Re: [FRnOG] [TECH] PF d'OpenBSD peut il matcher sur le "Traffic class" en IPv6 ?
tl;dr : non, mais ça devrait être possible facilement. Christophe writes: > Bonjour la liste, > > Je ne sais pas si c'est tout à fait l'endroit, mais je me lance : Je me > casse les dents sur un petit soucis de config de PF en IPv6. Pour faire écho à Vigdis, m...@openbsd.org est aussi un bon endroit pour de l'aide sur une conf, là c'est un peu plus compliqué et lié à un problème d'implémentation donc tech@ me paraît plus approprié. > Le but est de router les paquets sur deux passerelles différentes en > fonction de leur classification : "TOS" en IPv4 et "Traffic class" en IPv6. > > En IPv4 cela fonctionne parfaitement avec les deux règles suivantes : > > pass in quick on $int_if inet proto tcp from $lan_nets to ! > port { 80 , 443 } *tos 0x10* route-to ( $ext1_if $gw_ext1 > ) keep state > > pass in quick on $int_if inet proto tcp from $lan_nets to ! > port { 80 , 443 } *tos 0x00* route-to ( $ext2_if $gw_ext2 > ) keep state > > Par contre, je n'ai pas trouvé le moyen de le faire en IPv6 sur ce même > principe : vu de tcpdump l'entête des paquets contient bien la bonne > valeur (entête "class" et non "tos" du coup) mais je ne trouve pas la > bonne syntaxe dans PF pour les prendre en compte (malgré un parcours > intensif du man et des documentations relatives que j'ai pu trouver). > > Tenté (cas 1), ce qui semblait assez naturel d'un premier abord : C'est ce qui devrait fonctionner mais qui n'est pas géré. > pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to ! > port { 80,443 } *tos 0x10* route-to ($ext1_if > $v6_host_gwnet1) keep state > > pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to ! > port { 80,443 } *tos 0x00* route-to ($ext2_if > $v6_host_gwnet2) keep state > > Tenté (cas 2), un peu au pif au vu du résultat de tcpdump (qui indiquait > "class" plutôt que "tos") : Je sais pas ce que fait / faisait "class", mais je doute que ce soit ce qui t'intéresse. > pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to ! > port { 80,443 } *class 0x10* route-to ($ext1_if > $v6_host_gwnet1) keep state > > pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to ! > port { 80,443 } *class 0x00* route-to ($ext2_if > $v6_host_gwnet2) keep state > > Aucun des deux cas ne génère d'erreur de syntaxe . > > Mais : > Dans le cas 1, seule la deuxième règle matche tous les paquets (quelque > soit la valeur de l'entête "class"). PF teste si l'admin a spécifié un tos (différent de zéro) avant de comparer celui-ci avec le tos du paquet. Donc "tos 0x0" est un nop que tu peux supprimer de ton jeu de règles. Je pense que tu vas vite voir pourquoi la première règle ne matche pas. > Dans le cas 2, aucune des deux règles ne matche, les paquets sont tout > bonnement jetés par la règle par défaut. cf. plus haut. > A préciser qu'il s'agit de la version 4.8 d'OpenBSD. Pas bien ! > Auriez vous une idée ? Pas testé, pas même compilé, use at your own risk : Index: net/pf.c === RCS file: /cvs/src/sys/net/pf.c,v retrieving revision 1.696.2.1 diff -u -p -r1.696.2.1 pf.c --- net/pf.c16 Feb 2011 19:13:21 - 1.696.2.1 +++ net/pf.c1 Feb 2014 23:35:30 - @@ -5958,7 +5958,7 @@ pf_test6(int dir, struct ifnet *ifp, str pd.sidx = (dir == PF_IN) ? 0 : 1; pd.didx = (dir == PF_IN) ? 1 : 0; pd.af = AF_INET6; - pd.tos = 0; + pd.tos = (ntohl(h->ip6_flow) & 0x0ff0) >> 20; pd.tot_len = ntohs(h->ip6_plen) + sizeof(struct ip6_hdr); pd.eh = eh; -- jca | PGP : 0x1524E7EE / 5135 92C1 AD36 5293 2BDF DDCC 0DFA 74AE 1524 E7EE (auparavant 0x06A11494 / 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Le 2/1/14 10:15 PM, Raphael Maunier a écrit : > On 01 Feb 2014, at 22:02, Radu-Adrian Feurdean > wrote: > >> On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: >>> Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse >>> et tu l’utilise direct. >> Si on devait avoir des voitures comme les routeurs, apres l'achat il >> faudrait automatiquement faire : >> - changer les penus >> - faire une vidange >> - flasher l'ordinateur de bord (avec la derniere version qui a telle ou >> telle fonctionalite et pas tel ou tel bug) >> - faire une vingtaine de reglages cote moteur faute de