RE: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
> Pascal PETIT a écrit : > C'est impressionnant car pour écrouler un serveur anycasté, il faut que > l'attaque vienne > de sources suffisamments variées pour voir toutes les "instances" du serveur. C'est généralement le cas des DDOS. Ce n'est pas 1 type avec un gros tuyau qui attaque un serveur de jeux, mais des dizaines de milliers de PC contaminés par un merdiciel, distribués dans le monde entier. Le premier D dans Ddos. Quelqu'un a des détails sur l'attaque ? Basée sur PPS ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
Bonjour, Oui, sachant qu’un lien de secours dédié 2Mb en 4G est aussi qualitatif qu’un lien pro SDSL 2Mbps Et pour une centaine d’€ par mois. Il est possible aussi d’opter pour un lien de secours avec bascule auto 4G/4G+ débridé avec un forfait trafic. Et dans ce cas vous pouvez facilement monter à 40Mb en down et 10Mb en up (en moyenne si zone bien couverte par l’opérateur). La continuité de connectivité Internet devient clairement aussi critique que la sauvegarde automatique de SI en externe. Jean-Yves Le 30/11/15 15:01, « frnog-requ...@frnog.org on behalf of Nicolas Parpandet »a écrit : > > Bon, 5 jours, c’est quand même long, je ne pense pas qu’Orange fasse ses meilleurs efforts pour réparer. Il ne doit pas y avoir de grands comptes concernés. Ou alors ils ont rétabli les grands comptes en premier (j’espère que je me trompe). > >La meilleure protection est celle que tu fais toi même, >les pénalités en cas d'incident ne couvriront jamais la perte de business, >il y a assez de technos disponibles pour faire de la redondance (même >avec des lignes bas de gamme) >* fibre, adsl/sdsl, cable, satellite, 4G > >Nicolas > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
> Le 30/11/2015 15:10, David Ponzone a écrit : >> On est bien d’accord :) >> En théorie, c’est ce qu’il faut faire. > Perso c'est en pratique, pas juste en théorie... ;-) > > Le truc casse pied, c'est quand on veut gérer du multi-homing entrant > redondant sans BGP quand on veut pas se lancer dans l'admin d'une AS... méthode sale en VPN, très sale en NAT ou reverse proxy, très très sale en DNS : dans tous les cas c'est bidouille et compagnie, l'ipv[46] mobile à priori jamais vu ça en prod non plus >>> La meilleure protection est celle que tu fais toi même, >>> les pénalités en cas d'incident ne couvriront jamais la perte de business, >>> il y a assez de technos disponibles pour faire de la redondance (même avec >>> des >>> lignes bas de gamme) >>> * fibre, adsl/sdsl, cable, satellite, 4G >>> >>> Nicolas >>> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
Le 30/11/2015 15:10, David Ponzone a écrit : On est bien d’accord :) En théorie, c’est ce qu’il faut faire. Perso c'est en pratique, pas juste en théorie... ;-) Le truc casse pied, c'est quand on veut gérer du multi-homing entrant redondant sans BGP quand on veut pas se lancer dans l'admin d'une AS... La meilleure protection est celle que tu fais toi même, les pénalités en cas d'incident ne couvriront jamais la perte de business, il y a assez de technos disponibles pour faire de la redondance (même avec des lignes bas de gamme) * fibre, adsl/sdsl, cable, satellite, 4G Nicolas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
Hello, >> On est bien d’accord :) >> En théorie, c’est ce qu’il faut faire. > Perso c'est en pratique, pas juste en théorie... ;-) > > Le truc casse pied, c'est quand on veut gérer du multi-homing entrant > redondant sans BGP quand on veut pas se lancer dans l'admin d'une AS... Sans rentrer dans l'overkill du BGP (même si en théorie ca serait le truc à faire), il y a des solutions d'agrégations de liens, dont je le laisserais les lecteurs chercher dans les archives les réponses. Y a même ovh qui as publié de façon opensource sa solution... Après... Voila... Il faut une box chez un hébergeur pour récupérer les flux... (ou pas..) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Problème sur la racine du DNS
> On Nov 30, 2015, at 5:04 PM, Pascal PETITwrote: > C'est impressionnant car pour écrouler un serveur anycasté, il faut > que l'attaque vienne de sources suffisamments variées pour voir toutes > les "instances" du serveur. Ou les points d'observation doit coïncider avec les points d'attaque, de sorte que les serveurs ne sont pas touchés sont aussi inaperçu. Aucune conspiration nécessaires pour que cela se produise, sondes RIPE Atlas se produit probablement dans environ la même distribution que les botnets font. -Bill signature.asc Description: Message signed with OpenPGP using GPGMail
[FRnOG] [TECH] Datacenter en conteneur ?
