Re: [FRnOG] [TECH] Attaque DDoS avec SSDP uPNP sur le port 1900
http://blog.sucuri.net/2014/09/quick-analysis-of-a-ddos-attack-using-ssdp.html Mais je ne comprend pas l’angle d’attaque de ce DDoS. Est-ce qu’on parle de CPE mal configurés qui honorent des requêtes SSDP SEARCH qui viennent d’Internet ? Le 4 sept. 2014 à 04:20, Michel Py a écrit : > Est-ce que quelqu'un de l'autre coté de la mare voit venir récemment des DDoS > utilisant SSDP uPNP sur le port 1900 ? Je viens d'en voir une passer, ni > mieux ni pire que d'habitude mais çà semble être la dernière mode ici. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées
>> Stephane Bortzmeyer a écrit : >> http://www.bgpmon.net/using-bgp-data-to-find-spammers/ >> J'en tombe sur le cul : des opérateurs font un filtrage des annonces >> BGP en se basant sur une base qui autorise n'importe qui à créer des >> objets route sans aucune authentification ??? Dans quel monde on vit ? Stephane qui en tombe sur le cul ? Je n'aurais pas cru çà possible :P > Mathieu Paonessa a écrit : > Dans le monde de "tout le monde s'en tappe de RPKI"... qui > est la seule alternative viable à cette pratique. +1 Ceci étant dit, je suis quand même surpris que Stephane en soit tombé sur le cul, à moins que je n'aie pas saisi le sarcasme sous-jacent. Depuis au moins 15 ans, il y a des gens qui récupèrent des préfixes du marais. La méthode préférée étant d'attendre que le domaine enregistré soit abandonné, le récupérer, bien sûr avoir la bonne bal postmas...@example.com ou administra...@example.com et changer tout ce qui était modifiable, sauf le nom de l'organisation. Bon en plus de çà il y a aussi les sysadmin qui fusionnent des AS et des préfixes et qui en gardent un pour eux à la maison, hein. Même si RPKI était déployé (contrairement à IPv6, je pense que c'est possible) le point faible du système ce n'est pas le protocole, c'est le facteur humain. Les transactions bancaires étant chiffrées, çà n'empêche pas les hackers de récupérer des millions de cartes de crédit parce que le code de merde et pleins de trous. Bon, quelqu'un en Russie a donné une enveloppe à quelqu'un d'autre au Mexique qui peut rajouter / éditer des objets dans une base de données. BFD. Au fait, mon chèque pour avoir vendu le concept du flux de bourrage à Pékin, il est ou ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Attaque DDoS avec SSDP uPNP sur le port 1900
Est-ce que quelqu'un de l'autre coté de la mare voit venir récemment des DDoS utilisant SSDP uPNP sur le port 1900 ? Je viens d'en voir une passer, ni mieux ni pire que d'habitude mais çà semble être la dernière mode ici. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées
Mais bien sûr:) -Message d'origine- De : David Ponzone [mailto:david.ponz...@gmail.com] Envoyé : mercredi 3 septembre 2014 18:33 À : Fedotova, Claire Svetlana Four Cc : Mathieu Paonessa; Stephane Bortzmeyer; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées Claire, Oui, ne confondons pas :) Et mes excuses pour cette boutade que bien entendu tu dois prendre au second degré :) Le 3 sept. 2014 à 18:26, Fedotova, Claire Svetlana Four a écrit : > Bonjour, > Egalement les spammeurs ukrainiens et le PIB ukrainien :) > > -Message d'origine- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la > part de David Ponzone Envoyé : mercredi 3 septembre 2014 18:22 À : > Mathieu Paonessa Cc : Stephane Bortzmeyer; frnog-t...