quoi on risque >> d'arriver a l'hosiptal ou au cimitiere au lieu de chez soi. > C’est bien ce que je dis, tu dois forcement faire des choses sur tout les > routeurs que ce soit, Juniper, Cisco, Brocade ( surtout ) , and cie. > Tu ne peux pas juste passer ta commande, prendre le routeur, et faire le > wizard BGP :) > >>> En gros, on fait du tuning de routeur :) >> Oui, sauf que la on est dans plein bug-fix. > Y a plein de bugs que pleins de gens ne voient pas parce que les règles > d’ingénierie sont bonnes des le depart. > > C’est justement que je connais bien Juniper que je ne fais pas 100% confiance > et que je fais en sorte de ne pas avoir ce genre de problème. > J’ai en ce moment plus de 4 ou 5 bugs complement pourris avec Juniper et des > trucs bien débiles. L’avantage, c’est que je peux tester facilement, avoir > accès du lab pour trouver ou ça coince ! > > Il faut arrêter de croire que parce que j’utilise et que j’en ai vendu que > chez Juniper est tout rose pour moi aussi :) > J’ai fais 3 nuits debug bien agréables sur du junos ou d’une version à une > autre tu n’as pas le meme comportement. > Pareil lorsque tu changes de version ( c’est le cas pour le NTP par exemple > ), il y a des failles qui apparaissent. > > Ils sont super fort pour aussi changer certains paramètres de configuration, > ou d’une version x.x vers x.y et > , tu dois changer tes templates. ( je > crois que ça c’est la chose la plus pénible que j’ai en ce moment ) > > Bref, les constructeurs font et feront toujours de la merde, on le sait tous, > et c’est au client de se prémunir, de réparer, et d’avoir une meilleure reduc > la prochaine fois que ton gentil commercial viendra te payer à bouffer ! > Je vais être taquin : Je croyais que "ça juste marche"-ait Juniper ? :p On en revient à ce que je disais sur un autre sujet, la qualité d'un constructeur dépend aussi de l'habitude qu'on en a. >> Imagine que chaque fois que tu fais un telnet depuis un routeur, le >> serveur telnet s'active….. > Bah il faut s’y attendre ! Je dirais qu'il faut plutôt le redouter et en être choqué quand ça arrive :/ La confiance n'exclut pas le contrôle, mais le contrôle peut entamer la confiance... > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On 01 Feb 2014, at 21:47, Radu-Adrian Feurdean wrote: > On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: >> Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie >> sur leurs routeurs comment dire :) > > Tu parles de mecs de Juniper je suppose. Parce qu'activer le client et > avoir en cadeau le serveur comment dire .. > >> Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour >> tout bloquer sur la loopback ! > > OK, je ne suis pas expert Juniper, mais des IP il n'y a pas QUE sur la > loopback. Et a certaines occasions on a bien besoin que les interfaces > recoivent du traffic a traiter en control-plane. Donc le "tout bloquer > sauf _ a l'exception de _ quand _" . > > Mais bon, c'est bien connu, tous les problemes de l'humanite peuvent > etre resolus en utilisant la methode "Yaka Fokon" dans ce cas, > "mettre des filtres a gogo”. Sur un Juniper, tu bloques le traffic à destination du routeur via la loopback et les règles s’appliquent pour l’ensemble du routeur. Si tu veux faire des règles plus spécifique pour un port, tu dois le faire effectivement sur l’interface De toute façon, ton routeur ne doit pas accepter de traffic sauf : - SSH pour l’admin - SNMP pour tes graphs - BGP des peers - ICMP / traceroute … ( en rate-limitant ) Ensuite Il doit pouvoir faire : - DNS / NTP - Netflow - Traceroute / icmp J’oublie surement des trucs, mais c’est effectivement un routeur, pas un serveur, donc, il faut fout fermer :) J’ai un template que j’utilise qui est fait dans ce sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On 01 Feb 2014, at 22:02, Radu-Adrian Feurdean wrote: > On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: >> Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse >> et tu l’utilise direct. > > Si on devait avoir des voitures comme les routeurs, apres l'achat il > faudrait automatiquement faire : > - changer les penus > - faire une vidange > - flasher l'ordinateur de bord (avec la