RE: [FRnOG] [TECH] Spoof UDP
Refuznikster a écrit: Parce que mine de rien, lorsque je prends mes listes d'attaques (dont celle de ce mois-ci) je vois la provenance des ip des postes corrompus c'est pour la plupart du poste sans ip fixe : italie, brésil, pologne, chine, roumanie et russie, ah si j'ai aussi un suisse. Deux remarques: 1. Attention à la méthode qui te dit que c'est une IP dynamique. Même si dans ce contexte je pense que tu as raison. 2. Tu ne vois que l'un des cotés de la chose. Oui, l'attaque vient de l'armée de zombies de partout et de nulle part. Par contre, il ne faut pas oublier comment on construit une armée de zombies, et c'est parfois/souvent par l'intermédiaire d'un serveur vulnérable qui a attrapé la chtouille. L'installation du merdiciel vient (en gros) soit du spam envoyé par les zombies soit par l'utilisateur qui visite une page web qui contient le ver. Dans le cas de la contamination par une page web, c'est là ou on peut collectivement faire quelque chose: ce canal de contamination nécessite d'être hébergé. Même si toi et moi avons un serveur HTTP à la maison, ce n'est généralement pas le cas du PC de Claude Michu. Même si le port 80 n'est pas bloqué, le problème est souvent que le PC est derrière NAT, et que le port 80 n'est pas ouvert dans la machinbox, ce qui en pratique empêche le PC de devenir un serveur web même s'il est contaminé. Je vois bien la possibilité que le merdiciel essaie d'ouvrir le port 80 en utilisant uPNP, mais jusqu'à présent je n'ai pas vu ce genre de chose déployé à grande échelle. Je comprends aussi comment on pourrait utiliser une ruse genre STUN pour ouvrir le port mais ce genre de truc marche nettement mieux avec UDP qu'avec TCP et là encore je vois rien dans ce domaine. Comme d'ab, quelqu'un me corrige si je dis des foutaises. Donc, si chacun ici passait un peu le balai devant sa porte au lieu du status quo omniprésent qui consiste à tolérer les hébergeurs du dimanche (quand ce n'est pas les aider), ça pourrait faire une différence. Ce n'est pas un miracle, ni la solution complète. Mais demandez donc autour de vous comment on se fait contaminer: non j'étais pas en train de lire mon mail. Non j'étais pas en train de surfer les sites de films de cul. J'étais en train de googler quelque chose à propos du whisky qui contient 2/3 de whisky et 1/3 d'eau ferrugineuse et tout d'un coup il y a toutes ces fenêtres qui se sont ouvertes. Typique: contamination par merdiciel sur un serveur web chez un hébergeur du dimanche. Cà, c'est le merdiciel brutal. Le merdiciel subtil (genre rootkit) s'installe sans que l'utilisateur s'en aperçoive, mais de la même façon. Guillaume Barrot a écrit: Question con mais qui maintient la liste des bogons chez Cymru ? Par quelqu'un de Team Cymru, et tous ces braves gens ont le respect de la plupart des opérateurs américains, et le mien. En ce qui concerne les bogons originaux (v4, au niveau /8) c'était fait à la main (çà ne changeait pas si souvent que çà). En ce qui concerne les fullbogons, je ne connais pas les détails techniques mais vu la taille de l'animal (5500 routes en IPv4 et 49000 routes en IPv6) ça parait évident qu'il y a un automatisme qui analyse les bases de données des RIRs. Ceci etant dit, j'observe qu'il y a quelques années un honeypot / honeynet maintenu par la communauté tournait, et que ca n'a plus le clair d'etre le cas actuellement. Du quel parles-tu? Un lien? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Le 27/12/2011 14:41, raphael.dur...@ultrawaves.net a écrit : On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier wrote: En sécurité, on m'a toujours appris qu'il faut mieux couper et analyser ensuite que de laisser faire. Si l'état veut faire une liste de ce type sous surveillance d'un (véritable) comité de surveillance (composé d'admin indépendants), on ne pourrait que les encourager à le faire surtout lorsque l'on voit le nombre grandissant de site vérolé. J'ai beaucoup de mal avec cet argument. C'est un peu comme mettre des gens en prison en attendant de prouver leur innocence, au cas où ils seraient dangereux. La neutralité du Net, c'est un peu la présomption d'innocence appliquée aux paquets IP, non ? La méthode qui consiste à les laisser libre ne fonctionne que si on leur tire les oreilles pour de vrai quand il est prouvé qu'ils sont coupables. Si on fait une vraie enquête pour les retrouver, juste pour leur dire hé, c'est pas bien, recommence pas, la plupart des gens s'en foutent. Est-ce qu'on tire les oreilles, pour de vrai, aux hébergeurs qui négligent la sécurité, ou aux utilisateurs qui font partie d'un botnet? Non. