Bonsoir à tous.
Nous avons trouvé la cause du ban et enfin réussi à le faire
disparaître.
Il s'avère que l'un de nos serveurs, placé il y quelques temps
directement face à un équipement opérateur et pour des tests de courte
durée, avait été oublié et était resté en service...
Fonctionnant comme Apache avec une conf usine, et pas spécialement
sécurisé, il a été détecté, probablement par un scan d'IP/ports, et
ensuite utilisé comme reverse proxy.
Voici donc le résumé des actions menées pour identifier ce flux
illégitime:
1. analyse des logs proxy et des volumes des flux capturés par les
sondes: RAS en raison de l'énormité des données récoltées;
2. passage des flux en direct (hors proxy), afin de rendre les volumes
sur les sondes plus significatifs pour analyse (affichage des IP réelles
des clients);
3. modification des F5, pour envoyer l'ensemble des flux vers les IP
Google via un seul lien opérateur, donc une seule IP publique;
4. blocage total (par FW) des flux LAN -- Internet à destination des
ranges d'IP Google;
5. analyse des flux résiduels (plusieurs DMZ) encore transitant par les
sondes.
Ce n'est qu'à ce moment que les volumes de cette IP ont commencé se
démarquer des autres, nous permettant leur identification.
Le serveur a été arrêté, le ban a disparu environ entre 15 et 30 minutes
après (probablement le temps que la levée du ban soit propagé à
l'ensemble des srv Google.
A notre décharge, apparemment l'utilisation du srv comme reverse proxy a
eu une montée en charge plutôt progressive, ce qui explique que nous
n'avons pu l’identifier qu'une fois que les volumes étaient devenus très
importants.
Il reste à mon avis souhaitable que le formulaire de contact soit
amélioré et donne suite au moins à la transmission d'informations
techniques plus détaillées.
En tous cas, un grand merci à vous tous pour votre intérêt et vos
conseils!
Cdt,
Guido Pellizzari
Forwarded Message
From: Michel Py mic...@arneill-py.sacramento.ca.us
To: michel besnard mic...@besnard.in, Pellizzari
cont...@pellizzari-web.org, Wallace wall...@morkitu.org
Cc: frnog-t...@frnog.org
Subject: RE: [FRnOG] [TECH] Ban d'IP par Google
Date: Thu, 29 Aug 2013 20:59:42 -0700
michel besnard a écrit:
as tu as activer le cache DNS et déclarer des VS DNS sur tes BIGIP ?
D'ailleurs, j'avais une question de débutant à propos de F5: correctement
configuré, ça peut devenir un proxy DNS transparent (certains diraient
menteur), non? (je ne connais pas les produits F5 en détail).
Michel Py a écrit :
Ton problème est techniquement intéressant dans la mesure ou tu
pousses les limites de combien de clients on peut mettre derrière 4
IPs; ceci étant dit, ton problème pue le cache DNS du proxy-server
qui n'a pas été réjuvéné correctement et ça fait au minimum 5 ans
que le monde entier connait le problème en question. Sois tu lis la
doc et les forums, soit tu paies en espèces sonnantes et trébuchantes
les gens qui le font.
Wallace a écrit:
Je serais assez étonné de voir cela dans le sens où une grosse
entreprise comme la SNCF utilise quelques (4/5 d'après les reverses
que je vois arriver sur certains sites) proxy pour tout son surf.
J'imagine mal imposer à des boites de changer leurs archis et de
gaspiller des ipv4 pour réduire le nombre de requêtes par ip...
Précisément: Il y a des gens qui mettent des milliers de PCs derrière un très
petit nombre d'IP publiques et ça marche parce qu'ils ont compris que le
load-balancing qui marche répartit les requêtes non pas seulement sur les IPs
source mais sur toutes les paires possibles entre source et destination, ce
qui demande un load-balancer intelligent.
En d'autres termes: Avec 4 IP publiques en source (4 fournisseurs de transit)
et 5 IP publiques en destination (les 5 que Google retourne) il faut que le
load-balancer répartisse équitablement les requêtes non pas entre les 4 IP
sources, mais les 20 paires possibles.
Michel.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
