Re: [FRnOG] Attaques contre Twitter & Facebook

[Jérémy Martin]

Je vais peut être dire une connerie mais est ce que ça ne serait pas 
plus façile de moduler l'entrée au frontal avec un maximum de requêtes 
par secondes ?
Généralement, une iP affiche 1 ou 2, parfois jusqu'à 5 pages en même 
temps. Au delà, la requête est filtré voire blacklisté pendant x 
minutes. Comme le module cban permet de le faire sur Apache.
C'est ce que j'applique généralement sur mon réseau, ça marche plutôt 
bien, et je n'ai généralement qu'une seule plainte tous les 10 000 accès 
par des personnes qui veulent flooder la plupart du temps (donc la règle 
fonctionne).


Ca ne résoud pas le problème du tuyau, ça peut même engorger le CPU, 
mais ces deux points peuvent facilement être résolut.


Cordialement,
Jérémy Martin
Responsable Technique Freeheberg.com

Mail : j.mar...@freeheberg.com
Web : http://www.freeheberg.com



Sidney Boumendil a écrit :

2009/8/7 cra 

Bonjour.

Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer
les tuyaux, mais a aussi pour but de saturer les capacités de
processing de équipements en frontal, en particulier les Firewalls.

Une solution envisageable est de mettre avant le Firewall un
équipement dont le seul travail sera de fonctionner en tant que proxy
TCP transparent.
Le but est de ne pas forwarder de SYN vers le Firewall, d'envoyer un
SYN ACK au client et de ne forwarder l'ensemble que lorsque le ACK
final arrive.
Par conséquent, les équipements du reste du réseaux ne doivent plus
traiter que les sessions "légitimes".
Peut être faudrait il se poser la question de l'intérêt d'empiler des
équipements de "sécurité" s'il faut eux même les protéger.
Pourquoi pas un IPS qui protège le load balancer qui protège le
firewall qui protège le reverse proxy firewall applicatif qui protège
... (rajouter votre équipement favori) ... les serveurs ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/


  


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Attaques contre Twitter & Facebook

[Sidney Boumendil]

2009/8/7 cra 

Bonjour.

Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer
les tuyaux, mais a aussi pour but de saturer les capacités de
processing de équipements en frontal, en particulier les Firewalls.

Une solution envisageable est de mettre avant le Firewall un
équipement dont le seul travail sera de fonctionner en tant que proxy
TCP transparent.
Le but est de ne pas forwarder de SYN vers le Firewall, d'envoyer un
SYN ACK au client et de ne forwarder l'ensemble que lorsque le ACK
final arrive.
Par conséquent, les équipements du reste du réseaux ne doivent plus
traiter que les sessions "légitimes".
Peut être faudrait il se poser la question de l'intérêt d'empiler des
équipements de "sécurité" s'il faut eux même les protéger.
Pourquoi pas un IPS qui protège le load balancer qui protège le
firewall qui protège le reverse proxy firewall applicatif qui protège
... (rajouter votre équipement favori) ... les serveurs ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG] Generateur de trafic

[Cedric Polomack]

Bonsoir,
Merci a vous tous pour ces réponses. Je vais pouvoir tester et voir ce 
qui me convient le plus ;)

Un outils style Ixia ou Agilent en Free aurait été l'idéal :-)
Cédric




Steven Le Roux a écrit :

Et pour le web : apache bench ou inject (utilisé pour bencher haproxy
et dispo ici : http://1wt.eu/tools/inject/)

2009/8/8 Nicolas CARTRON :
  

Et pour le DNS et le DHCP, tu as DNSperf et DHCPerf de Nominum.

Le 7 août 2009 à 12:57, Nicolas MICHEL  a écrit :



Pour tester les perfs de ton reseau, tu peux utiliser iperf ou jperf (GUI)
. pour générer du traffic et tester des fw, il y a scapy qui s'appuie sûr
python.