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On 12/27/11 12:10 AM, Guillaume Barrot wrote: - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Et cette liste serait maintenue par qui ? On va se retrouver avec une instance politique chargée de maintenir cette liste, ce qui amènera forcément à un système de censure arbitraire et des abus :/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier wrote: En sécurité, on m'a toujours appris qu'il faut mieux couper et analyser ensuite que de laisser faire. Si l'état veut faire une liste de ce type sous surveillance d'un (véritable) comité de surveillance (composé d'admin indépendants), on ne pourrait que les encourager à le faire surtout lorsque l'on voit le nombre grandissant de site vérolé. J'ai beaucoup de mal avec cet argument. C'est un peu comme mettre des gens en prison en attendant de prouver leur innocence, au cas où ils seraient dangereux. La neutralité du Net, c'est un peu la présomption d'innocence appliquée aux paquets IP, non ? Raphaël Durand --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
- la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? C'est on train d'etre mis en place. En France ca sera un aggregat de LOPSSI/HADOPI, aux UK il y a deja quelque-chose vaguement similaire (l'abominable IWF). Si le SPAM nous a apris quelque chose, c'est qu'il ne faut pas jouer au chat et a la souris avec des gens motives (spammeurs, telechargeurs, ...). Le problème devient juste plus compliquer a gérer après chaque itération. La solution est de chercher les criminels et les mettre sous barreaux. La raison pour laquelle la liste IWF n'est pas vraiment un problème est que IMNSHO le systèmes de filtrage n'affecte quasi personne. Le jour ou thepiratebay sera mis sur une liste comme l'IWF, sera un grand jour de formation pour les utilisateur d'internet et la liberté sur le net. Au passage quelque centaine utiliseront un proxy vérolé et plus tard se feront voler de l'argent mais les dommages collatéraux n'intéressent personne. La liste IWF, c'est juste du marketing des hommes politiques vers les NGO de protection des enfants (sur le dos des FAI). Juste pour l'anecdote, j'ai bien ajoute le support FlowSpec ExaBGP avec une intention de l'utiliser pour une solution IWF, la bonne nouvelle est que je ne l'ai jamais fait. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Et cette liste serait maintenue par qui ? Bonne question avec seulement de mauvaise réponses comme options. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Le mardi 27 décembre 2011 13:03:57, Damien Fleuriot a écrit : On 12/27/11 1:00 PM, Ambroise Terrier wrote: Le 27/12/2011 12:05, Damien Fleuriot a écrit : On 12/27/11 12:10 AM, Guillaume Barrot wrote: - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Et cette liste serait maintenue par qui ? On va se retrouver avec une instance politique chargée de maintenir cette liste, ce qui amènera forcément à un système de censure arbitraire et des abus :/ Le mieux ne serait il pas d'avoir des rapports envoyés rapidement à une équipe de modération de la liste qui traiterait rapidement chaque demande et serait composée d'administrateurs réputés indépendants et qualifiés à juger le bienfondés de chaque rapport ? Le problème c'est que tu auras toujours des gens pour contester et/ou des faux positifs. Prends par exemple tous les problèmes rencontrés par spamhaus, qui se sont retrouvés assignés en justice plusieurs fois. Mais en effet, une liste coordonnée, maintenue par des administrateurs indépendants, serait une réponse, un peu dans la même lignée que les bogons maintenus par la Team Cymru. Si l'on se base que sur des rapports venant de l'ANSSI, de l'office de lutte contre la cybercriminalité ainsi que d'organisme de ce genre, les faux positifs seront quasi néant, surtout si on met en place le filtre de la modération des admins indépendants. En sécurité, on m'a toujours appris qu'il faut mieux couper et analyser ensuite que de laisser faire. Si l'état veut faire une liste de ce type sous surveillance d'un (véritable) comité de surveillance (composé d'admin indépendants), on ne pourrait que les encourager à le faire surtout lorsque l'on voit le nombre grandissant de site vérolé. