Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Merci pour les explications ! Donc pour clarifier, on a un FAI avec son AS. Ce FAI, dans un IX annonce les routes vers ses IPs à d'autres AS de FAI locaux grâce à des accords de peering. Pour pouvoir annoncer lesdites routes à l'extérieur du pays, ce FAI a des accords de transit avec certaines sociétés. Il suffit donc de décider de ne pas annoncer les routes vers un préfixe aka un plage d'adresses IP au transitaire pour que lesdites IPs non annoncées soit joignables en théorie seulement par les FAI locaux ? ça ne pose pas de problème sur le fait que des IPs de personnes qui voulaient continuer à être joignables se retrouvent à l'intérieur du préfixe non annoncé ? Le 10/07/2014 04:55, Michel Py a écrit : Darkeox a écrit : J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Précision: ce n'est pas vers UNE IP précise, mais un préfixe. Dans ce cas, il semblerait que c'est un /23 soit un bloc de 512 adresses IP qu'ils ont arrêté d'annoncer. Le plus long qu'on peut oublier d'annoncer est un /24 (256 IPs). C'est un peu plus compliqué si le préfixe en question est inclus dans un préfixe plus court (ce qui les forcerait à annoncer les autres morceaux du préfixe court). Non seulement c'est possible, mais en plus le fait de ne pas annoncer un préfixe à l'ensemble du monde est le principe de base du peering entre FAIs. Dans un IX, les participants annoncent leur préfixes, reçoivent les préfixes des autres participants, mais ne les ré-annoncent pas au reste du monde. Annoncer les préfixes des autres participants au reste du monde (leur transit) serait désastreux: çà attirerait le trafic destiné aux autres participants de l'IX chez le FAI qui le ferait. Annoncer le préfixe de quelqu'un d'autre, c'est du transit, et çà se paie (sauf quand on est un vrai Tier-1 ;-) (contrairement au peering, qui est parfois/souvent gratuit). Si l'Internet Japonais fonctionne d'une manière similaire à l'Internet Français, les FAIs Japonais sont connectés entre eux dans un petit nombre d'IXs (généralement dans les grandes villes). Pour le FAI qui veut limiter la visibilité d'un préfixe à l'intérieur du Japon, c'est relativement simple: il suffit de l'annoncer avec no-export dans le petit nombre d'IXs Japonais (probablement à un petit nombre de route-servers), et pas à leur fournisseur de transit. Les participants dans les IXs Japonais recevront le préfixe, pas les autres. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
temptem...@gmail.com a écrit : ça ne pose pas de problème sur le fait que des IPs de personnes qui voulaient continuer à être joignables se retrouvent à l'intérieur du préfixe non annoncé ? David Ponzone a écrit : Si, surtout qu'un préfixe BGP, c'est /24 grand minimum. Dommage collatéral :) Une mitigation de DDOS, c'est rarement transparent ;-) Ceci étant dit, il y a bien des cas ou l'inconvénient peut être mineur, dépendant de l'usage. Par exemple, si les autres IPs fournissent du CDN pour le Japon, ça ne va pas les gêner. Pour répondre à cette question il faudrait avoir des tas de détails. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Oui, je peux faire cela mais je préfère attendre que les choses reviennent à la normale (si cela survient un jour). J'étais plus intrigué par l'aspect technique de la chose en fait. : ) Le 09/07/2014 09:32, Antoine Meillet a écrit : Solution possible pour toi : trouver un serveur VPN chez un provider qui reçoit toujours l'annonce (préférablement au Japon ?) Le 9 juillet 2014 02:10, Darkeox GMAIL temptem...@gmail.com a écrit : Ok, je crois qu'effectivement on est en face d'une situation où certains AS ne reçoivent tous simplement plus les annonces de routes de la part du FAI de SEGA. Merci à tous pour toutes ces informations ! Bonne soirée ! Le 09/07/2014 02:05, David Ponzone a écrit : Euh non, le routage d’un paquet dépend de chaque routeur intermédiaire qui reçoit la paquet. Ca serait un sacré boxon si chacun pouvait influer sur le routage d’un paquet :) Y aurait même d’Internet en fait :) Le seul moyen de contourner ça est de monter un tunnel avec un serveur au Japon. Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr blocked::http://www.ipeva.fr/ - www.ipeva-studio.com blocked::http://www.ipeva-studio.com/ /Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. /*/IPeva/*/ décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur./ / / Le 9 juil. 2014 à 02:00, Darkeox GMAIL temptem...@gmail.com mailto: temptem...@gmail.com a écrit : Est-il possible de spécifier statiquement une route à l'ordinateur afin qu'il puisse tout de même suivre son chemin par ses propres moyens sans se reposer sur les informations des routeurs en chemin ? Le 09/07/2014 01:41, Clement Cavadore a écrit : On Wed, 2014-07-09 at 01:33 +0200, Darkeox GMAIL wrote: D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Effectivement, la route n'est que partiellement annoncée sur internet. Si on consulte le route-server des ISP suivants: - Gblx - Tinet - Opentransit - Swisscom -- La route n'est plus joignable. Depuis mon réseau, je vois la route avec l'as-path suivant: 34997 6762 2516 17676 4694 4694 ... et le site est joignable. J'imagine que ca doit être partiellement blackholé, suite effectivement a des ddos (ou simplement par pure volonté)... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
oui oui, ils vont être super pressés de ré-ouvrir aux DDoS :) Le 9 juil. 2014 à 19:00, Darkeox GMAIL temptem...@gmail.com a écrit : Oui, je peux faire cela mais je préfère attendre que les choses reviennent à la normale (si cela survient un jour). J'étais plus intrigué par l'aspect technique de la chose en fait. : ) Le 09/07/2014 09:32, Antoine Meillet a écrit : Solution possible pour toi : trouver un serveur VPN chez un provider qui reçoit toujours l'annonce (préférablement au Japon ?) Le 9 juillet 2014 02:10, Darkeox GMAIL temptem...@gmail.com a écrit : Ok, je crois qu'effectivement on est en face d'une situation où certains AS ne reçoivent tous simplement plus les annonces de routes de la part du FAI de SEGA. Merci à tous pour toutes ces informations ! Bonne soirée ! Le 09/07/2014 02:05, David Ponzone a écrit : Euh non, le routage d’un paquet dépend de chaque routeur intermédiaire qui reçoit la paquet. Ca serait un sacré boxon si chacun pouvait influer sur le routage d’un paquet :) Y aurait même d’Internet en fait :) Le seul moyen de contourner ça est de monter un tunnel avec un serveur au Japon. Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr blocked::http://www.ipeva.fr/ - www.ipeva-studio.com blocked::http://www.ipeva-studio.com/ /Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. /*/IPeva/*/ décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur./ / / Le 9 juil. 2014 à 02:00, Darkeox GMAIL temptem...@gmail.com mailto: temptem...@gmail.com a écrit : Est-il possible de spécifier statiquement une route à l'ordinateur afin qu'il puisse tout de même suivre son chemin par ses propres moyens sans se reposer sur les informations des routeurs en chemin ? Le 09/07/2014 01:41, Clement Cavadore a écrit : On Wed, 2014-07-09 at 01:33 +0200, Darkeox GMAIL wrote: D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Effectivement, la route n'est que partiellement annoncée sur internet. Si on consulte le route-server des ISP suivants: - Gblx - Tinet - Opentransit - Swisscom -- La route n'est plus joignable. Depuis mon réseau, je vois la route avec l'as-path suivant: 34997 6762 2516 17676 4694 4694 ... et le site est joignable. J'imagine que ca doit être partiellement blackholé, suite effectivement a des ddos (ou simplement par pure volonté)... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Si l'attaque s'est terminée, pourquoi pas ? Le 09/07/2014 19:07, David Ponzone a écrit : oui oui, ils vont être super pressés de ré-ouvrir aux DDoS :) Le 9 juil. 2014 à 19:00, Darkeox GMAIL temptem...@gmail.com a écrit : Oui, je peux faire cela mais je préfère attendre que les choses reviennent à la normale (si cela survient un jour). J'étais plus intrigué par l'aspect technique de la chose en fait. : ) Le 09/07/2014 09:32, Antoine Meillet a écrit : Solution possible pour toi : trouver un serveur VPN chez un provider qui reçoit toujours l'annonce (préférablement au Japon ?) Le 9 juillet 2014 02:10, Darkeox GMAIL temptem...