Voilà ;)



Envoyé de mon iPhone

Le 7 août 09 à 10:52, Cedric Polomack  a écrit :

  

J'avais effectivement pas vu ce lien. Merci ;-)



Hélia Pouyllau a écrit :


Sur le site de D-ITG ... http://www.grid.unina.it/software/ITG/link.php

2009/8/7 marc celier mailto:marc.cel...@gmx.fr>>

 essaye IPERF


 http://iperf.sourceforge.net/



  

 - Message d'origine -

 De : Cedric Polomack

 Envoyés : 07.08.09 08:43

 À : Liste FRnoG

 Objet : [FRnOG] Generateur de trafic



 Bonjour,

 J'aimerai savoir si certain d'entre vous utilise des générateur de
 trafic. J'ai en effet besoin de tester des équipements réseaux et
 firewalls et aimerai donc simuler du trafic internet dans un
 environnement de lab. J'ai déjà trouvé D-ITG (Distributed Internet
 Traffic Generator) en connaitriez vous d'autres ?//

 /Cédric ///

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/





  

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

  

---
Liste de diffusion du FRnOG
http://www.frnog.org/







  


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Collecte IPADSL SFR/Neuf

[daren ferreira]

Bonjour,



Dans mon cas c'est de la collecte opérateur que je cherche, et, de ce
fait, je cherche les coordonnées de la division opérateur de SFR.

Si quelqu'un les as, je suis preneur ;)

Merci


Date: Sat, 8 Aug 2009 11:10:06 +0200
Subject: Re: [FRnOG] Collecte IPADSL SFR/Neuf
From: benjamin.praday...@gmail.com
To: darenc...@hotmail.com
CC: frnog@frnog.org

Bonjour,
 
SI je comprends bien votre besoin, il s'agit de collecte dans cadre de 
raccordement de site de votre entreprise.
L'offre entreprise de collecte ADSL s'appelle 9collecte. 
Eventuellement, je peux transmettre votre besoin et vos coordonnées à un IC SFR 
Business Team.
 
Après, on rentre dans le monde des opérateurs, et dans ce cas la c'est vers la 
Direction Opérateurs de SFR qu'il faudra se tourner (ce que fait Nérim par 
exemple).
 
Cdt,
 
--
BP

Le 7 août 2009 16:43, daren ferreira  a écrit :


Bonjour,

Je suis à la recherche de contacts chez SFR pour de la collecte ADSL, pas de la 
revente.

Tous mes contacts ont disparu, et impossible d'obtenir le moindre contact 
adéquat pour ce genre de demande...


Je précise que je ne cherche pas à revendre des SFR/Neuf box mais juste de la 
collecte de trafic ADSL.


Merci d'avance !

Daren



Partagez vos souvenirs sur le Web avec les personnes de votre choix les 
personnes de votre choix.


_
Sur Windows Live Ideas, découvrez en exclusivité de nouveaux services en 
ligne... si nouveaux qu'ils ne sont pas encore sortis officiellement sur le 
marché !
http://ideas.live.com

Re: Re : [FRnOG] Generateur de trafic

[Steven Le Roux]

Et pour le web : apache bench ou inject (utilisé pour bencher haproxy
et dispo ici : http://1wt.eu/tools/inject/)

2009/8/8 Nicolas CARTRON :
> Et pour le DNS et le DHCP, tu as DNSperf et DHCPerf de Nominum.
>
> Le 7 août 2009 à 12:57, Nicolas MICHEL  a écrit :
>
>> Pour tester les perfs de ton reseau, tu peux utiliser iperf ou jperf (GUI)
>> . pour générer du traffic et tester des fw, il y a scapy qui s'appuie sûr
>> python.
>>
>> Voilà ;)
>>
>>
>>
>> Envoyé de mon iPhone
>>
>> Le 7 août 09 à 10:52, Cedric Polomack  a écrit :
>>
>>> J'avais effectivement pas vu ce lien. Merci ;-)
>>>
>>>
>>>
>>> Hélia Pouyllau a écrit :