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On 12/27/11 2:29 PM, Radu-Adrian Feurdean wrote: On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier cont...@ambroiseterrier.fr said: Si l'on se base que sur des rapports venant de l'ANSSI, de l'office de lutte contre la cybercriminalité ainsi que d'organisme de ce genre, les faux positifs seront quasi néant, surtout si on met en place le filtre de la modération des admins indépendants. En sécurité, on m'a toujours appris qu'il faut mieux couper et analyser ensuite que de laisser faire. Cote business, c'est plus souvent le contraire (qu'on aime ou pas). Entièrement d'accord. Si l'état veut faire une liste de ce type sous surveillance d'un (véritable) comité de surveillance (composé d'admin indépendants), on ne pourrait que les encourager à le faire surtout lorsque l'on voit le nombre grandissant de site vérolé. J'ai quand-meme un probleme a mettre au meme endroit des vrais gens independants et une entite etatique. Il me semble qu'un des independants preferes du gouvernement c'est Michel Riguidel... Encore une fois entièrement d'accord. Refer les histoires de commission HADOPI, pour laquelle des experts *indépendants* (lol) ont été mandatés. Quelque-chose totalement independant (sans intervention etatique), pourquoi pas. Mais je suppose que si ca n'existe pas encore, il doit y avoir un raison economique (trop cher a faire vivre ou manque d'interet). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On 12/27/11 1:00 PM, Ambroise Terrier wrote: Le 27/12/2011 12:05, Damien Fleuriot a écrit : On 12/27/11 12:10 AM, Guillaume Barrot wrote: - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Et cette liste serait maintenue par qui ? On va se retrouver avec une instance politique chargée de maintenir cette liste, ce qui amènera forcément à un système de censure arbitraire et des abus :/ Le mieux ne serait il pas d'avoir des rapports envoyés rapidement à une équipe de modération de la liste qui traiterait rapidement chaque demande et serait composée d'administrateurs réputés indépendants et qualifiés à juger le bienfondés de chaque rapport ? Le problème c'est que tu auras toujours des gens pour contester et/ou des faux positifs. Prends par exemple tous les problèmes rencontrés par spamhaus, qui se sont retrouvés assignés en justice plusieurs fois. Mais en effet, une liste coordonnée, maintenue par des administrateurs indépendants, serait une réponse, un peu dans la même lignée que les bogons maintenus par la Team Cymru. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Le 27/12/2011 12:05, Damien Fleuriot a écrit : On 12/27/11 12:10 AM, Guillaume Barrot wrote: - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Et cette liste serait maintenue par qui ? On va se retrouver avec une instance politique chargée de maintenir cette liste, ce qui amènera forcément à un système de censure arbitraire et des abus :/ Le mieux ne serait il pas d'avoir des rapports envoyés rapidement à une équipe de modération de la liste qui traiterait rapidement chaque demande et serait composée d'administrateurs réputés indépendants et qualifiés à juger le bienfondés de chaque rapport ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On Tue, 27 Dec 2011 00:10:28 +0100, Guillaume Barrot guillaume.bar...@gmail.com said: Imagine 1 million de drones (chaque sur un IP different) qui crache chacune 10 Kbps (= rien) 1 million de postes hautement previsibles, qui en meme temps vont sur la meme destination avec le meme protocole ? Le marketing a un nom pour ca : des clients (et des bons mêmes, qui obéissent aux sacro saintes lois du marketing : dans une case tu rentreras) Je precise: 100 FAI (dans ~30 pays) chacun avec 10K abonnes veroles.. Pour ce genre d'attaque, deux cas possibles : - la source fait partie des bogons -- poubelle - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? C'est on train d'etre mis en place. En France ca sera un aggregat de LOPSSI/HADOPI, aux UK il y a deja quelque-chose vaguement similaire (l'abominable IWF). Personellement j'aurai tendance a dire non, merci, mais malhereusement ce n'est pas moi qui decide. Je prefere un systeme ou c'est moi qui peut mettre mes filtres (via flowspec ou peu importe quel autre systeme) sur le traffic qui m'est addresse chez mes upstreams. