant une attaque DDOS vers une seule IP, selon l'intensité de
> l'attaque
> > il est parfois difficile d'attaquer un routeur de bordure en telnet pour
> y
> > insérer une route Null 0
> >
> > J'aimerai donc injecter via  une session BGP une route Null0 sur nos
> > routeurs de bordure.
> >
> > J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à
> > envoyer autorise uniquement un next-hop de type IP ! : announce route
> > X.Y.Z.A/32 next-hop 
> >
> > Bird, je ne trouve pas d'exemple parlant pour envoyer une route Null 0.
> > Avez-vous déjà fait ça avec un démon BGP sous Linux ?
> >
> > Merci,
> > Cordialement,
> >
> > Fabien
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH : Propager une route BGP Null0 sur un routeur CISCO depuis une VM Linux

2019-12-19 Par sujet David Ponzone 
Tu envoies la route avec un next-hop bidon et tu routes le next-hop sur le 
Cisco vers Null0.

David Ponzone



> Le 19 déc. 2019 à 19:09, Fabien H  a écrit :
> 
> Bonsoir,
> 
> Le titre résume ce que j'ai besoin de faire :
> 
> Pendant une attaque DDOS vers une seule IP, selon l'intensité de l'attaque
> il est parfois difficile d'attaquer un routeur de bordure en telnet pour y
> insérer une route Null 0
> 
> J'aimerai donc injecter via  une session BGP une route Null0 sur nos
> routeurs de bordure.
> 
> J'ai essayé avec exaBGP qui semblait vraiment adapté mais la commande à
> envoyer autorise uniquement un next-hop de type IP ! : announce route
> X.Y.Z.A/32 next-hop 
> 
> Bird, je ne trouve pas d'exemple parlant pour envoyer une route Null 0.
> Avez-vous déjà fait ça avec un démon BGP sous Linux ?
> 
> Merci,
> Cordialement,
> 
> Fabien
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/