Re: [FRnOG] Re: [MISC] l'AFNIC en PLS ?
On Mon, Oct 03, 2022 at 03:19:20PM +0200, Dominique Rousseau wrote: > (mon) telnet fonctionne, mais pas netcat : > > > $ telnet whois.nic.fr whois > Trying 192.134.5.73... > Connected to whois-3t.nic.fr. > Escape character is '^]'. > bortzmeyer.fr > %% > (...) > domain:bortzmeyer.fr > status:ACTIVE > (...) > Connection closed by foreign host. uniquement en minuscule pour le whois de l'afnic: % telnet whois.nic.fr whois Trying 192.134.5.73... Connected to whois-3t.nic.fr. Escape character is '^]'. NIC.FR %% %% This is the AFNIC Whois server. %% %% complete date format: -MM-DDThh:mm:ssZ %% %% Rights restricted by copyright. %% See https://www.afnic.fr/en/domain-names-and-support/everything-there-is-to-know-about-domain-names/find-a-domain-name-or-a-holder-using-whois/ %% %% Use '-h' option to obtain more information about this service. %% %% NOT FOUND >>> WHOIS request date: 2022-10-04T08:36:44.420237Z <<< -- Laurent Frigault | http://www.agneau.org/> UNIX _IS_ user friendly. It's just selective about who its friends are. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Gmail & son antispam
On Fri, Jun 25, 2021 at 06:36:47AM +, Romain BAFFERT wrote: > Bonjour, quelqu’un que je connais viens de me remonter le même souci, > bounce direct et elle me dit que si elle enlève le lien dans sa > signature ça semble passer… J'ai déjà constaté un soucis similaire avec des domaines de mail qui utilisent vade-retro. Le problème, n'est bien souvent pas dans l'URL apparente originale du message, mais dans celle qui a été ré-écrite par l'anti spam/virus/cochonerie de l'utilisateur. Ces système font un GET sur l'URL pour vérifier qu'elle n'est pas nocives ET la ré-écrivent dans une redirection sur un sous-domaines à eux avant de délivrer lemessage dans la boite de l'utilisateur. https://www.good.tld/ devient https://mon-anti-merde.weird.tld/xyzhfdshfjksdhf/ Avec les merdiciels en HTML cela devient https://mon-anti-merde.weird.tld/xyzhfdshfjksdhf/>https://www.good.tld/ L'utilisateur qui répond en croyant reprendre le message original renvoie en réalité un lien sur le domaine mon-anti-merde.weird.tld qui est blacklisté par l'antispam de destination qui a déjà reçu des tombereaux de merde avec des URL sur ce domaine . Et paf le mail! -- Laurent Frigault Si la connerie se mesurait, il servirait de mètre-étalon... Y serait à Sevres. (Michel Audiard) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Flap AWS
On Fri, Oct 21, 2016 at 06:33:02PM +0200, Julien Escario wrote: > Ni à twitter : > # host twitter.com NS1.P34.DYNECT.NET > ;; connection timed out; no servers could be reached > > J'ai pris le premier NS à chaque fois mais c'est pareil sur les 3 autres. > > Du coup, les update via twitter ... perdu. Dans /etc/hosts : # DNS twitter en vrac 104.244.42.65 twitter.com 93.184.220.70 abs.twimg.com pbs.twimg.com 104.244.43.39 ton.twimg.com 199.16.156.11 t.co -- Laurent Frigault | <url:http://www.agneau.org/> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problème avec DNS Orange