@gmail.com a écrit : Ok, je crois qu'effectivement on est en face d'une situation où certains AS ne reçoivent tous simplement plus les annonces de routes de la part du FAI de SEGA. Merci à tous pour toutes ces informations ! Bonne soirée ! Le 09/07/2014 02:05, David Ponzone a écrit : Euh non, le routage d’un paquet dépend de chaque routeur intermédiaire qui reçoit la paquet. Ca serait un sacré boxon si chacun pouvait influer sur le routage d’un paquet :) Y aurait même d’Internet en fait :) Le seul moyen de contourner ça est de monter un tunnel avec un serveur au Japon. Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr blocked::http://www.ipeva.fr/ - www.ipeva-studio.com blocked::http://www.ipeva-studio.com/ /Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. /*/IPeva/*/ décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur./ / / Le 9 juil. 2014 à 02:00, Darkeox GMAIL temptem...@gmail.com mailto: temptem...@gmail.com a écrit : Est-il possible de spécifier statiquement une route à l'ordinateur afin qu'il puisse tout de même suivre son chemin par ses propres moyens sans se reposer sur les informations des routeurs en chemin ? Le 09/07/2014 01:41, Clement Cavadore a écrit : On Wed, 2014-07-09 at 01:33 +0200, Darkeox GMAIL wrote: D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Effectivement, la route n'est que partiellement annoncée sur internet. Si on consulte le route-server des ISP suivants: - Gblx - Tinet - Opentransit - Swisscom -- La route n'est plus joignable. Depuis mon réseau, je vois la route avec l'as-path suivant: 34997 6762 2516 17676 4694 4694 ... et le site est joignable. J'imagine que ca doit être partiellement blackholé, suite effectivement a des ddos (ou simplement par pure volonté)... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Parce que le jeu ne devait pas être ouvert en dehors du Japon au départ, et vu les emmerdes que ça leur a attiré d’autoriser le reste du monde :) Le 9 juil. 2014 à 22:34, GMAIL temptem...@gmail.com a écrit : Si l'attaque s'est terminée, pourquoi pas ? Le 09/07/2014 19:07, David Ponzone a écrit : oui oui, ils vont être super pressés de ré-ouvrir aux DDoS :) Le 9 juil. 2014 à 19:00, Darkeox GMAIL temptem...@gmail.com a écrit : Oui, je peux faire cela mais je préfère attendre que les choses reviennent à la normale (si cela survient un jour). J'étais plus intrigué par l'aspect technique de la chose en fait. : ) Le 09/07/2014 09:32, Antoine Meillet a écrit : Solution possible pour toi : trouver un serveur VPN chez un provider qui reçoit toujours l'annonce (préférablement au Japon ?) Le 9 juillet 2014 02:10, Darkeox GMAIL temptem...@gmail.com a écrit : Ok, je crois qu'effectivement on est en face d'une situation où certains AS ne reçoivent tous simplement plus les annonces de routes de la part du FAI de SEGA. Merci à tous pour toutes ces informations ! Bonne soirée ! Le 09/07/2014 02:05, David Ponzone a écrit : Euh non, le routage d’un paquet dépend de chaque routeur intermédiaire qui reçoit la paquet. Ca serait un sacré boxon si chacun pouvait influer sur le routage d’un paquet :) Y aurait même d’Internet en fait :) Le seul moyen de contourner ça est de monter un tunnel avec un serveur au Japon. Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr blocked::http://www.ipeva.fr/ - www.ipeva-studio.com blocked::http://www.ipeva-studio.com/ /Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. /*/IPeva/*/ décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur./ / / Le 9 juil. 2014 à 02:00, Darkeox GMAIL temptem...@gmail.com mailto: temptem...