 Sur le site de D-ITG ... http://www.grid.unina.it/software/ITG/link.php

 2009/8/7 marc celier mailto:marc.cel...@gmx.fr>>

  essaye IPERF


  http://iperf.sourceforge.net/



>  - Message d'origine -
>
>  De : Cedric Polomack
>
>  Envoyés : 07.08.09 08:43
>
>  À : Liste FRnoG
>
>  Objet : [FRnOG] Generateur de trafic
>
>
>
>  Bonjour,
>
>  J'aimerai savoir si certain d'entre vous utilise des générateur de
>  trafic. J'ai en effet besoin de tester des équipements réseaux et
>  firewalls et aimerai donc simuler du trafic internet dans un
>  environnement de lab. J'ai déjà trouvé D-ITG (Distributed Internet
>  Traffic Generator) en connaitriez vous d'autres ?//
>
>  /Cédric ///
>
>  ---
>  Liste de diffusion du FRnOG
>  http://www.frnog.org/





>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>



-- 
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB 
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[Gregoire Villain]

On Aug 7, 2009, at 3:59 PM, Jipe wrote:


marc celier a écrit :



un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a  
des
millions de connexions qui arrivent en meme temps comment dissocier  
les

connexions legitimes des connexions "illegitimes", peut etre en
s'appuyant sur le nombre de connexion provenant d'une adresse IP
particuliere, mais lorsque l'attaque est repartie depuis des  
milliers de

postes infectes, que faire. a ce niveau seule une operation concerte
entre les operateur pourrait y venir a bout



Quelqu'un de la liste a t-il connaissance de ce genre d'opérations  
entre
opérateurs afin de bloquer le trafic avant qu'il atteigne sa cible,  
ou au

moins un SLA avec son FAI ou l'opérateur internet de son hébergeur ?

--
Jipe


Un post de blog (une fois n'est pas coutûme) qui est bien foutu sur le  
sujet:

http://www.blyon.com/blog/index.php/2009/08/06/twitters-hosting-illustrated-fckyeahboobies-com/
Y'a une boîte, Prolexic, qui était à l'époque spécialisée dans la  
dilution d'attaques DDoS via anycast, que justement le mec de ce blog  
avait monté.


Greg VILLAIN---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[Jerome Benoit]

Le Sat, 08 Aug 2009 13:29:59 +0200,
Philippe Bourcier  a écrit :

> Enfin, pour les GNUs, il existe tout de même une solution FLOSS
> "direct from Romania" (comme on dit dans le milieu du DDoS :)),
> capable de fonctionner sur du 10G avec du matériel actuel (PC en
> 55xx) : http://glflow.sourceforge.net/ C'est en production devant un
> serveur qui prend régulièrement de gros DDoS (a la twitter) et des
> dizaines de Mpps, sans trop broncher (mais le service est moins
> "critique" aussi :)).

C'est en production et entre tes mains pour l'exemple que tu cites ?

a +.

-- 
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D


pgpX69iki1Ps2.pgp
Description: PGP signature

Re: [FRnOG] Generateur de trafic

[Jerome Benoit]

Le Fri, 07 Aug 2009 09:43:03 +0200,
Cedric Polomack  a écrit :

> Bonjour,
> 
> J'aimerai savoir si certain d'entre vous utilise des générateur de
> trafic. J'ai en effet besoin de tester des équipements réseaux et
> firewalls et aimerai donc simuler du trafic internet dans un
> environnement de lab. J'ai déjà trouvé D-ITG (Distributed Internet
> Traffic Generator) en connaitriez vous d'autres ?//

http://code.google.com/p/itrafgen/
http://www-lor.int-evry.fr/~vincent/java/trafGen/trafGen.html
nemesis
tcpreplay à partir de capture pcap (très intéressant si tu as un
capture faite sur un backbone) etc. 

a +.

-- 
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D


pgpLTGAsgsERQ.pgp
Description: PGP signature

Re: [FRnOG] Attaques contre Twitter & Facebook

[Philippe Bourcier]

Bonjour,


Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer les tuyaux, 
mais a aussi pour but de saturer les capacités de processing de équipements en 
frontal, en particulier les Firewalls.