On Thu, Oct 09, 2014 at 12:08:05PM +0200, Quentin Laize wrote: Merci pour vos réponses. Effectivement, dns.ac-paris.fr est notre dns secondaire pour la zone ac-versailles.fr mais normalement pas pour nos sous zone. Donc pour la sous zone nat-vip il ne devrait pas être interrogé, non ? Bin oui et non. Comme il doit répondre pour la zone ac-versailles.fr il devrait répondre les 2 enregistrements de délégation de la zous-zone NS qui sont dans la zone ac-versailles.fr: pour nat-vip.ac-versailles.Fr au lieu de ça, il répond NXDOMAIN : % dig ns nat-vip.ac-versailles.Fr @dns.ac-paris.Fr ; DiG 9.8.3-P1 ns nat-vip.ac-versailles.Fr @dns.ac-paris.Fr ;; global options: +cmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NXDOMAIN, id: 38546 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;nat-vip.ac-versailles.Fr. IN NS ;; AUTHORITY SECTION: ac-versailles.fr. 3600IN SOA ns1.ac-versailles.fr. sige-systeme.ac-versailles.fr. 2014100905 10800 3600 604800 3600 ;; Query time: 24 msec ;; SERVER: 195.98.241.130#53(195.98.241.130) ;; WHEN: Thu Oct 9 13:22:06 2014 ;; MSG SIZE rcvd: 111 Un resolver qui l'utilise pour la zone ac-versailles.fr ne récupère pas l'information que nat-vip a été délégué sur d'autres serveurs et donc il va continuer d'interroger le même serveur pour le sous-domaine. Bref comme cela fût écrit plut tôt, la zone ac-versailles.Fr n'est pas la bonne sur dns.ac-paris.Fr Incrémenter le serial de la zone ac-versailles.fr sur le maitre devrait corriger le pb. -- Laurent Frigault | url:http://www.agneau.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Problème avec DNS Orange
On Thu, Oct 09, 2014 at 01:47:45PM +0200, Stephane Bortzmeyer wrote: On Thu, Oct 09, 2014 at 01:41:51PM +0200, Guillaume Tournat guilla...@ironie.org wrote a message of 27 lines which said: il n'y a pas de délégation (NS) Si, si. % dig NS nat-vip.ac-versailles.fr ; DiG 9.9.2-P2 NS nat-vip.ac-versailles.fr ;; global options: +cmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 64472 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;nat-vip.ac-versailles.fr. IN NS ;; ANSWER SECTION: nat-vip.ac-versailles.fr. 21600 IN NS ns2.ac-versailles.fr. nat-vip.ac-versailles.fr. 21600 IN NS ns1.ac-versailles.fr. ;; Query time: 35 msec ;; SERVER: 192.168.2.254#53(192.168.2.254) ;; WHEN: Thu Oct 9 13:34:06 2014 ;; MSG SIZE rcvd: 89 donc il n'y a pas de sous-zone. Si. le souci, c'est que le serveur faisant autorité de type slave, qui est sur dns.ac-paris.fr, n'a pas la bonne copie de la zone en mémoire. Ça, c'est vrai. Je vois bien un autre cas horrible qui donnerait le résultat que l'on constate (invérifiable sans avoir accès au contenu de la zone maitre) . Ce serait l'absence des 2 enregistrements NS délégant nat-vip dans la zone ac-versailles.fr . Cela ne fonctionnerait alors par chance sur ns1/ns2 que parce que les sous-zones sont sur le même serveur que la zone principale. Pour moi il faut: 1/ vérifier la présence des 2 NS suivant dans la zone ac-versailles.fr : nat-vip IN NS ns2.ac-versailles.fr. nat-vip IN NS ns1.ac-versailles.fr. Les ajouter d'urgence s'il n'y sont pas. 2/ incrémenter le serial de la zone ac-versailles.fr . -- Laurent Frigault | url:http://www.agneau.org/ - Faut pas faire attention Théo est une brutalité de la guerre. - En langage clinique on appelle ça un paranoïaque, en langage militaire un brigadier. (Michel Audiard) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Securité] ShellShock, c'est aussi pour vous
On Thu, Sep 25, 2014 at 11:46:01AM +0200, Guillaume Tournat wrote: https://twitter.com/securifybv/status/515035044294172673/photo/1 Je me demande quel est le /bin/sh des Juniper :-) tcsh, il me semble, comme FreeBSD Non. J'ignore ce qu'il en est de juniper, mais sous FreeBSD, /bin/csh est un tcsh , pas /bin/sh qui est un shell bourne classique (pas bash). Le shell par défaut de root étant /bin/csh sous FreeBSD, c'est peut-être la cause de cette confusion. http://www.freebsd.org/cgi/man.cgi?query=sh#end -- Laurent Frigault --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Proxad / Akamai eDNS] Performance de résolution DNS variable (Anycast)?