@frnog.org Objet > : Re: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées > > Ben oui. > Si c'était utilisé, ils deviendraient quoi les spammers russes et le PIB > russe ? > Il faut penser un peu aux autres. > > Le 3 sept. 2014 à 17:56, Mathieu Paonessa a écrit : > >> On 03/09/14 17:21, Stephane Bortzmeyer wrote: >>> http://www.bgpmon.net/using-bgp-data-to-find-spammers/ >>> >>> J'en tombe sur le cul : des opérateurs font un filtrage des annonces >>> BGP en se basant sur une base qui autorise n'importe qui à créer des >>> objets route sans aucune authentification ??? Dans quel monde on vit ? >> >> Dans le monde de "tout le monde s'en tappe de RPKI"... qui est la >> seule alternative viable à cette pratique. >> >> Mathieu >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > [Colt Disclaimer] > This email is from an entity of the Colt group of companies. Colt > Group S.A., > K2 Building, Forte 1, 2a rue Albert Borschette, L-1246 Luxembourg, R.C.S. > B115679. Corporate and contact information for our entities can be > found at http://colt.net/uk/en/Colt-Group-of-Companies/index.htm. > Internet communications are not secure and Colt does not accept > responsibility for the accurate transmission of this message. Content > of this email or its attachments is not legally or contractually > binding unless expressly previously agreed in writing by Colt > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées
Claire, Oui, ne confondons pas :) Et mes excuses pour cette boutade que bien entendu tu dois prendre au second degré :) Le 3 sept. 2014 à 18:26, Fedotova, Claire Svetlana Four a écrit : > Bonjour, > Egalement les spammeurs ukrainiens et le PIB ukrainien :) > > -Message d'origine- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de > David Ponzone > Envoyé : mercredi 3 septembre 2014 18:22 > À : Mathieu Paonessa > Cc : Stephane Bortzmeyer; frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées > > Ben oui. > Si c'était utilisé, ils deviendraient quoi les spammers russes et le PIB > russe ? > Il faut penser un peu aux autres. > > Le 3 sept. 2014 à 17:56, Mathieu Paonessa a écrit : > >> On 03/09/14 17:21, Stephane Bortzmeyer wrote: >>> http://www.bgpmon.net/using-bgp-data-to-find-spammers/ >>> >>> J'en tombe sur le cul : des opérateurs font un filtrage des annonces >>> BGP en se basant sur une base qui autorise n'importe qui à créer des >>> objets route sans aucune authentification ??? Dans quel monde on vit ? >> >> Dans le monde de "tout le monde s'en tappe de RPKI"... qui est la >> seule alternative viable à cette pratique. >> >> Mathieu >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > [Colt Disclaimer] > This email is from an entity of the Colt group of companies. Colt Group S.A., > K2 Building, Forte 1, 2a rue Albert Borschette, L-1246 Luxembourg, R.C.S. > B115679. Corporate and contact information for our entities can be found at > http://colt.net/uk/en/Colt-Group-of-Companies/index.htm. Internet > communications are not secure and Colt does not accept responsibility for the > accurate transmission of this message. Content of this email or its > attachments is not legally or contractually binding unless expressly > previously agreed in writing by Colt > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées
Bonjour, Egalement les spammeurs ukrainiens et le PIB ukrainien :) -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de David Ponzone Envoyé : mercredi 3 septembre 2014 18:22 À : Mathieu Paonessa Cc : Stephane Bortzmeyer; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées Ben oui. Si c'était utilisé, ils deviendraient quoi les spammers russes et le PIB russe ? Il faut penser un peu aux autres. Le 3 sept. 2014 à 17:56, Mathieu Paonessa a écrit : > On 03/09/14 17:21, Stephane Bortzmeyer wrote: >> http://www.bgpmon.net/using-bgp-data-to-find-spammers/ >> >> J'en tombe sur le cul : des opérateurs font un filtrage des annonces >> BGP en se basant sur une base qui autorise n'importe qui à créer des >> objets route sans aucune authentification ??? Dans quel monde on vit ? > > Dans le monde de "tout le monde s'en tappe de RPKI"... qui est la > seule alternative viable à cette pratique. > > Mathieu > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ [Colt Disclaimer] This email is from an entity of the Colt group of companies. Colt Group S.A., K2 Building, Forte 1, 2a rue Albert Borschette, L-1246 Luxembourg, R.C.S. B115679. Corporate and contact information for our entities can be found at http://colt.net/uk/en/Colt-Group-of-Companies/index.htm. Internet communications are not secure and Colt does not accept responsibility for the accurate transmission of this message. Content of this email or its attachments is not legally or contractually binding unless expressly previously agreed in writing by Colt --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées
Ben oui. Si c’était utilisé, ils deviendraient quoi les spammers russes et le PIB russe ? Il faut penser un peu aux autres. Le 3 sept. 2014 à 17:56, Mathieu Paonessa a écrit : > On 03/09/14 17:21, Stephane Bortzmeyer wrote: >> http://www.bgpmon.net/using-bgp-data-to-find-spammers/ >> >> J'en tombe sur le cul : des opérateurs font un filtrage des annonces >> BGP en se basant sur une base qui autorise n'importe qui à créer des >> objets route sans aucune authentification ??? Dans quel monde on vit ? > > Dans le monde de "tout le monde s'en tappe de RPKI"... qui est la seule > alternative viable à cette pratique. > > Mathieu > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées
On 03/09/14 17:21, Stephane Bortzmeyer wrote: > http://www.bgpmon.net/using-bgp-data-to-find-spammers/ > > J'en tombe sur le cul : des opérateurs font un filtrage des annonces > BGP en se basant sur une base qui autorise n'importe qui à créer des > objets route sans aucune authentification ??? Dans quel monde on vit ? Dans le monde de "tout le monde s'en tappe de RPKI"... qui est la seule alternative viable à cette pratique. Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Config SFR Voix en IP publiques ?
On 03.09.2014 14:29, Raphael Mazelier wrote: Le 03/09/2014 14:21, Pierre DOLIDON a écrit : l'inspection SIP ça existe quand même... et heureusement ! (de même que l'inspection FTP pour ne pas avoir besoin de se faire chier à ouvrir 1 ports pour le FTP passif...) Alors honnêtement j'ai pas encore trouvé d'alg sip bien faite. A chaque fois je l'ai plutot désactivé pour que ça ne foute pas la grouille. Faire du SIP Natté ce n'est pas impossible, mais c'est quand même bien quand tu maitrise toute la chaine (Poste, Cpe, BB, Proxy SIP). Le SIP alg sur les équipements ubiquiti (notamment les airrouters que nous utilisons comme CPE) nous semble fonctionner correctement au vu des retours clients, meme avec plusieurs telephones actifs en meme temps. On a eu des soucis sur certains telephones qui ne savaient pas fragmenter par défaut, il s'agissait d'une variable par défaut a "off" qui aurait du etre a "on" --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Une utilité pour les adresses IPv4 inutilisées
http://www.bgpmon.net/using-bgp-data-to-find-spammers/ J'en tombe sur le cul : des opérateurs font un filtrage des annonces BGP en se basant sur une base qui autorise n'importe qui à créer des objets route sans aucune authentification ??? Dans quel monde on vit ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Config SFR Voix en IP publiques ?
Le 03/09/2014 14:21, Pierre DOLIDON a écrit : l'inspection SIP ça existe quand même... et heureusement ! (de même que l'inspection FTP pour ne pas avoir besoin de se faire chier à ouvrir 1 ports pour le FTP passif...) Alors honnêtement j'ai pas encore trouvé d'alg sip bien faite. A chaque fois je l'ai plutot désactivé pour que ça ne foute pas la grouille. Faire du SIP Natté ce n'est pas impossible, mais c'est quand même bien quand tu maitrise toute la chaine (Poste, Cpe, BB, Proxy SIP). -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Config SFR Voix en IP publiques ?
