Re: [FRnOG] [TECH] Swisscom déconne?
2013/8/31 William Gacquer w.gacq...@france-citevision.fr: Bonjour, avant d'enguirlander Swisscom, je préfère demander votre point de vue. Il m'est avis que Swisscom annonce régulièrement des routes dont il ne possède pas l'inetnum. Regardez ici : Avec l'AS3303, on a vu quelques annonces amusantes dans le passé (comme la 0.0.0.0/1): http://bgpranking.circl.lu/asn_details?asn=AS3303source=date= On se demande si c'est n'est pas un effet de bord des senseurs RIPE pour le RIS, on utilise aussi les dumps venant de RIS. Je suis preneur d'explications techniques sur l'origine de ces annonces via l'AS3303. Cheers. -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le Marais
2013/7/9 Kavé Salamatian kave.salamat...@univ-savoie.fr: On paye pour s'enregistrer à l'état civil ? ou pour recevoir un extrait de naissance ? Oui. On paye pour avoir une carte d'identité, un extrait d'acte de naissance ou même pour demander un certificat que déclare tu existes à une adresse ;-) Ce sont souvent en Belgique les frais de gestion de la commune plus les frais de gestion des cartes d'identité électronique. Pour le RIPE, c'est clairement plus transparent: http://www.ripe.net/ripe/docs/ripe-566 et les charging scheme sont discutés chaque année. C'est vrai que le tarif entre x-small et x-x-large n'est pas assez prononcé. Maintenant, si tu regardes la distribution des tailles de LIR (une distribution de Poisson), ce n'est pas facile/judicieux de mettre l'ensemble des frais sur 72 LIRs... -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Un cas d'utilisation d'un préfixe AfriNIC en dehors de l'Afrique
On Mon, Feb 18, 2013 at 10:29 PM, Stephane Bortzmeyer bortzme...@nic.fr wrote: Mais qui a le droit d'annoncer 154.40.0.0/13 en BGP ? http://www.bortzmeyer.org/usage-prefixe-afrinic.html et le 0.0.0.0/0? http://www.ris.ripe.net/dashboard/0.0.0.0/0 ;-) -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le gage de sérieux est-il toujours Made in US ?
2012/10/8 Dominique Lacroix d...@panamo.eu: Bonjour, En ces temps où la cyberguerre est nulle part et partout, dans tous les pays on s'interroge sur ses fragilités et on tente de mettre ses sites critiques à l'abri des attaques, écoutes ou autres risques plus ou moins fantasmés. Deux (au moins) bizarreries en France : http://elysee.fr http://www.redressement-productif.gouv.fr/ C'est le CDN: www.elysee.fr. 2107IN CNAME cdn.cdn-tech.com.c.footprint.net. cdn.cdn-tech.com.c.footprint.net. 225 IN A 198.78.208.254 cdn.cdn-tech.com.c.footprint.net. 225 IN A 207.123.56.254 cdn.cdn-tech.com.c.footprint.net. 225 IN A 204.160.120.126 Il suffit que cela soit plus rapide/proche chez X ou Y, alors tu as le serveur du CDN le plus proche hébergé chez Level 3. Voici les partenaires CDN-Tech: http://www.cdn-tech.com/company/article/partners Souvent c'est le contenu statique qui est distribué à travers le monde (vers ses partners) via le réseau du CDN. J'espère que cela aide. adulau PS: Concernant la cyberguerre, deux bonnes lectures sur ce pseudo-sujet: - http://conference.hitb.org/hitbsecconf2008kl/materials/KEYNOTE%202%20-%20Marcus%20Ranum%20-%20Cyberwar%20is%20Bullshit.pdf - http://kyrah.net/da/wargames.pdf -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Recherche machine pour firewall à la maison
2012/8/26 Pierre-Yves Maunier fr...@maunier.org: Bonjour, je cherche du hardware pour faire un firewall pfsense à la maison. Sans hésiter, la gamme Soekris et surtout le nouveau NET6501 http://soekris.com/products/net6501.html J'ai encore en production des NET4521 depuis plusieurs années, c'est du solide. -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Recherche machine pour firewall à la maison
2012/8/26 Pierre-Yves Maunier fr...@maunier.org: Le 26 août 2012 17:41, Alexandre Dulaunoy a...@foo.be a écrit : 2012/8/26 Pierre-Yves Maunier fr...@maunier.org: Bonjour, je cherche du hardware pour faire un firewall pfsense à la maison. Sans hésiter, la gamme Soekris et surtout le nouveau NET6501 http://soekris.com/products/net6501.html J'ai encore en production des NET4521 depuis plusieurs années, c'est du solide. Effectivement les specs sont pas mal, mais 456 USD juste la carte mère..ouch :-) Regarde sur http://soekris.eu/ c'est encore accessible. Surtout si tu prends en compte la solidité (j'ai plusieurs modèles Soekris dans une résine époxyde à l'extérieur) et la consommation électrique... et pas uniquement le prix d'acquisition. -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Une idée rigolote pour prévenir les utilisateurs infectés
2011/2/24 Stephane Bortzmeyer bortzme...@nic.fr: Quelqu'un a-t-il déployé un système de ce genre ? (Attention aux conséquences juridiques, qui ne sont pas les mêmes de ce côté de l'Atlantique.) RFC 6108 : Comcast's Web Notification System Design Quelles sont les différences entre le design de Phorm: http://www.cl.cam.ac.uk/~rnc1/080518-phorm.pdf et le RFC 6108? J'ai le mauvais sentiment que c'est fort proche... adulau -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance -- that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] [FRnOG] Une idée rigolote pour prévenir les utilisateurs infectés