@gmail.com a écrit : Est-il possible de spécifier statiquement une route à l'ordinateur afin qu'il puisse tout de même suivre son chemin par ses propres moyens sans se reposer sur les informations des routeurs en chemin ? Le 09/07/2014 01:41, Clement Cavadore a écrit : On Wed, 2014-07-09 at 01:33 +0200, Darkeox GMAIL wrote: D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Effectivement, la route n'est que partiellement annoncée sur internet. Si on consulte le route-server des ISP suivants: - Gblx - Tinet - Opentransit - Swisscom -- La route n'est plus joignable. Depuis mon réseau, je vois la route avec l'as-path suivant: 34997 6762 2516 17676 4694 4694 ... et le site est joignable. J'imagine que ca doit être partiellement blackholé, suite effectivement a des ddos (ou simplement par pure volonté)... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Je dirai plutôt les revenus mais chacun son avis ! ;) Le 09/07/2014 22:36, David Ponzone a écrit : Parce que le jeu ne devait pas être ouvert en dehors du Japon au départ, et vu les emmerdes que ça leur a attiré d’autoriser le reste du monde :) Le 9 juil. 2014 à 22:34, GMAIL temptem...@gmail.com a écrit : Si l'attaque s'est terminée, pourquoi pas ? Le 09/07/2014 19:07, David Ponzone a écrit : oui oui, ils vont être super pressés de ré-ouvrir aux DDoS :) Le 9 juil. 2014 à 19:00, Darkeox GMAIL temptem...@gmail.com a écrit : Oui, je peux faire cela mais je préfère attendre que les choses reviennent à la normale (si cela survient un jour). J'étais plus intrigué par l'aspect technique de la chose en fait. : ) Le 09/07/2014 09:32, Antoine Meillet a écrit : Solution possible pour toi : trouver un serveur VPN chez un provider qui reçoit toujours l'annonce (préférablement au Japon ?) Le 9 juillet 2014 02:10, Darkeox GMAIL temptem...@gmail.com a écrit : Ok, je crois qu'effectivement on est en face d'une situation où certains AS ne reçoivent tous simplement plus les annonces de routes de la part du FAI de SEGA. Merci à tous pour toutes ces informations ! Bonne soirée ! Le 09/07/2014 02:05, David Ponzone a écrit : Euh non, le routage d’un paquet dépend de chaque routeur intermédiaire qui reçoit la paquet. Ca serait un sacré boxon si chacun pouvait influer sur le routage d’un paquet :) Y aurait même d’Internet en fait :) Le seul moyen de contourner ça est de monter un tunnel avec un serveur au Japon. Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr blocked::http://www.ipeva.fr/ - www.ipeva-studio.com blocked::http://www.ipeva-studio.com/ /Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. /*/IPeva/*/ décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur./ / / Le 9 juil. 2014 à 02:00, Darkeox GMAIL temptem...@gmail.com mailto: temptem...@gmail.com a écrit : Est-il possible de spécifier statiquement une route à l'ordinateur afin qu'il puisse tout de même suivre son chemin par ses propres moyens sans se reposer sur les informations des routeurs en chemin ? Le 09/07/2014 01:41, Clement Cavadore a écrit : On Wed, 2014-07-09 at 01:33 +0200, Darkeox GMAIL wrote: D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Effectivement, la route n'est que partiellement annoncée sur internet. Si on consulte le route-server des ISP suivants: - Gblx - Tinet - Opentransit - Swisscom -- La route n'est plus joignable. Depuis mon réseau, je vois la route avec l'as-path suivant: 34997 6762 2516 17676 4694 4694 ... et le site est joignable. J'imagine que ca doit être partiellement blackholé, suite effectivement a des ddos (ou simplement par pure volonté)... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Bonjour, Il me semble tout bêtement que l'AS qui gère ce réseau ait arrêté d'annoncer ce préfixe à une grande partie du monde. Depuis la looking glass HE.net, je vois le prefixe annoncé, mais depuis chez NeoTelecoms ou Cogent par exemple, le prefixe n'est pas présent (210.189.208.0/23). Du coup, le trafic est bloqué au sein du FAI que tu utilise: il ne sait juste pas où router les paquets, alors ils sont droppés. my 0.02€. -- Aurélien Guillaume 2014-07-09 0:33 GMT+02:00 Darkeox GMAIL temptem...