derniere version qui a telle ou > telle fonctionalite et pas tel ou tel bug) > - faire une vingtaine de reglages cote moteur faute de quoi on risque > d'arriver a l'hosiptal ou au cimitiere au lieu de chez soi. C’est bien ce que je dis, tu dois forcement faire des choses sur tout les routeurs que ce soit, Juniper, Cisco, Brocade ( surtout ) , and cie. Tu ne peux pas juste passer ta commande, prendre le routeur, et faire le wizard BGP :) > >> En gros, on fait du tuning de routeur :) > > Oui, sauf que la on est dans plein bug-fix. Y a plein de bugs que pleins de gens ne voient pas parce que les règles d’ingénierie sont bonnes des le depart. C’est justement que je connais bien Juniper que je ne fais pas 100% confiance et que je fais en sorte de ne pas avoir ce genre de problème. J’ai en ce moment plus de 4 ou 5 bugs complement pourris avec Juniper et des trucs bien débiles. L’avantage, c’est que je peux tester facilement, avoir accès du lab pour trouver ou ça coince ! Il faut arrêter de croire que parce que j’utilise et que j’en ai vendu que chez Juniper est tout rose pour moi aussi :) J’ai fais 3 nuits debug bien agréables sur du junos ou d’une version à une autre tu n’as pas le meme comportement. Pareil lorsque tu changes de version ( c’est le cas pour le NTP par exemple ), il y a des failles qui apparaissent. Ils sont super fort pour aussi changer certains paramètres de configuration, ou d’une version x.x vers x.y et > , tu dois changer tes templates. ( je crois que ça c’est la chose la plus pénible que j’ai en ce moment ) Bref, les constructeurs font et feront toujours de la merde, on le sait tous, et c’est au client de se prémunir, de réparer, et d’avoir une meilleure reduc la prochaine fois que ton gentil commercial viendra te payer à bouffer ! > Imagine que chaque fois que tu fais un telnet depuis un routeur, le > serveur telnet s'active….. Bah il faut s’y attendre ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: > Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse > et tu l’utilise direct. Si on devait avoir des voitures comme les routeurs, apres l'achat il faudrait automatiquement faire : - changer les penus - faire une vidange - flasher l'ordinateur de bord (avec la derniere version qui a telle ou telle fonctionalite et pas tel ou tel bug) - faire une vingtaine de reglages cote moteur faute de quoi on risque d'arriver a l'hosiptal ou au cimitiere au lieu de chez soi. > En gros, on fait du tuning de routeur :) Oui, sauf que la on est dans plein bug-fix. Imagine que chaque fois que tu fais un telnet depuis un routeur, le serveur telnet s'active. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: > Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie > sur leurs routeurs comment dire :) Tu parles de mecs de Juniper je suppose. Parce qu'activer le client et avoir en cadeau le serveur comment dire .. > Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour > tout bloquer sur la loopback ! OK, je ne suis pas expert Juniper, mais des IP il n'y a pas QUE sur la loopback. Et a certaines occasions on a bien besoin que les interfaces recoivent du traffic a traiter en control-plane. Donc le "tout bloquer sauf _ a l'exception de _ quand _" . Mais bon, c'est bien connu, tous les problemes de l'humanite peuvent etre resolus en utilisant la methode "Yaka Fokon" dans ce cas, "mettre des filtres a gogo". --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PF d'OpenBSD peut il matcher sur le "Traffic class" en IPv6 ?
On Sat, 01 Feb 2014 20:45:23 +0100, Christophe wrote: > Bonjour la liste, > > Je ne sais pas si c'est tout à fait l'endroit Si j'étais toi, je tenterais plus ma chance sur m...@openbsd.org (en anglais, bien sûr). [snip] > A préciser qu'il s'agit de la version 4.8 d'OpenBSD. Et tu peux sans doute commencer par upgrader, parce que si ça ne résoud pas le problème (même si c'est probable), les devs vont te passer un patch à appliquer au mieux sur 5.4 ou alors sur -current. > Auriez vous une idée ? > > @+ > Christophe. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Vigdis signature.asc Description: PGP signature
[FRnOG] [TECH] PF d'OpenBSD peut il matcher sur le "Traffic class" en IPv6 ?