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier cont...@ambroiseterrier.fr said: Si l'on se base que sur des rapports venant de l'ANSSI, de l'office de lutte contre la cybercriminalité ainsi que d'organisme de ce genre, les faux positifs seront quasi néant, surtout si on met en place le filtre de la modération des admins indépendants. En sécurité, on m'a toujours appris qu'il faut mieux couper et analyser ensuite que de laisser faire. Cote business, c'est plus souvent le contraire (qu'on aime ou pas). Si l'état veut faire une liste de ce type sous surveillance d'un (véritable) comité de surveillance (composé d'admin indépendants), on ne pourrait que les encourager à le faire surtout lorsque l'on voit le nombre grandissant de site vérolé. J'ai quand-meme un probleme a mettre au meme endroit des vrais gens independants et une entite etatique. Il me semble qu'un des independants preferes du gouvernement c'est Michel Riguidel... Quelque-chose totalement independant (sans intervention etatique), pourquoi pas. Mais je suppose que si ca n'existe pas encore, il doit y avoir un raison economique (trop cher a faire vivre ou manque d'interet). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Question con mais qui maintient la liste des bogons chez Cymru ? Pour ce qui est du je préfère gérer ma liste moi meme, c'est a la fois légitime et pas incompatible. On peut tout a fait imaginer un système d'alertes / sentinelle maintenu par la communaute, voire sponsorise par un gros (Google, Facebook, what else), que l'on peut contredire ou compléter par ses propres liste internes. En fait c'est ce qu'on fait deja sur d'autres sujet ... comme les annonces bgp, si on est pas manchot. D'ailleurs le fait meme qu'on en discute ici montre que le sujet est communautaire. Ceci etant dit, j'observe qu'il y a quelques années un honeypot / honeynet maintenu par la communauté tournait, et que ca n'a plus le clair d'etre le cas actuellement. Conclusion : 1) le sujet est persistant et est un sujet de fond 2) c'est pas évident a maintenir dans la durée (d'ou l'importance d'un sponsor, ca peut aider). A+ Le 27 déc. 2011 12:06, Damien Fleuriot m...@my.gd a écrit : On 12/27/11 12:10 AM, Guillaume Barrot wrote: - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Et cette liste serait maintenue par qui ? On va se retrouver avec une instance politique chargée de maintenir cette liste, ce qui amènera forcément à un système de censure arbitraire et des abus :/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Bonjour, Le 26/12/2011 12:27, Damien Fleuriot a écrit : On 12/26/11 12:04 PM, Charles Delorme wrote: Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel (213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. S'agissant d'UDP les IPs source sont très probablement spoofées. Question naïve: on peut spoofer des IP sources si facilement? L'attaque dont il est ici question est une attaque DDOS, donc très probablement envoyée depuis de multiples machines compromises. Naïvement, je pensais que la quasi-totalité des ISP bloquaient sur leur réseau les paquets dont l'IP source ne correspond pas à celle de l'abonné. Même pour l'UDP. Ils ne le font pas? Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Bonjour, bien sur, vu qu'il n'y a pas de 3-Way handshake sur l'UDP, il suffit que le(s) routeur(s) situé du côté de l'attaquant relaient les paquets avec IP sources spoofées pour qu'ils arrivent sur le serveur de destination. Si le serveur utilise des services en UDP (eg DNS), il va même traiter la requête et renvoyer une réponse. Dans le cas du thread du jour, le 80/UDP sera a priori dropé par le premier firewall venu. Matthieu 2011/12/26 Rémi Bouhl remibo...@gmail.com Bonjour, Le 26/12/2011 12:27, Damien Fleuriot a écrit : On 12/26/11 12:04 PM, Charles Delorme wrote: Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel ( 213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. S'agissant d'UDP les IPs source sont très probablement spoofées. Question naïve: on peut spoofer des IP sources si facilement? L'attaque dont il est ici question est une attaque DDOS, donc très probablement envoyée depuis de multiples machines compromises. Naïvement, je pensais que la quasi-totalité des ISP bloquaient sur leur réseau les paquets dont l'IP source ne correspond pas à celle de l'abonné. Même pour l'UDP. Ils ne le font pas? Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Si seulement tous réseaux suivaient BCP 38 http://www.ietf.org/rfc/rfc2827.txt C'est comme le SPAM, si le filtrage a la source était bien fait, le monde serait meilleur. Thomas On 26 Dec 2011, at 16:04, Matthieu BOUTHORS wrote: Bonjour, bien sur, vu qu'il n'y a pas de 3-Way handshake sur l'UDP, il suffit que le(s) routeur(s) situé du côté de l'attaquant relaient les paquets avec IP sources spoofées pour qu'ils arrivent sur le serveur de destination. Si le serveur utilise des services en UDP (eg DNS), il va même traiter la requête et renvoyer une réponse. Dans le cas du thread du jour, le 80/UDP sera a priori dropé par le premier firewall venu. Matthieu 2011/12/26 Rémi Bouhl remibo...@gmail.com Bonjour, Le 26/12/2011 12:27, Damien Fleuriot a écrit : On 12/26/11 12:04 PM, Charles Delorme wrote: Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel ( 213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. S'agissant d'UDP les IPs source sont très probablement spoofées. Question naïve: on peut spoofer des IP sources si facilement? L'attaque dont il est ici question est une attaque DDOS, donc très probablement envoyée depuis de multiples machines compromises. Naïvement, je pensais que la quasi-totalité des ISP bloquaient sur leur réseau les paquets dont l'IP source ne correspond pas à celle de l'abonné. Même pour l'UDP. Ils ne le font pas? Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] [TECH] Spoof UDP
Sans doute pas tous. Unicast reverse path forwarding est dédié à cet effet et est principalement déployé chez les providers. Peut-être simplement que cela ne fait partie du template de conf type de certains grands ISP. De : Rémi Bouhl remibo...@gmail.com À : frnog-t...@frnog.org Envoyé le : Lundi 26 Décembre 2011 16h44 Objet : Re: [FRnOG] [TECH] Spoof UDP Bonjour, Le 26/12/2011 12:27, Damien Fleuriot a écrit : On 12/26/11 12:04 PM, Charles Delorme wrote: Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel (213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. S'agissant d'UDP les IPs source sont très probablement spoofées. Question naïve: on peut spoofer des IP sources si facilement? L'attaque dont il est ici question est une attaque DDOS, donc très probablement envoyée depuis de multiples machines compromises. Naïvement, je pensais que la quasi-totalité des ISP bloquaient sur leur réseau les paquets dont l'IP source ne correspond pas à celle de l'abonné. Même pour l'UDP. Ils ne le font pas? Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re : [FRnOG] [TECH] Spoof UDP
C'est tout à fait exact, la granularité du filtrage est le réseau source (on déploie ça au niveau du premier routeur). Sinon il faut faire de l'ip source guard. Après reste à voir l'exploitabilité de la solution. De : Pierre Emeriaud petrus...@gmail.com À : frnog-t...@frnog.org Cc : arbysu...@yahoo.fr Envoyé le : Lundi 26 Décembre 2011 17h46 Objet : Re: Re : [FRnOG] [TECH] Spoof UDP 2011/12/26 Surya ARBY arbysu...@yahoo.fr Unicast reverse path forwarding est dédié à cet effet et est principalement déployé chez les providers. corrigez-moi si je me trompe, mais pour moi urpf ne permet de bloquer le traffic en entrée uniquement si les @ ne sont pas routables par l'interface ingress. On peut donc très bien spoofer en prenant l'adresse ip du voisin dans le subnet / subnet voisin non ? Mon next hop est 1.1.1.1. j'ai pour @ip attribuée 1.1.1.3/24. Si j'envoie les paquets udp avec une source forgée à 1.1.1.4, ce n'est pas l'urpf sur 1.1.1.1 qui les empêchera de passer. Correct ? -Pierre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] [TECH] Spoof UDP