Hello la liste, Par chez nous on a quelques mouvement sur le réaménagement de salle et le principe du datacenter en conteneur est quelque peu "oublié" j'ai l'impression par les cabinets d'audits, je me questionne déjà à titre personnel. Volontairement ou non sachant que eux même pointe du doigt que à terme cette salle sera purement détruite (hmm?!?). Le besoin est relativement simple, 12/14 baie 42U pour serveur de virtualisation (fort consommateur en somme), redondance minimale N+1 voir 2N (actuellement aucune sauf par un onduleur unique, climatisation unique "à l'ancienne", etc). On a déjà un transformateur 400KvA pour la salle qui est distribué par un TGBT chargé à 260A/180kwa. Sur cette puissance, un calculateur est dans la salle actuel -et ne bougera pas-. On a encore de la marge coté puissance de transformateur en somme. Bon, point positif complémentaire, nous n'avons pas de problème de foncier pour placer un conteneur et faire du GC ! Les questions pour les utilisateurs de ces solutions sont donc : - Quel somme compter pour ce type d'équipement (TGBT/Onduleur/clim inclus) ? - Quels sont les pré-requis ? - Quels sont les risques que vous avez identifiez ? Merci d'avance pour vos éclaircissements et bonne soirée. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
>Il est possible aussi d’opter pour un lien de secours avec bascule auto >4G/4G+ débridé avec un forfait trafic. >Et dans ce cas vous pouvez facilement monter à 40Mb en down et 10Mb en >up >(en moyenne si zone bien couverte par l’opérateur). Comme tout le monde commence à faire cela, je commence a vraiment me poser des questions sur la réalité du débit dans le cas d'une coupure impactant une large zone géographique... Parceque la 3G/4G c'est quand même du débit partagé, et quand on aura 200 liens de secours qui tournerons a plein régime, je m'interroge vraiment sur le débit qu'on pourra réellement observer au cas par cas... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
Sans compter que les antennes des opérateurs sont backhaulées en cuivre pour la plupart ou de plus en plus en FO. Alors pour peu que le client accroche la mauvaise et/ou seule borne dans le coin ;-) My 2 cents. Le 30 nov. 2015 à 20:28, Gautier AVRILa écrit : >> Il est possible aussi d’opter pour un lien de secours avec bascule auto >> 4G/4G+ débridé avec un forfait trafic. >> Et dans ce cas vous pouvez facilement monter à 40Mb en down et 10Mb en >up >> (en moyenne si zone bien couverte par l’opérateur). > > Comme tout le monde commence à faire cela, je commence a vraiment me > poser des questions sur la réalité du débit dans le cas d'une coupure > impactant une large zone géographique... > Parceque la 3G/4G c'est quand même du débit partagé, et quand on aura 200 > liens de secours qui tournerons a plein régime, je m'interroge vraiment sur > le débit qu'on pourra réellement observer au cas par cas... > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Datacenter en conteneur ?