@gmail.com: Bonjour, Je me doute que le sujet n'en intéressera pas beaucoup ici, mais je vais tout de même poser ma question. Les serveurs du jeu en ligne Phantasy Star Online 2 (PSO 2 pour les intimes) ont été il y a 2-3 semaines de cela victime d'une attaque DDOS. Dans ce apparaît comme une tentative de mitiger l'attaque, il apparaît qu'un certain nombre d'hôtes résidant hors du Japon ont été par un moyen ou par un autre empêché de se connecter au jeu. Je tiens ici à souligner que la présence de joueurs possédant des IPs non japonaises n'étaient que tolérée sur le jeu, les Conditions d'Utilisations spécifiant explicitement que le service n'était assuré que pour les joueurs japonais. Il n'y avait pas de mesure technique active repoussant toute tentative de connexion non locale (du point de vue de SEGA, la compagnie opérant le service). Je ne revendique donc pas ici droit de jouer, mais cherche simplement à comprendre. Une chose qui m'intrigue dans cette histoire, ainsi que beaucoup d'autres joueurs à travers le monde est l'incapacité quasi-simultanée semble-t-il de centaines de joueurs à travers le monde et dépendant de FAI différents de se connecter aux serveurs du jeu et même à son site internet officiel. Certains ont d'abord évoqués un IP BAN. Je ne prétendrai pas expliquer ici ce que ce terme signifie. Mais malgré nos maigres connaissances techniques, cette hypothèse nous est vite apparue comme étant peu probable. Voyez plutôt : sudo tracepath pso2.jp [sudo] password for darkeox: 1?: [LOCALHOST] pmtu 1500 1: 192.168.0.254 13.975ms 1: 192.168.0.254 13.890ms 2: 82.234.254.254 42.418ms 3: rouen-6k-1-a5.routers.proxad.net 42.798ms 4: p11-crs16-1-be1014.intf.routers.proxad.net 45.869ms 5: no reply 6: no reply 7: no reply 8: no reply 9: no reply 10: no reply 11: no reply 12: no reply 13: no reply 14: no reply 15: no reply 16: no reply 17: no reply 18: no reply 19: no reply 20: no reply 21: no reply 22: no reply 23: no reply 24: no reply 25: no reply 26: no reply 27: no reply 28: no reply 29: no reply 30: no reply Too many hops: pmtu 1500 Resume: pmtu 1500 ou encore : traceroute --resolve-hostnames pso2.jp traceroute to pso2.jp (210.189.209.8), 64 hops max 1 192.168.0.254 (192.168.0.254) 4,035ms 5,549ms 3,987ms 2 82.234.254.254 (82.234.254.254) 38,928ms 22,516ms 20,715ms 3 213.228.11.62 (rouen-6k-1-a5.routers.proxad.net) 20,903ms 20,493ms 21,386ms 4 194.149.161.149 (p11-crs16-1-be1014.intf.routers.proxad.net) 24,453ms 22,426ms 23,181ms 5 * * * 6 * * * 7 * * * 8 * * * 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 * * * 17 * * * 18 * * * 19 * * * 20 * * * 21 * * * 22 * * * 23 * * * 24 * * * 25 * * * 26 * * * 27 * * * 28 * * * 29 * * * 30 * * * Ces résultats sont les même qu'on obtenu plusieurs confrères joueurs à travers le monde, d'Europe en Amérique du Sud en passant par les États-Unis. Il s'avère que les paquets ne quittent même pas le réseau de notre FAI dans la plupart des cas. Or, bien que n'étant point des professionnels, nous avons tout de même conclu qu'un ban sur IP n'était certainement pas le problème, car dans ce cas, nous atteindrions au moins les serveurs distants mais serions rejetés par ces derniers. Des cas ont même été observés où des abonnés d'un FAI bénéficiant d'une certaine offre et n'étant apparemment pas sur le même sous-réseau interne que des abonnés classiques du même FAI, pouvaient se connecter quand les seconds ne sortaient pas du réseau dudit FAI. Nous nous sommes alors tourné vers l'hypothèse suivante : SEGA aura demandé à différents FAI à travers le monde de bloquer le trafic vers les serveurs de PSO2 afin de rétablir le service et décourager les attaquants. Cependant, la coupure de l'accès a été si simultanée et si bien répartie à travers le monde que nous nous sommes demandé à quel point il était plausiblement concevable qu'un tel nombre de FAI à travers le monde réagissent de la même manière au même moment, et avons conclus que cela non plus n'était pas possible, bien le fond de la proposition restât recevable. Et c'est bien ici que je m'en remets à votre expertise et si possible