2011/2/24 Thomas Mangin thomas.man...@exa-networks.co.uk: Non, c'est très diffèrent techniquement ... expliquer la différence prendrait bien trop de temps. En fait, la solution technique est plus ou moins la même (j'ai vu en production deux variantes) mais la plus grande différence entre la RFC 6108 et Phorm (ou une autre solution d'insertion de contenu en HTTP) est simplement ceci: R3.1.12. Advertising Replacement or Insertion Must Not Be Performed Under ANY Circumstances Additional Background: The system must not be used to replace any advertising provided by a website, or to insert advertising into websites. This therefore includes cases where a web page already has space for advertising, as well as cases where a web page does not have any advertising. This is a critical area of concern for end users, privacy advocates, and other members of the Internet community. Therefore, it must be made abundantly clear that this system will not be used for such purposes. La différence est simplement la finalité et non la technologie utilisée. Bonne journée, adulau -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance -- that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Afficher la liste de ses « diplômes » dans le .signature (Was: Hijacked the Internet
2010/11/17 Stephane Bortzmeyer bortzme...@nic.fr: Ce n'est pas votre parcours qui est en cause, c'est la façon d'afficher des chiffons de papier. Les gens qui s'y connaissent vraiment ne mettent pas « CCIE » dans leur .signature... Pourquoi pas « Microsoft Certified Professional » pendant qu'on y est ? Sauf la seule que l'on peut vraiment afficher de façon ostentatoire : http://www.mail-archive.com/sc-l%40securecoding.org/msg02544.html -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance -- that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] l'ITU veut devenir RIR
2010/2/26 Raphaël Jacquot sxp...@sxpert.org: http://www.ripe.net/news/2010-be-heard.html (et puis quoi encore ?) Dans la liste APNIC-talk, il y a un bon résumé de Geoff Huston sur les questions de compétition dans l'attribution de l'adressage : http://mailman.apnic.net/mailing-lists/apnic-talk/archive/2010/03/msg1.html Bonne lecture, -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Apache DoS tool impacts ?
2009/6/22 jul jul_...@yahoo.fr: Bonjour, En réaction à la publication par rsnake d'un outil pour faire du DoS sur Apache en quelques paquets [1], je souhaitais savoir si des vérifications/mesures particulières ont été prises par les opérateurs/hébergeurs ? A priori, il semble que les contre-mesures soient limitées * Éventuellement, absorption par les load-balancers ou reverse proxy * Diminuer le Timeout Apache * Module pour limiter le nombre de connexion par IP Commentaires ? Limiter par le nombre de connexions n'est pas toujours une solution viable surtout lorsque les clients HTTP sont derrières un proxy HTTP ou du NAT. (donc utilisant la même source IP) Le TimeOut dans Apache semble une solution mais ne fait que demander au client DoS d'augmenter le débit des connexions (en gros, il faut donc plus de bande passante à l'attaquant). De plus, l'équilibre entre le TimeOut d'une application serveur qui prends un peu de temps et le TimeOut du client peut rendre cela encore plus difficile. Pour l'instant, il semble qu'une bonne contre-mesure soit le load-balancer/reverse proxy. Je viens de le tester sur une machine sans aucune modification sur la partie Apache httpd, juste changer le port de 80 vers 8080 et le binding en localhost. En utilisant Perlbal (http://www.danga.com/perlbal/) comme load balancer avec une simple config de ce genre : CREATE POOL httpserver POOL httpserver ADD 127.0.0.1:8080 CREATE SERVICE balancer SET listen = 1.2.3.4:80 SET role= reverse_proxy SET pool= httpserver SET persist_client = on SET persist_backend = on SET verify_backend = on ENABLE balancer J'ai aussi augmenter la limite des fichiers ouverts pour Perlbal (via un simple ulimit -n). Cela semble bien résister à slowloris.pl mais bon il n'y a pas vraiment de solutions miracles pour ce vieux soucis du DoS avec sessions persistantes. adulau -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Q: requêtes dns en pagailles ?
2009/1/28 Christophe Meessen christo...@meessen.net: Bonsoir, j'ai un petit serveur dns à la maison pur mon nom de domaine meessen.net. J'ai constaté ce soir que je suis bombardé de requêtes Jan 28 06:30:15 cerber named[12764]: client 64.57.246.146#22359: view net: query (cache) './NS/IN' denied Quasiment une chaque secondes avec de temps en temps une même requête de deux autres ordinateurs. J'ai depuis mis en place un filtre pare feu pour rejeter ces adresses ip. Cela dure apparemment depuis quelques jours sans que je m'en sois rendu compte. Je me demande naïvement quel en serait le sens ? Une erreur de configuration de l'origine ? Si c'est une attaque, a quoi pourrait-elle correspondre ? Ma config DNS a le défaut de ne pas avoir de serveur de backup. Cela pourrait-il me rendre plus vulnérable ? Bien cordialement, Une technique simple avec netfilter pour rejeter les requêtes recursives sur IN NS : iptables -A INPUT -j DROP -p udp --dport domain -m u32 --u32 \ 0220...@1216=10220...@2024=00220...@21=0x00020001 Cela permet d'éviter de faire passer les paquets en user-space vers bind ;-) -- -- Alexandre Dulaunoy (adulau) -- http://www.foo.be/ -- http://www.foo.be/cgi-bin/wiki.pl/Diary -- Knowledge can create problems, it is not through ignorance --that we can solve them Isaac Asimov --- Liste de diffusion du FRnOG http://www.frnog.org/