Bonsoir à tous. Nous avons trouvé la cause du ban et enfin réussi à le faire disparaître. Il s'avère que l'un de nos serveurs, placé il y quelques temps directement face à un équipement opérateur et pour des tests de courte durée, avait été oublié et était resté en service... Fonctionnant comme Apache avec une conf "usine", et pas spécialement sécurisé, il a été détecté, probablement par un scan d'IP/ports, et ensuite utilisé comme reverse proxy.
Voici donc le résumé des actions menées pour identifier ce flux illégitime: 1. analyse des logs proxy et des volumes des flux capturés par les sondes: RAS en raison de l'énormité des données récoltées; 2. passage des flux en direct (hors proxy), afin de rendre les volumes sur les sondes plus significatifs pour analyse (affichage des IP réelles des clients); 3. modification des F5, pour envoyer l'ensemble des flux vers les IP Google via un seul lien opérateur, donc une seule IP publique; 4. blocage total (par FW) des flux LAN --> Internet à destination des ranges d'IP Google; 5. analyse des flux résiduels (plusieurs DMZ) encore transitant par les sondes. Ce n'est qu'à ce moment que les volumes de cette IP ont commencé se démarquer des autres, nous permettant leur identification. Le serveur a été arrêté, le ban a disparu environ entre 15 et 30 minutes après (probablement le temps que la levée du ban soit propagé à l'ensemble des srv Google. A notre décharge, apparemment l'utilisation du srv comme reverse proxy a eu une montée en charge plutôt progressive, ce qui explique que nous n'avons pu l’identifier qu'une fois que les volumes étaient devenus très importants. Il reste à mon avis souhaitable que le formulaire de contact soit amélioré et donne suite au moins à la transmission d'informations techniques plus détaillées. En tous cas, un grand merci à vous tous pour votre intérêt et vos conseils! Cdt, Guido Pellizzari -------- Forwarded Message -------- > From: Michel Py <mic...@arneill-py.sacramento.ca.us> > To: michel besnard <mic...@besnard.in>, Pellizzari > <cont...@pellizzari-web.org>, Wallace <wall...@morkitu.org> > Cc: frnog-t...@frnog.org > Subject: RE: [FRnOG] [TECH] Ban d'IP par Google > Date: Thu, 29 Aug 2013 20:59:42 -0700 > > > > michel besnard a écrit: > > as tu as activer le cache DNS et déclarer des VS DNS sur tes BIGIP ? > > D'ailleurs, j'avais une question de débutant à propos de F5: correctement > configuré, ça peut devenir un proxy DNS transparent (certains diraient > menteur), non? (je ne connais pas les produits F5 en détail). > > > >> Michel Py a écrit : > >> Ton problème est techniquement intéressant dans la mesure ou tu > >> pousses les limites de "combien de clients on peut mettre derrière 4 > >> IPs"; ceci étant dit, ton problème pue le cache DNS du proxy-server > >> qui n'a pas été réjuvéné correctement et ça fait au minimum 5 ans > >> que le monde entier connait le problème en question. Sois tu lis la > >> doc et les forums, soit tu paies en espèces sonnantes et trébuchantes > >> les gens qui le font. > > > Wallace a écrit: > > Je serais assez étonné de voir cela dans le sens où une grosse > > entreprise comme la SNCF utilise quelques (4/5 d'après les reverses > > que je vois arriver sur certains sites) proxy pour tout son surf. > > J'imagine mal imposer à des boites de changer leurs archis et de > > gaspiller des ipv4 pour réduire le nombre de requêtes par ip... > > Précisément: Il y a des gens qui mettent des milliers de PCs derrière un très > petit nombre d'IP publiques et ça marche parce qu'ils ont compris que le > load-balancing qui marche répartit les requêtes non pas seulement sur les IPs > source mais sur toutes les paires possibles entre source et destination, ce > qui demande un load-balancer intelligent. > > En d'autres termes: Avec 4 IP publiques en source (4 fournisseurs de transit) > et 5 IP publiques en destination (les 5 que Google retourne) il faut que le > load-balancer répartisse équitablement les requêtes non pas entre les 4 IP > sources, mais les 20 paires possibles. > > Michel. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