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Voici un traceroute d'un serveur chez ONLINE : traceroute pso2.jp traceroute to pso2.jp (210.189.209.8), 30 hops max, 60 byte packets 1 195-154-13-1.rev.poneytelecom.eu (195.154.13.1) 0.873 ms 0.953 ms 1.296 ms 2 195.154.1.56 (195.154.1.56) 1.095 ms 1.427 ms 1.464 ms 3 * * * 4 * * prs-bb1-link.telia.net (213.155.131.0) 1.128 ms 5 * * * 6 * * * 7 * * * 8 * * * 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 * * * 17 * * * 18 * * * 19 * * * 20 * * * 21 * * * 22 * * * 23 * * * 24 * * * 25 * * * 26 * * * 27 * * * 28 * * * 29 * * * 30 * * * Un client ATT en Californie : 1 myself 2 99-45-168-2.lightspeed.sntcca.sbcglobal.net [99.45.168.2] 3 Request timed out. ... 30 Request timed out. Un joueur à partir du Mexique : 1 1 ms 1 ms 1 ms ptr1.dimenoc.com [201.151.147.1] 2 1 ms 1 ms 1 ms customer-GDL-254-5.megared.net.mx [187.247.254.5] 3 34 ms 34 ms 34 ms 10.3.0.1 [10.3.0.1] 4 35 ms 35 ms 34 ms 201-174-24-213.transtelco.net [201.174.24.213] 5 * * * Timeout 25 * * * Timeout Un autre du Canada : 1 1 ms 1 ms 1 ms 66.199.175.25 [66.199.175.25] 2 4 ms 1 ms 1 ms 64.69.82.233 [64.69.82.233] 3 1 ms 1 ms 1 ms 216.187.89.90 [216.187.89.90] 4 * * * Timeout 25 * * * Timeout Le 09/07/2014 00:50, Eric ROLLAND a écrit : Bonjour, Ca sort pas des CRS de chez Free ???! Etonnant ;-) Même constat avec un autre FAI ? Idem depuis un petit serveur de chez OVH ? Cordialement, Eric ROLLAND AS42929 - RE515-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 Info réseau : @AS42929 https://twitter.com/AS42929 - NOC Artewan https://noc.artewan.net/ *artefact *Communication Interactive www.artefact.fr http://www.artefact.fr *artewan* Opérateur de réseaux et de services www.artewan.fr http://www.artewan.fr*arteone* Datacenter, Informatique Services IT www.arteone.fr http://www.arteone.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Le 09/07/2014 00:55, Aurélien a écrit : Bonjour, Il me semble tout bêtement que l'AS qui gère ce réseau ait arrêté d'annoncer ce préfixe à une grande partie du monde. Depuis la looking glass HE.net, je vois le prefixe annoncé, mais depuis chez NeoTelecoms ou Cogent par exemple, le prefixe n'est pas présent (210.189.208.0/23). Du coup, le trafic est bloqué au sein du FAI que tu utilise: il ne sait juste pas où router les paquets, alors ils sont droppés. my 0.02€. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Oui c’est possible si les fournisseurs de transit de l’AS4694 ont les communautés BGP qui vont bien, leur permettant d’annoncer par exemple une route à Softbank en lui disant de ne pas la ré-annoncer à KDDI ni à aucun autre de ses propres transitaires. Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr - www.ipeva-studio.com Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. IPeva décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur. Le 9 juil. 2014 à 01:33, Darkeox GMAIL temptem...@gmail.com a écrit : D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Le 09/07/2014 00:55, Aurélien a écrit : Bonjour, Il me semble tout bêtement que l'AS qui gère ce réseau ait arrêté d'annoncer ce préfixe à une grande partie du monde. Depuis la looking glass HE.net, je vois le prefixe annoncé, mais depuis chez NeoTelecoms ou Cogent par exemple, le prefixe n'est pas présent (210.189.208.0/23). Du coup, le trafic est bloqué au sein du FAI que tu utilise: il ne sait juste pas où router les paquets, alors ils sont droppés. my 0.02€. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
On Wed, 2014-07-09 at 01:33 +0200, Darkeox GMAIL wrote: D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Effectivement, la route n'est que partiellement annoncée sur internet. Si on consulte le route-server des ISP suivants: - Gblx - Tinet - Opentransit - Swisscom -- La route n'est plus joignable. Depuis mon réseau, je vois la route avec l'as-path suivant: 34997 6762 2516 17676 4694 4694 ... et le site est joignable. J'imagine que ca doit être partiellement blackholé, suite effectivement a des ddos (ou simplement par pure volonté)... -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Est-il possible de spécifier statiquement une route à l'ordinateur afin qu'il puisse tout de même suivre son chemin par ses propres moyens sans se reposer sur les informations des routeurs en chemin ? Le 09/07/2014 01:41, Clement Cavadore a écrit : On Wed, 2014-07-09 at 01:33 +0200, Darkeox GMAIL wrote: D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Effectivement, la route n'est que partiellement annoncée sur internet. Si on consulte le route-server des ISP suivants: - Gblx - Tinet - Opentransit - Swisscom -- La route n'est plus joignable. Depuis mon réseau, je vois la route avec l'as-path suivant: 34997 6762 2516 17676 4694 4694 ... et le site est joignable. J'imagine que ca doit être partiellement blackholé, suite effectivement a des ddos (ou simplement par pure volonté)... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Euh non, le routage d’un paquet dépend de chaque routeur intermédiaire qui reçoit la paquet. Ca serait un sacré boxon si chacun pouvait influer sur le routage d’un paquet :) Y aurait même d’Internet en fait :) Le seul moyen de contourner ça est de monter un tunnel avec un serveur au Japon. Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr - www.ipeva-studio.com Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. IPeva décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur. Le 9 juil. 2014 à 02:00, Darkeox GMAIL temptem...@gmail.com a écrit : Est-il possible de spécifier statiquement une route à l'ordinateur afin qu'il puisse tout de même suivre son chemin par ses propres moyens sans se reposer sur les informations des routeurs en chemin ? Le 09/07/2014 01:41, Clement Cavadore a écrit : On Wed, 2014-07-09 at 01:33 +0200, Darkeox GMAIL wrote: D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Effectivement, la route n'est que partiellement annoncée sur internet. Si on consulte le route-server des ISP suivants: - Gblx - Tinet - Opentransit - Swisscom -- La route n'est plus joignable. Depuis mon réseau, je vois la route avec l'as-path suivant: 34997 6762 2516 17676 4694 4694 ... et le site est joignable. J'imagine que ca doit être partiellement blackholé, suite effectivement a des ddos (ou simplement par pure volonté)... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Incident DDOS sur serveurs japonais [TECH]
Ok, je crois qu'effectivement on est en face d'une situation où certains AS ne reçoivent tous simplement plus les annonces de routes de la part du FAI de SEGA. Merci à tous pour toutes ces informations ! Bonne soirée ! Le 09/07/2014 02:05, David Ponzone a écrit : Euh non, le routage d’un paquet dépend de chaque routeur intermédiaire qui reçoit la paquet. Ca serait un sacré boxon si chacun pouvait influer sur le routage d’un paquet :) Y aurait même d’Internet en fait :) Le seul moyen de contourner ça est de monter un tunnel avec un serveur au Japon. Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr blocked::http://www.ipeva.fr/ - www.ipeva-studio.com blocked::http://www.ipeva-studio.com/ /Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. /*/IPeva/*/ décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur./ / / Le 9 juil. 2014 à 02:00, Darkeox GMAIL temptem...@gmail.com mailto:temptem...@gmail.com a écrit : Est-il possible de spécifier statiquement une route à l'ordinateur afin qu'il puisse tout de même suivre son chemin par ses propres moyens sans se reposer sur les informations des routeurs en chemin ? Le 09/07/2014 01:41, Clement Cavadore a écrit : On Wed, 2014-07-09 at 01:33 +0200, Darkeox GMAIL wrote: D'accord. J'avais envisagé aussi un problème de route, mais comme SEGA ne possède pas son propre AS (leur FAI est Yahoo Japan), je ne savais pas si c'était possible pour un FAI d'arrêter l'annonce des routes vers une IP précise de son propre AS à un ensemble précis d'autres AS d'autres FAI dans le monde. Effectivement, la route n'est que partiellement annoncée sur internet. Si on consulte le route-server des ISP suivants: - Gblx - Tinet - Opentransit - Swisscom -- La route n'est plus joignable. Depuis mon réseau, je vois la route avec l'as-path suivant: 34997 6762 2516 17676 4694 4694 ... et le site est joignable. J'imagine que ca doit être partiellement blackholé, suite effectivement a des ddos (ou simplement par pure volonté)... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/