Impossible, les firewalls sont des objets réseaux bien trop fragiles pour faire quoi que 
ce soit contre un DDoS. De plus, ils ne servent à rien devant une ferme de serveurs web 
(où seul le port 80 est en écoute). Dans le monde du web (à fort volume), soit on place 
les firewalls derrière la ligne web, soit on n'en met aucuns (c'est le cas chez beaucoup 
d'acteurs du web 2.0) pour plusieurs raisons (coût à fort volume, débit limité (10G 
vraiment supporté encore rare), mauvaises capacités en Mpps, utilité sur un réseau bien 
conçu (firewall host-based + ACLs) et surtout... lenteur). De même chez certains gros, 
les load-balancers "traditionnels" sont aussi un souvenir de l'ancien temps 
(anycast/LB applicatif (cloud stuff)), mais je m'égare :)

On peut très bien traiter les DDoS quand on est équipé du matériel (chère) 
adéquat, c'est uniquement une question de gros sous (enfin pas si gros si ca 
couvre une ou deux journées de bénéfices perdus (ce qui ne devrait pas arriver 
avant longtemps chez twitter :), mais c'est un autre débat.)).

Il existe 2 types principaux d'attaques DDoS :
- contre l'infrastructure (DNS, routeurs (Mpps), taille des tuyaux), ce sont 
les plus difficiles à maitriser
- contre le service (les plus faciles à filtrer)

Les technos de filtrage DDoS sont en développement et au point (pour un grand 
nombre d'entre elles) depuis 2001 (Arbor, Prolexic et River Guard devenu Cisco 
Guard puis Cisco Anomaly Guard).

Il existe deux types de sondes de détection de DDoS :
- Layer 4 : Arbor Networks, Prolexic...
- Layer 4/7 : Sondes Cisco Anomaly Detector abusivement appelées IDS

Ensuite pour le filtrage Layer 7 il y a Prolexic et Cisco Anomaly Guard.

Ensuite il n'existe que peu de contre-mesures (mais ce qui compte c'est le 
résultat) :
- DNS/BGP : si l'attaque est contre l'IP du site, changer le DNS vers un IP sur 
un autre prefix et dropper le prefix attaquer (technique utilisée dans le monde 
des serveurs IRC)... l'avantage de cette technique c'est qu'elle nécessite 
aucun système de détection/mitigation des DDoS, il suffit de voir qu'on est 
attaqué pour agir, l'inconvénient c'est le cache DNS (d'où les TTL bas qu'on 
peut observer sur les gros sites)...
- ACL : dès que l'on sait d'où viennent les attaques, on peut alors 
manuellement filtrer les prefix sources (ou scripter la chose) et prévenir les 
fournisseurs de transit (qui filtreront à leur tour)
- Automatisé : c'est le principe du système Cisco Anomaly Guard et Prolexic, les sondes 
disent aux guards quels sont les prefix à "nettoyer" et un système de tunnel 
GRE et d'injection de routes permet de dériver la partie du trafic à nettoyer

Le Nettoyage est fonction du protocole, par exemple pour HTTP, le plus souvent, le guard fait un 
HTTP 302 redirect vers l'URL demandée (avec un Set-Cookie unique ou une modification de la query 
string, pour que la seconde requête soit repérée comme "clean"), un outil de DDoS HTTP ne 
lisant pas les réponses, seuls les browsers "valides" qui font partie du prefix filtré 
vont avoir accès au site, les autres requêtes (le DDoS) seront droppées. Dans ces boitiers, il 
existe plusieurs centaines de contre-mesures de ce type sélectionnées automatiquement en fonction 
du type d'attaque et du protocole.

Enfin, pour les GNUs, il existe tout de même une solution FLOSS "direct from 
Romania" (comme on dit dans le milieu du DDoS :)), capable de fonctionner sur du 10G 
avec du matériel actuel (PC en 55xx) : http://glflow.sourceforge.net/
C'est en production devant un serveur qui prend régulièrement de gros DDoS (a la twitter) 
et des dizaines de Mpps, sans trop broncher (mais le service est moins 
"critique" aussi :)).


