Hello tous
certaines infrastructures doivent prendre très chère avec les amplifications
NTP en cours !
a+
Thierry
---
Liste de diffusion du FRnOG
http://www.frnog.org/
COLT en souffre sur Paris depuis qq jours.
--
David Ramahefason
Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit:
Hello tous
certaines infrastructures doivent prendre très chère avec les amplifications
NTP en cours !
a+
Thierry
---
Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert
par erreur a été utilisé pour de l'amplification, c'était effectivement
assez visible en volume sortant chez nous et plutôt agressif.
Sans Netflow on ne l'aurait surement pas vu avant un moment...
Ecritel y'a une semaine,
Sans compter les Juniper dont le client ntp fait aussi spontanément serveur
alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens
parfaitement adaptés à relayer du DDoS.
http://www.gossamer-threads.com/lists/nsp/juniper/49151
Quelle blague.
Le 1 févr. 2014 à 15:16,
SRSLY ?
Non, mais franchement, les mecs qui développent le software sur les
équipements réseau (quel que soient les constructeurs), est-ce qu'ils
imaginent/réalisent que leur code est vraiment utilisé dans autre chose
que des lab ?
On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote:
Nan,
Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur
leurs routeurs comment dire :)
Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout
bloquer sur la loopback !
Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu
Pour Juniper :
set policy-options prefix-list ipv4-ntp-sources apply-path system ntp server
*”
extrait de conf à appliquer sur la loopback :
set firewall family inet filter protect-routing-engine term ntp from
source-prefix-list ipv4-ntp-sources
set firewall family inet filter
Le 1 février 2014 18:18, Raphael Maunier raph...@maunier.net a écrit :
Mais si les mecs mettent pas par défaut les bonnes règles d'ingénierie sur
leurs routeurs comment dire :)
Dans d'autres circonstances ont t'aurait entendu dire que le constructeur X
ou Y est naze d'activer des services
On va dire ça, si ça te rend heureux
On 01 Feb 2014, at 20:07, Sidney Boumendil sidney.boumen...@gmail.com wrote:
Le 1 février 2014 18:18, Raphael Maunier raph...@maunier.net a écrit :
Mais si les mecs mettent pas par défaut les bonnes règles d'ingénierie sur
leurs routeurs comment dire
Bonjour la liste,
Je ne sais pas si c'est tout à fait l'endroit, mais je me lance : Je me
casse les dents sur un petit soucis de config de PF en IPv6.
Le but est de router les paquets sur deux passerelles différentes en
fonction de leur classification : TOS en IPv4 et Traffic class en IPv6.
En
On Sat, 01 Feb 2014 20:45:23 +0100,
Christophe t...@stuxnet.org wrote:
Bonjour la liste,
Je ne sais pas si c'est tout à fait l'endroit
Si j'étais toi, je tenterais plus ma chance sur m...@openbsd.org (en
anglais, bien sûr).
[snip]
A préciser qu'il s'agit de la version 4.8 d'OpenBSD.
Et
On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote:
Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie
sur leurs routeurs comment dire :)
Tu parles de mecs de Juniper je suppose. Parce qu'activer le client et
avoir en cadeau le serveur comment dire ..
Surtout sur
On 01 Feb 2014, at 22:02, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net
wrote:
On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote:
Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse
et tu l’utilise direct.
Si on devait avoir des voitures comme les routeurs,
On 01 Feb 2014, at 21:47, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net
wrote:
On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote:
Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie
sur leurs routeurs comment dire :)
Tu parles de mecs de Juniper je suppose.
Le 2/1/14 10:15 PM, Raphael Maunier a écrit :
On 01 Feb 2014, at 22:02, Radu-Adrian Feurdean
fr...@radu-adrian.feurdean.net wrote:
On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote:
Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse
et tu l’utilise direct.
Si on
tl;dr : non, mais ça devrait être possible facilement.
Christophe t...@stuxnet.org writes:
Bonjour la liste,
Je ne sais pas si c'est tout à fait l'endroit, mais je me lance : Je me
casse les dents sur un petit soucis de config de PF en IPv6.
Pour faire écho à Vigdis, m...@openbsd.org est
16 matches
Mail list logo