On Tue, Aug 06, 2013 at 04:38:07PM +0200, Cédric Tabary wrote: La plupart du temps on se fiche de la performance de l'autoritaire, car c'est le cache du FAI qui répond. ak-imworld.afcdn.com. 33200 ... Ca va juste lagger 300 ms toutes les 10 heures pour maj le cache... acceptable de mon point de vue. Sauf si on a eu la mauvaise idée de chainer des CNAME avec des TTL ridiculement bas (300s) comme c'est trop souvent le cas avec les CDN. Il faut donc refaire le test sur toute la suite des CNAME jusqu'au A/ et prier que ceux qui ont un TTL très bas aient une résolution rapide ou espérer que les utilisateurs utilisent un FAI dont les resolver utilisent min-cache-ttl (patch bind) ou cache-min-ttl (unbound) ou équivalent pour neutraliser ces TTLs ridicules du genre : a428.g.akamai.net. 20 IN A 158.255.97.74 a428.g.akamai.net. 20 IN A 158.255.97.9 -- Laurent Frigault | url:http://www.agneau.org/ À travers les innombrables vicissitudes de la France, le pourcentage d'emmerdeurs est le seul qui n'ait jamais baissé. (Michel Audiard) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Apres la fin du dernier /8 ipv4
On Fri, Sep 28, 2012 at 01:53:36PM +0200, Frédéric GANDER wrote: on va mettre un proxy http de toute façon il y a que 2 port tcp et 1 udp qui servent 80, 443 et 53 53, c'est udp ET tcp. Par chance, aucun pervers n'a - à ma connaissance - encapsulé le DNS dans du HTTP pour bypasser les fw. tout passe déja sur http, pourquoi coder des protocole optimisé ? alors qu'on peut tout passer en ascii sur http tristement vrai. -- Un détail, je suis sur Unix... Redémarrer un système Unix fait généralement apparaître dans mon bureau entre 1 et 3 ingénieurs système à l'humeur agressive voire violente. -+- VS in Guide du linuxien pervers - De l'art de faire apparaître des IS --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Requetes DNS depuis la chine
On Thu, Mar 15, 2012 at 05:05:32PM +, Christophe HUBERT wrote: Salut, Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand nombre de requetes depuis la chine. Autant avoir des requetes depuis la chine est normal, autant le nombre et le type de requetes est assez etrange. Depuis decembre donc notre trafic DNS a fortement augmente sur la plage 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs a partir d'une IP pendant quelques minutes, puis un autre rush a partir d'une autre ip. Pour prendre un exemple, l'ip 121.12.172.233 a effectue aujourd'hui pres de 7 requetes en 10 minutes sur uniquement une vingtaine de domaines (soit entre 1500 et 3000 fois la meme requete par domaine). D'ailleurs, les ips chinoises trustent le top 50 sur nos DNSs depuis le mois de decembre. A priori je ne suis pas le seul (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). Comme l'ip change tout le temps et que je ne peux pas bloquer la chine (meme si l'envie me demange), je me retrouve a devoir laisser le trafic se faire. Ca n'impacte de toute facon pas le service plus que ca. Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous avez pris des mesures ou vous laissez faire aussi ? J'ai remarqué sensiblement la même chose sur les DNS de bookmyname tous les jours entre 4h et 16h (paris) . C'est très probablement une attaque par amplification avec uniquement des requêtes ANY qui renvoient un volume bien plus important (au moins SOA + 2 NS + éventuellement MX, A, TXT) que la question. Les IP sources sont très probablement usurpées. tcpdump -v montrait un ttl non constant la dernière fois que j'ai regardé, mais je n'ai pas fait de stats dessus. Contrairement, aux attaques DNS par amplification sur des serveurs récursifs imprudemment ouverts, il n'y a rien à faire sur des serveurs faisant autorité pour les zones utilisées. Plus un serveur gère de zones, plus le volume doit être important et l'attaque ne semble pas focalisée sur quelques domaines. Pour la maso qui utilisent DNSSEC, l'amplification doit être bien plus violente. À noter, que je n'ai pas remarqué d'ipv6 lors de ces attaques. Passer tous les serveurs DNS en ipv6 seulement serait peut-être une solution ... Lolo -- Laurent Frigault --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Free expérimente t'il le filtrage DNS ?