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : http://zsysctl.blogspot.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG] Generateur de trafic

[Nicolas CARTRON]

Et pour le DNS et le DHCP, tu as DNSperf et DHCPerf de Nominum.

Le 7 août 2009 à 12:57, Nicolas MICHEL  a  
écrit :


Pour tester les perfs de ton reseau, tu peux utiliser iperf ou jperf  
(GUI)
. pour générer du traffic et tester des fw, il y a scapy qui s'appui 
e sûr python.


Voilà ;)



Envoyé de mon iPhone

Le 7 août 09 à 10:52, Cedric Polomack  a écrit 
 :



J'avais effectivement pas vu ce lien. Merci ;-)



Hélia Pouyllau a écrit :

Sur le site de D-ITG ... http://www.grid.unina.it/software/ITG/link.php

2009/8/7 marc celier >


  essaye IPERF


  http://iperf.sourceforge.net/




  - Message d'origine -

  De : Cedric Polomack

  Envoyés : 07.08.09 08:43

  À : Liste FRnoG

  Objet : [FRnOG] Generateur de trafic



  Bonjour,

  J'aimerai savoir si certain d'entre vous utilise des générat 
eur de
  trafic. J'ai en effet besoin de tester des équipements résea 
ux et

  firewalls et aimerai donc simuler du trafic internet dans un
  environnement de lab. J'ai déjà trouvé D-ITG (Distributed In 
ternet

  Traffic Generator) en connaitriez vous d'autres ?//

  /Cédric ///

  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/







---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Collecte IPADSL SFR/Neuf

[Benjamin Pradayrol]

Bonjour,

SI je comprends bien votre besoin, il s'agit de collecte dans cadre de
raccordement de site de votre entreprise.
L'offre entreprise de collecte ADSL s'appelle 9collecte.
Eventuellement, je peux transmettre votre besoin et vos coordonnées à un IC
SFR Business Team.

Après, on rentre dans le monde des opérateurs, et dans ce cas la c'est vers
la Direction Opérateurs de SFR qu'il faudra se tourner (ce que fait Nérim
par exemple).

Cdt,

--
BP
Le 7 août 2009 16:43, daren ferreira  a écrit :

> Bonjour,
>
> Je suis à la recherche de contacts chez SFR pour de la collecte ADSL, pas
> de la revente.
>
> Tous mes contacts ont disparu, et impossible d'obtenir le moindre contact
> adéquat pour ce genre de demande...
>
> Je précise que je ne cherche pas à revendre des SFR/Neuf box mais juste de
> la collecte de trafic ADSL.
>
>
> Merci d'avance !
>
> Daren
>
> --
> Partagez vos souvenirs sur le Web avec les personnes de votre choix les
> personnes de votre 
> choix.
>

Re: [FRnOG] Des DNS menteurs chez SFR

[Romain LE DISEZ]

Le 8 août 09 à 05:38, Michel Py a écrit :


Attention à ne pas confondre "DNS menteur" et "joker" [1]
Si je comprends correctement l'exemple que tu donnes avec  
"un.domaine.bidon", ça veut dire que 86.64.145.140 est un "joker".  
Pour que ça soit un "DNS menteur", il faudrait faire la même requête  
avec "un.domaine.bidon.google.com", par exemple.


L'exemple était mauvais mais il s'agit bien de DNS menteurs. ça marche  
pour toutes les zones (Google, Wikipedia, ...)


A moins que ce soit le troll du vendredi, attention à ne pas tomber  
dans le sensationnalisme à 2 balles qui consiste à annoncer sur  
cette liste ce qui se fait depuis 2003.

Comme d'ab, si je raconte des conneries, merci de me corriger.


Dans le cas de SFR, je suis presque certains qu'avant cette semaine  
(je ne saurais dire la date exacte) il n'y avait que des serveurs DNS  
"standard", ni joker ni DNS menteurs (pourtant, Stéphane parle déjà de  
SFR dans sa page rédigée le 16/07/2009).


@+---
Liste de diffusion du FRnOG
http://www.frnog.org/