Bonsoir Laurent, Juste pour info concernant les datacenter en conteneurs : https://www.celeste.fr/stardc-offre Bonne recherche. - Mail original - De: "Ducassou Laurent"À: frnog-t...@frnog.org Envoyé: Lundi 30 Novembre 2015 20:14:25 Objet: [FRnOG] [TECH] Datacenter en conteneur ? Hello la liste, Par chez nous on a quelques mouvement sur le réaménagement de salle et le principe du datacenter en conteneur est quelque peu "oublié" j'ai l'impression par les cabinets d'audits, je me questionne déjà à titre personnel. Volontairement ou non sachant que eux même pointe du doigt que à terme cette salle sera purement détruite (hmm?!?). Le besoin est relativement simple, 12/14 baie 42U pour serveur de virtualisation (fort consommateur en somme), redondance minimale N+1 voir 2N (actuellement aucune sauf par un onduleur unique, climatisation unique "à l'ancienne", etc). On a déjà un transformateur 400KvA pour la salle qui est distribué par un TGBT chargé à 260A/180kwa. Sur cette puissance, un calculateur est dans la salle actuel -et ne bougera pas-. On a encore de la marge coté puissance de transformateur en somme. Bon, point positif complémentaire, nous n'avons pas de problème de foncier pour placer un conteneur et faire du GC ! Les questions pour les utilisateurs de ces solutions sont donc : - Quel somme compter pour ce type d'équipement (TGBT/Onduleur/clim inclus) ? - Quels sont les pré-requis ? - Quels sont les risques que vous avez identifiez ? Merci d'avance pour vos éclaircissements et bonne soirée. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
Et pendant ce temps, on va atteindre une semaine de coupure demain à 14h. Apparemment, ça a été réparé ce WE mais mal. > Le 30 nov. 2015 à 21:02, Youssef Bengelloun-Zahra écrit : > > Sans compter que les antennes des opérateurs sont backhaulées en cuivre pour > la plupart ou de plus en plus en FO. > > Alors pour peu que le client accroche la mauvaise et/ou seule borne dans le > coin ;-) > > My 2 cents. > > > > Le 30 nov. 2015 à 20:28, Gautier AVRIL a > écrit : > >>> Il est possible aussi d’opter pour un lien de secours avec bascule auto >>> 4G/4G+ débridé avec un forfait trafic. >>> Et dans ce cas vous pouvez facilement monter à 40Mb en down et 10Mb en >up >>> (en moyenne si zone bien couverte par l’opérateur). >> >> Comme tout le monde commence à faire cela, je commence a vraiment me >> poser des questions sur la réalité du débit dans le cas d'une coupure >> impactant une large zone géographique... >> Parceque la 3G/4G c'est quand même du débit partagé, et quand on aura 200 >> liens de secours qui tournerons a plein régime, je m'interroge vraiment sur >> le débit qu'on pourra réellement observer au cas par cas... >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
Le 29/11/2015 15:50, David Ponzone a écrit : 5 jours de coupure (qui à mon avis vont devenir 6 voir 7). Là, effectivement, faut commencer à sortir un baratin. « Ah ben oui, Monsieur, si vous vouliez éviter une coupure de ce type tous les 10 ans, il fallait prendre de la fibre avec sécurisation RS3, je vous envoie un devis » Bon, 5 jours, c’est quand même long, je ne pense pas qu’Orange fasse ses meilleurs efforts pour réparer. Il ne doit pas y avoir de grands comptes concernés. Ou alors ils ont rétabli les grands comptes en premier (j’espère que je me trompe). Les accès garantis (type SDSL) sont rétablis avant les autres, c'est ce que j'ai pu constater à chaque grosse coupure. Le 26 nov. 2015 à 20:32, David Ponzonea écrit : Je réponds: "3 jours de télétravail!" :) David Le 26 nov. 2015 à 18:55, fatiha boudj a écrit : Vous répondez quoi à vos clients qui sont dans la m prendre de la 4G ? et pour la voix faire des renvois vers les portables qd c'est possible ??? les solutions restent quand même limitees De : "gdu...@taho.fr" À : Laurent ; frnog-requ...