l'inspection SIP ça existe quand même... et heureusement ! (de même que l'inspection FTP pour ne pas avoir besoin de se faire chier à ouvrir 1 ports pour le FTP passif...) Le 03/09/2014 09:06, David Ponzone a écrit : Michel, Le 3 sept. 2014 à 05:42, Michel Py a écrit : Régis M a écrit : Personnellement, les polycoms que j'ai manipulé ne savait pas géré le NAT (il y a 3 à 4 ans) Ce n'est pas que les Polycoms. SIP est un protocole qui a été conçu pour ne pas traverser NAT, toutes les marques sont dans le même bateau. Faut être fou pour faire du SIP à travers NAT, c'est des emmerdes à n'en plus finir. Donc tout le monde fait un VLAN pour les téléphones SIP qui ne traverse pas NAT. Ca fait longtemps que les opérateurs qui ont besoin de faire du SIP à travers NAT utilisent des softswitch/Centrex/class 5/SBC sérieux qui font de l’autoNAT (également appelé RTP-autoadjust, NAT autolearn, etc…) et qui affranchissent totalement d’avoir à gérer le NAT du côté du téléphone SIP (ou MGCP d’ailleurs). Après, quand l’opérateur gère le lien et le LAN du client, il va en effet préférer laisser la téléphonie en IP privées routées, c’est indéniable. Pour ma part, c’est surtout pour des raisons de facilité de management distant des équipements. Mais les emmerdes en faisant du NAT sont très relatives. Pour ma part, j’ai surtout rencontré des ennuis à cause d’équipements buggés (Draytek pour ne pas les citer). Il y aussi le cas du routeur client qu’on ne contrôle pas, qui a un SIP ALG qui met le bordel et qu’on ne peut pas désactiver. Un bon SoftSwitch s’en sortira quand même (FreeSWITCH), un moins bon sera peut-être gêné. Cela étant dit, je te rejoins sur le fait que SIP n’a pas été conçu pour ça et ce que je viens de décrire est un hack pour contourner le problème. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Config SFR Voix en IP publiques ?
Michel, Le 3 sept. 2014 à 05:42, Michel Py a écrit : >> Régis M a écrit : >> Personnellement, les polycoms que j'ai manipulé ne savait pas géré le NAT >> (il y a 3 à 4 ans) > > Ce n'est pas que les Polycoms. SIP est un protocole qui a été conçu pour ne > pas traverser NAT, toutes les marques sont dans le même bateau. Faut être fou > pour faire du SIP à travers NAT, c'est des emmerdes à n'en plus finir. Donc > tout le monde fait un VLAN pour les téléphones SIP qui ne traverse pas NAT. Ca fait longtemps que les opérateurs qui ont besoin de faire du SIP à travers NAT utilisent des softswitch/Centrex/class 5/SBC sérieux qui font de l’autoNAT (également appelé RTP-autoadjust, NAT autolearn, etc…) et qui affranchissent totalement d’avoir à gérer le NAT du côté du téléphone SIP (ou MGCP d’ailleurs). Après, quand l’opérateur gère le lien et le LAN du client, il va en effet préférer laisser la téléphonie en IP privées routées, c’est indéniable. Pour ma part, c’est surtout pour des raisons de facilité de management distant des équipements. Mais les emmerdes en faisant du NAT sont très relatives. Pour ma part, j’ai surtout rencontré des ennuis à cause d’équipements buggés (Draytek pour ne pas les citer). Il y aussi le cas du routeur client qu’on ne contrôle pas, qui a un SIP ALG qui met le bordel et qu’on ne peut pas désactiver. Un bon SoftSwitch s’en sortira quand même (FreeSWITCH), un moins bon sera peut-être gêné. Cela étant dit, je te rejoins sur le fait que SIP n’a pas été conçu pour ça et ce que je viens de décrire est un hack pour contourner le problème. --- Liste de diffusion du FRnOG http://www.frnog.org/