On 12/26/11 5:46 PM, Pierre Emeriaud wrote: 2011/12/26 Surya ARBY arbysu...@yahoo.fr Unicast reverse path forwarding est dédié à cet effet et est principalement déployé chez les providers. corrigez-moi si je me trompe, mais pour moi urpf ne permet de bloquer le traffic en entrée uniquement si les @ ne sont pas routables par l'interface ingress. On peut donc très bien spoofer en prenant l'adresse ip du voisin dans le subnet / subnet voisin non ? Mon next hop est 1.1.1.1. j'ai pour @ip attribuée 1.1.1.3/24. Si j'envoie les paquets udp avec une source forgée à 1.1.1.4, ce n'est pas l'urpf sur 1.1.1.1 qui les empêchera de passer. Correct ? -Pierre. Correct, mais ça permet d'écrémer très fortement quand même ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Correct, URPF devrait surtout etre configure sur les connections des clients (DSL, etc.) Il y a des cas ou cela casse le traffic (pour des cas legitimes pour des configurations non-triviales). L'avoir sur les liens EBGP ne permet pas de se proteger aussi bien, comme tu le remarques, mais c'est mieux que rien. Thomas On 26 Dec 2011, at 16:46, Pierre Emeriaud wrote: 2011/12/26 Surya ARBY arbysu...@yahoo.fr Unicast reverse path forwarding est dédié à cet effet et est principalement déployé chez les providers. corrigez-moi si je me trompe, mais pour moi urpf ne permet de bloquer le traffic en entrée uniquement si les @ ne sont pas routables par l'interface ingress. On peut donc très bien spoofer en prenant l'adresse ip du voisin dans le subnet / subnet voisin non ? Mon next hop est 1.1.1.1. j'ai pour @ip attribuée 1.1.1.3/24. Si j'envoie les paquets udp avec une source forgée à 1.1.1.4, ce n'est pas l'urpf sur 1.1.1.1 qui les empêchera de passer. Correct ? -Pierre. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re : [FRnOG] [TECH] Spoof UDP
Les operateurs ont des solutions du type guard/detector ou arbor ou landcop en plus du B.H Une discussion avec les SOC permet de reduire impact Luc Billot Envoyé de mon iPhone Le 26 déc. 2011 à 11:52, Surya ARBY arbysu...@yahoo.fr a écrit : C'est tout à fait exact, la granularité du filtrage est le réseau source (on déploie ça au niveau du premier routeur). Sinon il faut faire de l'ip source guard. Après reste à voir l'exploitabilité de la solution. De : Pierre Emeriaud petrus...@gmail.com À : frnog-t...@frnog.org Cc : arbysu...@yahoo.fr Envoyé le : Lundi 26 Décembre 2011 17h46 Objet : Re: Re : [FRnOG] [TECH] Spoof UDP 2011/12/26 Surya ARBY arbysu...@yahoo.fr Unicast reverse path forwarding est dédié à cet effet et est principalement déployé chez les providers. corrigez-moi si je me trompe, mais pour moi urpf ne permet de bloquer le traffic en entrée uniquement si les @ ne sont pas routables par l'interface ingress. On peut donc très bien spoofer en prenant l'adresse ip du voisin dans le subnet / subnet voisin non ? Mon next hop est 1.1.1.1. j'ai pour @ip attribuée 1.1.1.3/24. Si j'envoie les paquets udp avec une source forgée à 1.1.1.4, ce n'est pas l'urpf sur 1.1.1.1 qui les empêchera de passer. Correct ? -Pierre. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
On Mon, 26 Dec 2011 16:44:12 +0100, Rémi Bouhl remibo...@gmail.com said: Question naïve: on peut spoofer des IP sources si facilement? Oui. surtout quand tu est le mechant motive... Naïvement, je pensais que la quasi-totalité des ISP bloquaient sur leur réseau les paquets dont l'IP source ne correspond pas à celle de l'abonné. Même pour l'UDP. Ils ne le font pas? Pas trop. Si la securite est trop belle sur papier, dans la vie reele elle entre parfois en collision frontale avec autres choses comme la simplicite ou la disponibilite. En plus, avec un bot-net sur des postes residentiels, meme pas besoin de spoofing : il y a la diversite naturelle. Imagine 1 million de drones (chaque sur un IP different) qui crache chacune 10 Kbps (= rien). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Imagine 1 million de drones (chaque sur un IP different) qui crache chacune 10 Kbps (= rien) 1 million de postes hautement previsibles, qui en meme temps vont sur la meme destination avec le meme protocole ? Le marketing a un nom pour ca : des clients (et des bons mêmes, qui obéissent aux sacro saintes lois du marketing : dans une case tu rentreras) Pour revenir au coeur du sujet, il fut un temps ou les bons sys res montaient un peer bgp avec un Cymru like pour récupérer une liste de bogons et filtrer les annonces BGP et ou filtrer les paquets entrant sur le backbone qui en source matchent cette liste. Pour ce genre d'attaque, deux cas possibles : - la source fait partie des bogons -- poubelle - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Sinon, aux xxNog de prendre le lead sur ce sujet, comme c'est le cas maintenant, mais peut etre via un système plus rapide que le mail sur la mailing list. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