@frnog.org; frnog@frnog.org Envoyé le : Jeudi 26 novembre 2015 16h26 Objet : Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris Ah ouais ? Et on passe les connecteurs dans les fourreaux ? Il n'y a pas une netiquette sur frnog pour reduire un peu la masse d'email ? Ge Envoyé depuis mon BlackBerry via le réseau SFR -Original Message- From: Laurent Sender: frnog-requ...@frnog.org Date: Thu, 26 Nov 2015 16:19:47 To: Subject: Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris Le 26/11/2015 16:05, David Ponzone a écrit : Pour ceux qui en ont jamais vu (dont moi): http://mediatheque.orange.com/fr/mediatheque/Toutes-les-images/La-fibre/Cables-de-cuivre-de-2700-paires-et-cables-optiques-de-1260_13 :-O C'est fabriqué/livré avec le connecteur idoine (j'imagine que oui !), ou il faut se cogner les connexions à la mimine ?? -- Guillaume Rousseau --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Problème sur la racine du DNS
Le Monday 30 November 2015 (14:28), Sylvain Vallerot écrivait : > J'extrapole (est-ce bien raisonnable) que l'attaque a été contenue, > mais qu'elle a tout de même eu un impact significatif sur la majorité > des serveurs présentés. Quid de l'impact lié à l'utilisation d'anycast ? Les serveurs ciblés l'utilisaient-ils ? -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Problème sur la racine du DNS
On Mon, Nov 30, 2015 at 02:28:13PM +0100, Sylvain Vallerotwrote a message of 58 lines which said: > Mais les seuils de 66 et 99% présentés dans ton lien ne sont-ils pas > excessivement élevés ? Oui. Ce sont les valeurs par défaut de DNSmon. On peut les changer. > J'extrapole (est-ce bien raisonnable) que l'attaque a été contenue, > mais qu'elle a tout de même eu un impact significatif sur la > majorité des serveurs présentés. Oui. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
Hello (...) >> Bon, 5 jours, c’est quand même long, je ne pense pas qu’Orange fasse ses >> meilleurs efforts pour réparer. >> Il ne doit pas y avoir de grands comptes concernés. >> Ou alors ils ont rétabli les grands comptes en premier (j’espère que je me >> trompe). > Les accès garantis (type SDSL) sont rétablis avant les autres, c'est ce > que j'ai pu constater à chaque grosse coupure. C'est d'ailleurs la raison pourquoi c'est plus cher. Enfin mettre toute une boite sur un accès "low life" c'est vraiment des économies de bouts de chandelles, qui peuvent être largement compensées par les pertes dûes au chômage technique des employés. Après si on prends DEUX accès sur des plaques différentes (donc une FTTH low life et un ADSL low life par ex) on peux limiter les dégâts... Quand je dis ça à des boites on se marre, et là CQFD Voila; voila; Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Problème sur la racine du DNS
On Mon, Nov 30, 2015 at 02:42:30PM +0100, Pascal PETITwrote a message of 18 lines which said: > Quid de l'impact lié à l'utilisation d'anycast ? > > Les serveurs ciblés l'utilisaient-ils ? C'est le cas de presque tous désormais. Cela n'a pas complètement suffi (K, bien anycasté, a pas mal souffert.) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
>>> Bon, 5 jours, c’est quand même long, je ne pense pas qu’Orange fasse ses >>> meilleurs efforts pour réparer. >>> Il ne doit pas y avoir de grands comptes concernés. >>> Ou alors ils ont rétabli les grands comptes en premier (j’espère que je me >>> trompe). La meilleure protection est celle que tu fais toi même, les pénalités en cas d'incident ne couvriront jamais la perte de business, il y a assez de technos disponibles pour faire de la redondance (même avec des lignes bas de gamme) * fibre, adsl/sdsl, cable, satellite, 4G Nicolas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Problème sur la racine du DNS