Bonjour la liste, Je ne sais pas si c'est tout à fait l'endroit, mais je me lance : Je me casse les dents sur un petit soucis de config de PF en IPv6. Le but est de router les paquets sur deux passerelles différentes en fonction de leur classification : "TOS" en IPv4 et "Traffic class" en IPv6. En IPv4 cela fonctionne parfaitement avec les deux règles suivantes : pass in quick on $int_if inet proto tcp from $lan_nets to ! port { 80 , 443 } *tos 0x10* route-to ( $ext1_if $gw_ext1 ) keep state pass in quick on $int_if inet proto tcp from $lan_nets to ! port { 80 , 443 } *tos 0x00* route-to ( $ext2_if $gw_ext2 ) keep state Par contre, je n'ai pas trouvé le moyen de le faire en IPv6 sur ce même principe : vu de tcpdump l'entête des paquets contient bien la bonne valeur (entête "class" et non "tos" du coup) mais je ne trouve pas la bonne syntaxe dans PF pour les prendre en compte (malgré un parcours intensif du man et des documentations relatives que j'ai pu trouver). Tenté (cas 1), ce qui semblait assez naturel d'un premier abord : pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to ! port { 80,443 } *tos 0x10* route-to ($ext1_if $v6_host_gwnet1) keep state pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to ! port { 80,443 } *tos 0x00* route-to ($ext2_if $v6_host_gwnet2) keep state Tenté (cas 2), un peu au pif au vu du résultat de tcpdump (qui indiquait "class" plutôt que "tos") : pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to ! port { 80,443 } *class 0x10* route-to ($ext1_if $v6_host_gwnet1) keep state pass in quick on $int_if inet6 proto tcp from $v6_lan_nets to ! port { 80,443 } *class 0x00* route-to ($ext2_if $v6_host_gwnet2) keep state Aucun des deux cas ne génère d'erreur de syntaxe . Mais : Dans le cas 1, seule la deuxième règle matche tous les paquets (quelque soit la valeur de l'entête "class"). Dans le cas 2, aucune des deux règles ne matche, les paquets sont tout bonnement jetés par la règle par défaut. A préciser qu'il s'agit de la version 4.8 d'OpenBSD. Auriez vous une idée ? @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On va dire ça, si ça te rend heureux On 01 Feb 2014, at 20:07, Sidney Boumendil wrote: > Le 1 février 2014 18:18, Raphael Maunier a écrit : >> >> >> Mais si les mecs mettent pas par défaut les bonnes règles d'ingénierie sur >> leurs routeurs comment dire :) > > > Dans d'autres circonstances ont t'aurait entendu dire que le constructeur X > ou Y est naze d'activer des services par défaut et non documenté sans > pouvoir les désactiver. Mais comme tu dois encore refourguer du Juniper il > est plus simple de rejeter la balle chez ces imbéciles de clients. C'est de > l'objectivité à géométrie variable en somme. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Le 1 février 2014 18:18, Raphael Maunier a écrit : > > > Mais si les mecs mettent pas par défaut les bonnes règles d'ingénierie sur > leurs routeurs comment dire :) Dans d'autres circonstances ont t'aurait entendu dire que le constructeur X ou Y est naze d'activer des services par défaut et non documenté sans pouvoir les désactiver. Mais comme tu dois encore refourguer du Juniper il est plus simple de rejeter la balle chez ces imbéciles de clients. C'est de l'objectivité à géométrie variable en somme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Pour Juniper : set policy-options prefix-list ipv4-ntp-sources apply-path "system ntp server <*>” extrait de conf à appliquer sur la loopback : set firewall family inet filter protect-routing-engine term ntp from source-prefix-list ipv4-ntp-sources set firewall family inet filter protect-routing-engine term ntp from protocol udp set firewall family inet filter protect-routing-engine term ntp from port ntp set firewall family inet filter protect-routing-engine term ntp then accept set firewall family inet filter protect-routing-engine term you-shall-not-pass then log set firewall family inet filter protect-routing-engine term you-shall-not-pass then discard On 01 Feb 2014, at 18:18, Raphael Maunier wrote: > Nan, > > Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur > leurs routeurs comment dire :) > > Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour > tout bloquer sur la loopback ! > > Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu > l’utilise direct. > > En gros, on fait du tuning de routeur :) > > On 01 Feb 2014, at 16:55, Clement Cavadore wrote: > >> SRSLY ? >> >> Non, mais franchement, les mecs qui développent le software sur les >> équipements réseau (quel que soient les constructeurs), est-ce qu'ils >> imaginent/réalisent que leur code est vraiment utilisé dans autre chose >> que des lab ? >> >> >> >> On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote: >>> Sans compter les Juniper dont le client ntp fait aussi spontanément serveur >>> alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens >>> parfaitement adaptés à relayer du DDoS. >>> >>> http://www.gossamer-threads.com/lists/nsp/juniper/49151 >>> >>> Quelle blague. >>> >>> >>> Le 1 févr. 2014 à 15:16, Frederic Dhieux a écrit : >>> Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par erreur a été utilisé pour de l'amplification, c'était effectivement assez visible en volume sortant chez nous et plutôt agressif. Sans Netflow on ne l'aurait surement pas vu avant un moment... Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce moment :p Frédéric Le 01/02/2014 14:55, David Ramahefason a écrit : > COLT en souffre sur Paris depuis qq jours. > -- > David Ramahefason > > > Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: > > Hello tous > > certaines infrastructures doivent prendre très chère avec les > amplifications NTP en cours ! > > a+ > Thierry > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Nan, Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur leurs routeurs comment dire :) Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout bloquer sur la loopback ! Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu l’utilise direct. En gros, on fait du tuning de routeur :) On 01 Feb 2014, at 16:55, Clement Cavadore wrote: > SRSLY ? > > Non, mais franchement, les mecs qui développent le software sur les > équipements réseau (quel que soient les constructeurs), est-ce qu'ils > imaginent/réalisent que leur code est vraiment utilisé dans autre chose > que des lab ? > > > > On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote: >> Sans compter les Juniper dont le client ntp fait aussi spontanément serveur >> alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens >> parfaitement adaptés à relayer du DDoS. >> >> http://www.gossamer-threads.com/lists/nsp/juniper/49151 >> >> Quelle blague. >> >> >> Le 1 févr. 2014 à 15:16, Frederic Dhieux a écrit : >> >>> Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par >>> erreur a été utilisé pour de l'amplification, c'était effectivement assez >>> visible en volume sortant chez nous et plutôt agressif. >>> >>> Sans Netflow on ne l'aurait surement pas vu avant un moment... >>> >>> Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens >>> qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce >>> moment :p >>> >>> Frédéric >>> >>> Le 01/02/2014 14:55, David Ramahefason a écrit : COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
SRSLY ? Non, mais franchement, les mecs qui développent le software sur les équipements réseau (quel que soient les constructeurs), est-ce qu'ils imaginent/réalisent que leur code est vraiment utilisé dans autre chose que des lab ? On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote: > Sans compter les Juniper dont le client ntp fait aussi spontanément serveur > alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens > parfaitement adaptés à relayer du DDoS. > > http://www.gossamer-threads.com/lists/nsp/juniper/49151 > > Quelle blague. > > > Le 1 févr. 2014 à 15:16, Frederic Dhieux a écrit : > > > Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par > > erreur a été utilisé pour de l'amplification, c'était effectivement assez > > visible en volume sortant chez nous et plutôt agressif. > > > > Sans Netflow on ne l'aurait surement pas vu avant un moment... > > > > Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens > > qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce > > moment :p > > > > Frédéric > > > > Le 01/02/2014 14:55, David Ramahefason a écrit : > >> COLT en souffre sur Paris depuis qq jours. > >> -- > >> David Ramahefason > >> > >> > >> Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: > >> > >> Hello tous > >> > >> certaines infrastructures doivent prendre très chère avec les > >> amplifications NTP en cours ! > >> > >> a+ > >> Thierry > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Sans compter les Juniper dont le client ntp fait aussi spontanément serveur alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens parfaitement adaptés à relayer du DDoS. http://www.gossamer-threads.com/lists/nsp/juniper/49151 Quelle blague. Le 1 févr. 2014 à 15:16, Frederic Dhieux a écrit : > Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par > erreur a été utilisé pour de l'amplification, c'était effectivement assez > visible en volume sortant chez nous et plutôt agressif. > > Sans Netflow on ne l'aurait surement pas vu avant un moment... > > Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens > qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce > moment :p > > Frédéric > > Le 01/02/2014 14:55, David Ramahefason a écrit : >> COLT en souffre sur Paris depuis qq jours. >> -- >> David Ramahefason >> >> >> Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: >> >> Hello tous >> >> certaines infrastructures doivent prendre très chère avec les amplifications >> NTP en cours ! >> >> a+ >> Thierry >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par erreur a été utilisé pour de l'amplification, c'était effectivement assez visible en volume sortant chez nous et plutôt agressif. Sans Netflow on ne l'aurait surement pas vu avant un moment... Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce moment :p Frédéric Le 01/02/2014 14:55, David Ramahefason a écrit : COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Amplifications NTP
Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/