Re: [FRnOG] [ALERT] Problème sur la racine du DNS
> On Nov 30, 2015, at 5:04 PM, Pascal PETIT wrote: > C'est impressionnant car pour écrouler un serveur anycasté, il faut > que l'attaque vienne de sources suffisamments variées pour voir toutes > les "instances" du serveur. Ou les points d'observation doit coïncider avec les points d'attaque, de sorte que les serveurs ne sont pas touchés sont aussi inaperçu. Aucune conspiration nécessaires pour que cela se produise, sondes RIPE Atlas se produit probablement dans environ la même distribution que les botnets font. -Bill signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [ALERT] Problème sur la racine du DNS
Sur notre instance du L, un peu de changement. En revanche, c'était largement plus visible sur notre J. Je n'ai pas eu le détail des opérateurs pour ce cas, mais ils m'ont dit avoir filtré, sans préciser plus. Will van Gulik AS25091 > On 30 Nov 2015, at 14:47, Stephane Bortzmeyer wrote: > > On Mon, Nov 30, 2015 at 02:42:30PM +0100, > Pascal PETIT wrote > a message of 18 lines which said: > >> Quid de l'impact lié à l'utilisation d'anycast ? >> >> Les serveurs ciblés l'utilisaient-ils ? > > C'est le cas de presque tous désormais. Cela n'a pas complètement > suffi (K, bien anycasté, a pas mal souffert.) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Problème sur la racine du DNS
Le Monday 30 November 2015 (14:28), Sylvain Vallerot écrivait : > J'extrapole (est-ce bien raisonnable) que l'attaque a été contenue, > mais qu'elle a tout de même eu un impact significatif sur la majorité > des serveurs présentés. Quid de l'impact lié à l'utilisation d'anycast ? Les serveurs ciblés l'utilisaient-ils ? -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Problème sur la racine du DNS
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 30/11/2015 09:56, Stephane Bortzmeyer wrote: > Cela ressemble à une grosse attaque, depuis environ 0700 UTC : > > https://atlas.ripe.net/dnsmon/?dnsmon.session.color_range_pls=0-66-66-99-100&dnsmon.session.exclude-errors=true&dnsmon.type=zone-servers&dnsmon.zone=root&dnsmon.startTime=1448854800&dnsmon.endTime=1448872800&dnsmon.ipVersion=both&dnsmon.timeWindow=18000 > > Plusieurs serveurs ne répondent que peu ou pas. Les autres marchent > donc, pour l'instant, aucune conséquence sur le service DNS. Bien vu, C'est revenu dans l'ordre autour de 9:15 Mais les seuils de 66 et 99% présentés dans ton lien ne sont-ils pas excessivement élevés ? Le résultat est beaucoup plus saisissant si on abaisse les seuils, car on fait passer presque 2/3 des serveurs en orange en abaissant le seuil correspondant à 10% de requêtes "unanswered". J'extrapole (est-ce bien raisonnable) que l'attaque a été contenue, mais qu'elle a tout de même eu un impact significatif sur la majorité des serveurs présentés. Est-ce que ma lecture est correcte, faut-il en tirer des conséquences ? Cordialement, Sylvain - -- Gixe - Association 1901 - conseil, hébergement, opérateur pour tous SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 -BEGIN PGP SIGNATURE- Version: GnuPG v1 iF4EAREIAAYFAlZcTu0ACgkQJBGsD8mtnRE2TQD9GemRKZDR4MCGwPZq66LENQjH p1pIrv6xwJues+mmReYA/R9eSSnitRZE95W0xqQD/FOlat5eZYzTcGwnKSxYMnSA =Trph -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Problème sur la racine du DNS
Cela ressemble à une grosse attaque, depuis environ 0700 UTC : https://atlas.ripe.net/dnsmon/?dnsmon.session.color_range_pls=0-66-66-99-100&dnsmon.session.exclude-errors=true&dnsmon.type=zone-servers&dnsmon.zone=root&dnsmon.startTime=1448854800&dnsmon.endTime=1448872800&dnsmon.ipVersion=both&dnsmon.timeWindow=18000 Plusieurs serveurs ne répondent que peu ou pas. Les autres marchent donc, pour l'instant, aucune conséquence sur le service DNS. --- Liste de diffusion du FRnOG http://www.frnog.org/