Sur notre instance du L, un peu de changement. En revanche, c'était largement plus visible sur notre J. Je n'ai pas eu le détail des opérateurs pour ce cas, mais ils m'ont dit avoir filtré, sans préciser plus. Will van Gulik AS25091 > On 30 Nov 2015, at 14:47, Stephane Bortzmeyerwrote: > > On Mon, Nov 30, 2015 at 02:42:30PM +0100, > Pascal PETIT wrote > a message of 18 lines which said: > >> Quid de l'impact lié à l'utilisation d'anycast ? >> >> Les serveurs ciblés l'utilisaient-ils ? > > C'est le cas de presque tous désormais. Cela n'a pas complètement > suffi (K, bien anycasté, a pas mal souffert.) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Problème sur la racine du DNS
Bonjour Stéphane, Le Monday 30 November 2015 (14:47), Stephane Bortzmeyer écrivait : > On Mon, Nov 30, 2015 at 02:42:30PM +0100, > Pascal PETITwrote > a message of 18 lines which said: > > > Quid de l'impact lié à l'utilisation d'anycast ? > > > > Les serveurs ciblés l'utilisaient-ils ? > > C'est le cas de presque tous désormais. Cela n'a pas complètement > suffi (K, bien anycasté, a pas mal souffert.) > Merci pour l'info. C'est impressionnant car pour écrouler un serveur anycasté, il faut que l'attaque vienne de sources suffisamments variées pour voir toutes les "instances" du serveur. -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Re: Coupure Orange sur tout un secteur autour de Avenue de l'Opéra, Paris
On est bien d’accord :) En théorie, c’est ce qu’il faut faire. > Le 30 nov. 2015 à 15:01, Nicolas Parpandeta écrit : > > > Bon, 5 jours, c’est quand même long, je ne pense pas qu’Orange fasse ses meilleurs efforts pour réparer. Il ne doit pas y avoir de grands comptes concernés. Ou alors ils ont rétabli les grands comptes en premier (j’espère que je me trompe). > > La meilleure protection est celle que tu fais toi même, > les pénalités en cas d'incident ne couvriront jamais la perte de business, > il y a assez de technos disponibles pour faire de la redondance (même avec > des lignes bas de gamme) > * fibre, adsl/sdsl, cable, satellite, 4G > > Nicolas > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Problème sur la racine du DNS
Cela ressemble à une grosse attaque, depuis environ 0700 UTC : https://atlas.ripe.net/dnsmon/?dnsmon.session.color_range_pls=0-66-66-99-100=true=zone-servers=root=1448854800=1448872800=both=18000 Plusieurs serveurs ne répondent que peu ou pas. Les autres marchent donc, pour l'instant, aucune conséquence sur le service DNS. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Problème sur la racine du DNS
On Mon, Nov 30, 2015 at 09:56:04AM +0100, Stephane Bortzmeyerwrote a message of 14 lines which said: > Cela ressemble à une grosse attaque, depuis environ 0700 UTC : Terminée vers 0930 UTC. Place aux rapports techniques, maintenant :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Problème sur la racine du DNS
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 30/11/2015 09:56, Stephane Bortzmeyer wrote: > Cela ressemble à une grosse attaque, depuis environ 0700 UTC : > > https://atlas.ripe.net/dnsmon/?dnsmon.session.color_range_pls=0-66-66-99-100=true=zone-servers=root=1448854800=1448872800=both=18000 > > Plusieurs serveurs ne répondent que peu ou pas. Les autres marchent > donc, pour l'instant, aucune conséquence sur le service DNS. Bien vu, C'est revenu dans l'ordre autour de 9:15 Mais les seuils de 66 et 99% présentés dans ton lien ne sont-ils pas excessivement élevés ? Le résultat est beaucoup plus saisissant si on abaisse les seuils, car on fait passer presque 2/3 des serveurs en orange en abaissant le seuil correspondant à 10% de requêtes "unanswered". J'extrapole (est-ce bien raisonnable) que l'attaque a été contenue, mais qu'elle a tout de même eu un impact significatif sur la majorité des serveurs présentés. Est-ce que ma lecture est correcte, faut-il en tirer des conséquences ? Cordialement, Sylvain - -- Gixe - Association 1901 - conseil, hébergement, opérateur pour tous SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 -BEGIN PGP SIGNATURE- Version: GnuPG v1 iF4EAREIAAYFAlZcTu0ACgkQJBGsD8mtnRE2TQD9GemRKZDR4MCGwPZq66LENQjH p1pIrv6xwJues+mmReYA/R9eSSnitRZE95W0xqQD/FOlat5eZYzTcGwnKSxYMnSA =Trph -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/