RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-05-05 Par sujet Michel Py
> Duchet Rémy a écrit : > Dans tous les cas, un grand merci à Michel qui n'a pas hésité. C'est moi qui te remercie, c'est les gens comme toi qui font le feed. > Evidement il est encore tôt pour juger de l'efficacité, Qu'est-ce que çà donne les stats uRPF après quelques jours ? (J'ai

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-05-05 Par sujet Michel Py
> David Ponzone a écrit : > Rémy, Je reçois le feed de Michel, j’ai un moyen de reconnaitre les IP > qui viennent de chez toi ? Un AS privé particulier ? Une community ? Oui, en plus de 65532:666 les préfixes de Rémy ont aussi 65129:666 Dans les 8000 aujourd'hui, en plus des miens. Pour

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-05-05 Par sujet David Ponzone
Rémy, Je reçois le feed de Michel, j’ai un moyen de reconnaitre les IP qui viennent de chez toi ? Un AS privé particulier ? Une community ? > Le 5 mai 2020 à 16:21, Duchet Rémy a écrit : > > Salut la liste, > > Nous avons donc mis en place, avec Michel, l'échange des IP via BGP, il y a >

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-05-05 Par sujet Duchet Rémy
). Dans tous les cas, un grand merci à Michel qui n'a pas hésité. Rémy -Original Message- From: Duchet Rémy Sent: jeudi, 16 avril 2020 10:14 To: 'Michel Py' ; frnog@frnog.org Subject: RE: [FRnOG] [TECH] Attaque SIP et SIPS Pas de soucis pour redistribuer les IP. Ce ne sont que des /3

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-16 Par sujet Duchet Rémy
f Michel Py Sent: mercredi, 15 avril 2020 20:00 To: Duchet Rémy ; frnog@frnog.org Subject: RE: [FRnOG] [TECH] Attaque SIP et SIPS > Rémy Duchet a écrit : > Comme nous avons des sondes sur plein de services différents, la > "liste" évolue sans arrêt. Du coup, je ne me vois pas faire

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Jean Cérien
> > Juste en passant... un sbc (ou un firewall) qui filtre les paquets avec > quelques user agent bien pourris (genre "friendly-scanner", "User-Agent: Z > 3.14", etc...), toujours les même, et 99% des robots restent dehors. > Fail2ban ensuite n'a plus qu'à filtrer les rares script kiddies qui >

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Michel Py
> Rémy Duchet a écrit : > Comme nous avons des sondes sur plein de services différents, la "liste" > évolue sans arrêt. Du coup, > je ne me vois pas faire un fichier (je l'aurais fait avec Git) et des > milliers de commits par jour. > Donc, je veux bien les annoncer via BGP, ça me semble plus

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Duchet Rémy
ne pas pénaliser la personne qui va hériter d'une IP qui a été bannis. Rémy -Original Message- From: frnog-requ...@frnog.org On Behalf Of Daniel via frnog Sent: mercredi, 15 avril 2020 09:01 To: frnog@frnog.org Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS Le fichier n'a pas besoin

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Daniel via frnog
liers de commits par jour. Donc, je veux bien les annoncer via BGP, ça me semble plus simple et utilisable comme cela. Rémy -Original Message- From: frnog-requ...@frnog.org On Behalf Of Daniel via frnog Sent: lundi, 13 avril 2020 12:37 To: frnog@frnog.org Subject: Re: [FRnOG] [TECH]

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-15 Par sujet Duchet Rémy
2020 12:37 To: frnog@frnog.org Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS Voici le mien https://tdrive.tootai.net/s/agWxa4wXXTGR4Py Le 12/04/2020 à 22:10, Richard Klein a écrit : > Voici mon fichier depuis un synology qui est une simple liste d'IPs > (ban > permanent): >

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Duchet Rémy
Group Objet : Re: [FRnOG] [TECH] Attaque SIP et SIPS > Tu veux t'appairer ? en ce moment j'en ai environ 38,000. J’imagine qu’avec une telle quantité, tu n’as aucun délai de suppression de ta liste. C’est assez dommageable pour nous autres opérateurs, par exemple, j’ai régulièrement des clie

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Michel Py
> Richard Klein a écrit : > En effectuant quelques recherches autour des syno je suis tombé la dessus :  > https://www.nas-forum.com/forum/topic/63580-tuto-automatiser-blacklist-depuis-internet/ Pratiquement la même chose que je fais. Avec ton syno, tu peux faire la même chose que ce que je fais

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Daniel via frnog
Le 12/04/2020 à 22:45, Michel Py a écrit : [...] Richard Klein a écrit : Il faudrait ajouter une colonne avec la date du dernier BAN et après un "timeout" de 7 jours suppression de la liste. Une troisieme colonne pour le nombre de signalement sur 7 jours. Si tu ne fais pas çà, je

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Richard Klein
En effectuant quelques recherches autour des syno je suis tombé la dessus : https://www.nas-forum.com/forum/topic/63580-tuto-automatiser-blacklist-depuis-internet/ Il tape sur blocklist.de . Des avis sur cette liste ? Je test son script lorsque j'aurais 5mn

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Michel Py
> Hugues Voiturier a écrit : > C’est assez dommageable pour nous autres opérateurs, par exemple, j’ai > régulièrement > des clients qui se font trouer leur VM/Firewall/Routeur, et j’aimerais bien > éviter un > bannissement à vie d’une IP pour un “abuse” qui dure rarement plus d’une > semaine.

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Michel Py
> Richard Klein a écrit : > Tu as un format de fichier normalisé Le format est plus ou moins batard. Tant que çà contient x.y.z.t/s en ASCII avec une fin de ligne c'est bon. Si il n'y a pas le /s çà considère que c'est un /32. Regardes les exemples dans le lien plus bas. Le lien que tu as posté

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Richard Klein
Voici mon fichier depuis un synology qui est une simple liste d'IPs (ban permanent): https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/view?usp=sharing Il faudrait ajouter une colonne avec la date du dernier BAN et après un "timeout" de 7 jours suppression de la liste . Une

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Hugues Voiturier
> Tu veux t'appairer ? en ce moment j'en ai environ 38,000. J’imagine qu’avec une telle quantité, tu n’as aucun délai de suppression de ta liste. C’est assez dommageable pour nous autres opérateurs, par exemple, j’ai régulièrement des clients qui se font trouer leur VM/Firewall/Routeur, et

Re: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Richard Klein
Tu as un format de fichier normalisé et un FTP où nous pouvons t'envoyer nos sources? Tu partages ta liste d'IPs? Richard Le dim. 12 avr. 2020 à 21:52, Michel Py a écrit : > Je passe cà dans [TECH] > > > Duchet Rémy > > On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en bgp > >

RE: [FRnOG] [TECH] Attaque SIP et SIPS

2020-04-12 Par sujet Michel Py
Je passe cà dans [TECH] > Duchet Rémy > On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en bgp Tu veux t'appairer ? en ce moment j'en ai environ 38,000. > Richard Klein a écrit : > J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un > exabgp qui nous feed les IP à