Refuznikster a écrit:
Parce que mine de rien, lorsque je prends mes listes d'attaques
(dont celle de ce mois-ci) je vois la provenance des ip des
postes corrompus c'est pour la plupart du poste sans ip fixe :
italie, brésil, pologne, chine, roumanie et russie, ah si j'ai
aussi un suisse.
Le 27/12/2011 14:41, raphael.dur...@ultrawaves.net a écrit :
On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier wrote:
En sécurité, on m'a
toujours appris qu'il faut mieux couper et analyser ensuite que de
laisser faire.
Si l'état veut faire une liste de ce type sous surveillance d'un
On 12/27/11 12:10 AM, Guillaume Barrot wrote:
- la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos
amis de la lutte contre la cybercriminalite de maintenir ce genre de listes
d'attaques en cours, et de synchroniser les actions de contre mesures via
un système type
On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier wrote:
En sécurité, on m'a
toujours appris qu'il faut mieux couper et analyser ensuite que de
laisser faire.
Si l'état veut faire une liste de ce type sous surveillance d'un
(véritable) comité de surveillance (composé d'admin indépendants),
- la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos
amis de la lutte contre la cybercriminalite de maintenir ce genre de listes
d'attaques en cours, et de synchroniser les actions de contre mesures via
un système type flowspec (qui nous a gentillement été présente au
Et cette liste serait maintenue par qui ?
Bonne question avec seulement de mauvaise réponses comme options.
Thomas
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Le mardi 27 décembre 2011 13:03:57, Damien Fleuriot a écrit :
On 12/27/11 1:00 PM, Ambroise Terrier wrote:
Le 27/12/2011 12:05, Damien Fleuriot a écrit :
On 12/27/11 12:10 AM, Guillaume Barrot wrote:
- la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos
amis de la lutte
On 12/27/11 2:29 PM, Radu-Adrian Feurdean wrote:
On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier
cont...@ambroiseterrier.fr said:
Si l'on se base que sur des rapports venant de l'ANSSI, de l'office de
lutte contre la cybercriminalité ainsi que d'organisme de ce genre, les
faux
On 12/27/11 1:00 PM, Ambroise Terrier wrote:
Le 27/12/2011 12:05, Damien Fleuriot a écrit :
On 12/27/11 12:10 AM, Guillaume Barrot wrote:
- la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos
amis de la lutte contre la cybercriminalite de maintenir ce genre de
listes
Le 27/12/2011 12:05, Damien Fleuriot a écrit :
On 12/27/11 12:10 AM, Guillaume Barrot wrote:
- la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos
amis de la lutte contre la cybercriminalite de maintenir ce genre de listes
d'attaques en cours, et de synchroniser les actions
On Tue, 27 Dec 2011 00:10:28 +0100, Guillaume Barrot
guillaume.bar...@gmail.com said:
Imagine 1 million de drones (chaque sur un IP different) qui crache
chacune 10 Kbps (= rien)
1 million de postes hautement previsibles, qui en meme temps vont sur la
meme destination avec le meme
On Tue, 27 Dec 2011 13:42:17 +0100, Ambroise Terrier
cont...@ambroiseterrier.fr said:
Si l'on se base que sur des rapports venant de l'ANSSI, de l'office de
lutte contre la cybercriminalité ainsi que d'organisme de ce genre, les
faux positifs seront quasi néant, surtout si on met en place
Question con mais qui maintient la liste des bogons chez Cymru ?
Pour ce qui est du je préfère gérer ma liste moi meme, c'est a la fois
légitime et pas incompatible.
On peut tout a fait imaginer un système d'alertes / sentinelle maintenu par
la communaute, voire sponsorise par un gros (Google,
Bonjour,
Le 26/12/2011 12:27, Damien Fleuriot a écrit :
On 12/26/11 12:04 PM, Charles Delorme wrote:
Bonjour,
Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de
service depuis dimanche matin 7h heure locale. La très grosse majorité des
paquets est en udp/80 à
Bonjour,
bien sur, vu qu'il n'y a pas de 3-Way handshake sur l'UDP, il suffit que
le(s) routeur(s) situé du côté de l'attaquant relaient les paquets avec IP
sources spoofées pour qu'ils arrivent sur le serveur de destination. Si le
serveur utilise des services en UDP (eg DNS), il va même traiter
Si seulement tous réseaux suivaient BCP 38
http://www.ietf.org/rfc/rfc2827.txt
C'est comme le SPAM, si le filtrage a la source était bien fait, le monde
serait meilleur.
Thomas
On 26 Dec 2011, at 16:04, Matthieu BOUTHORS wrote:
Bonjour,
bien sur, vu qu'il n'y a pas de 3-Way handshake sur
À : frnog-t...@frnog.org
Envoyé le : Lundi 26 Décembre 2011 16h44
Objet : Re: [FRnOG] [TECH] Spoof UDP
Bonjour,
Le 26/12/2011 12:27, Damien Fleuriot a écrit :
On 12/26/11 12:04 PM, Charles Delorme wrote:
Bonjour,
Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de
: frnog-t...@frnog.org
Cc : arbysu...@yahoo.fr
Envoyé le : Lundi 26 Décembre 2011 17h46
Objet : Re: Re : [FRnOG] [TECH] Spoof UDP
2011/12/26 Surya ARBY arbysu...@yahoo.fr
Unicast reverse path forwarding est dédié à cet effet et est principalement
déployé chez les providers.
corrigez-moi si
On 12/26/11 5:46 PM, Pierre Emeriaud wrote:
2011/12/26 Surya ARBY arbysu...@yahoo.fr
Unicast reverse path forwarding est dédié à cet effet et est principalement
déployé chez les providers.
corrigez-moi si je me trompe, mais pour moi urpf ne permet de bloquer
le traffic en entrée
Correct, URPF devrait surtout etre configure sur les connections des clients
(DSL, etc.)
Il y a des cas ou cela casse le traffic (pour des cas legitimes pour des
configurations non-triviales).
L'avoir sur les liens EBGP ne permet pas de se proteger aussi bien, comme tu le
remarques, mais c'est
...@yahoo.fr
Envoyé le : Lundi 26 Décembre 2011 17h46
Objet : Re: Re : [FRnOG] [TECH] Spoof UDP
2011/12/26 Surya ARBY arbysu...@yahoo.fr
Unicast reverse path forwarding est dédié à cet effet et est principalement
déployé chez les providers.
corrigez-moi si je me trompe, mais pour moi urpf ne
On Mon, 26 Dec 2011 16:44:12 +0100, Rémi Bouhl remibo...@gmail.com
said:
Question naïve: on peut spoofer des IP sources si facilement?
Oui. surtout quand tu est le mechant motive...
Naïvement, je pensais que la quasi-totalité des ISP bloquaient sur leur
réseau les paquets dont l'IP source
Imagine 1 million de drones (chaque sur un IP different) qui crache
chacune 10 Kbps (= rien)
1 million de postes hautement previsibles, qui en meme temps vont sur la
meme destination avec le meme protocole ? Le marketing a un nom pour ca :
des clients (et des bons mêmes, qui obéissent aux sacro
23 matches
Mail list logo