On Mon, Jan 02, 2012 at 03:13:29PM +0100, Michael Hallgren wrote: Comment est (ou sera) la liste de ces hôtes publiée ? Utiliser un groupe usenet par exemple permettrait une bonne diffusion et de voir si dans cancel sont émis et par qui. Bonne Année ! Pas mieux. -- Laurent Frigault | url:http://www.agneau.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Contact Skynet pour mailing list
On Wed, Oct 06, 2010 at 05:07:33PM +0200, Pierre Col wrote: Est-ce que je peux avoir le From: d'enveloppe, là, tout de suite ? C'est pour mes filtres... Pourquoi filterais-tu des courriels que les destinataires attendent ? C'est totalement illégal, autant que l'acte du facteur qui jetterait son sac de lettres dans un égout. Et pourquoi ne pas utiliser cette adresse dans la configuration des filtres afin d'éviter que les messages ne soient fitrés en la déclarant en liste blanche ? Lolo PS: C'est quoi le rapport avec le thème de cette liste ? -- Laurent Frigault --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Rappel : le pr ocessus de signature de la racine du DNS est presque ach evé
On Tue, Apr 13, 2010 at 11:51:29AM +0200, Stephane Bortzmeyer wrote: 89.2.3.110 lacks EDNS, defaults to 512 Une honte, en 2010, plus de dix ans après la publication de la norme EDNS. C'est plus honteux que de voir un serveur recursif ouvert à tout vent de nos jours et susceptible d'être utilisé dans des attaques par amplification ? -- Laurent Frigault | url:http://www.agneau.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Club-Internet filtre tout/trop !
On Mon, Sep 17, 2007 at 09:00:51PM +0200, Raphael Jacquot wrote: vu que la plupart des dites freebox sont dans des pools statiques, spamhaus a pas a les mettre dans la rbl... Ne jamais parier sur l'intelligence des gérants de RBL ou de leurs utilisateurs. -- Un détail, je suis sur Unix... Redémarrer un système Unix fait généralement apparaître dans mon bureau entre 1 et 3 ingénieurs système à l'humeur agressive voire violente. -+- VS in Guide du linuxien pervers - De l'art de faire apparaître des IS --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Wanadoo / Orange SMTP
On Wed, Jun 27, 2007 at 10:47:43AM +0200, Léo Goehrs wrote: Wanadoo / Orange pour notre plus grand bonheur viens de suivre Free sur le blocage du SMTP sortant mais en moins bien puisque le blocage n'est pas desactivable. Pour contourner le problème, selon Wanadoo, il faut passer en IP Fixe. Elle est gratuite l'IP Fixe chez Wanadoo ? -- Laurent Frigault | url:http://www.agneau.org/ Hold it right there, buddy ... that scruffy beard...those suspenders... that smug expression...YOU'RE ONE OF THOSE CONDESCENDING UNIX USERS! Here's a nickel, kid. Get yourself a better computer. --- Liste de diffusion du FRnOG http://www.frnog.org/
