Paquet venant du serveur Cloudflare vers utilisateur, identifié comme QUIC par 
Wireshark:

QUIC (Quick UDP Internet Connections)
    Public Flags: 0x4d
        .... ...1 = Version: Yes
        .... ..0. = Reset: No
        .... 11.. = CID Length: 8 Bytes (0x03)
        ..00 .... = Sequence Length: 1 Byte (0x00)
        01.. .... = Reserved: 0x01
    CID: 2326183228098302765
    Version: * HT
    Sequence: 84
    Payload: 502f312e310d0a486f73743a3233392e3235352e3235352e…

Le plus étrange c’est que si on change l’IP publique de l’utilisateur, plus de 
flux.
Dès qu’on lui remet l’ancienne, le flux reprend, mais ça commence par un paquet 
UDP venant du serveur (port 443) vers l’IP de l’utilisateur (port 1900).

> Le 30 nov. 2019 à 17:39, Stephane Bortzmeyer <bortzme...@nic.fr> a écrit :
> 
> On Sat, Nov 30, 2019 at 05:26:29PM +0100,
> David Ponzone <david.ponz...@gmail.com> wrote 
> a message of 13 lines which said:
> 
>> Quelque’ un a déjà vu du traffic QUIC louche ?
>> Genre 8Mbps soutenu sortant vers une IP Cloudflare ?
> 
> C'est vraiment sûr que c'est du QUIC ? Quel numéro de version (comme
> QUIC change souvent en ce moment, cela augmenterait les chances de
> trouver le coupable) ?
> 


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à