Re: [FRnOG] [ALERT] Problème sur la racine du DNS

2015-11-30 Par sujet Bill Woodcock 

> On Nov 30, 2015, at 5:04 PM, Pascal PETIT  wrote:
> C'est impressionnant car pour écrouler un serveur anycasté, il faut
> que l'attaque vienne de sources suffisamments variées pour voir toutes
> les "instances" du serveur.

Ou les points d'observation doit coïncider avec les points d'attaque, de sorte 
que les serveurs ne sont pas touchés sont aussi inaperçu.

Aucune conspiration nécessaires pour que cela se produise, sondes RIPE Atlas se 
produit probablement dans environ la même distribution que les botnets font.

-Bill






signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [ALERT] Problème sur la racine du DNS

2015-11-30 Par sujet Pascal PETIT 
Le Monday 30 November 2015 (14:28), Sylvain Vallerot écrivait :
> J'extrapole (est-ce bien raisonnable) que l'attaque a été contenue, 
> mais qu'elle a tout de même eu un impact significatif sur la majorité 
> des serveurs présentés.

Quid de l'impact lié à l'utilisation d'anycast ?

Les serveurs ciblés l'utilisaient-ils ?

-- 
Pascal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Problème sur la racine du DNS

2015-11-30 Par sujet Will van Gulik 
Sur notre instance du L, un peu de changement. En revanche, c'était largement 
plus visible sur notre J.

Je n'ai pas eu le détail des opérateurs pour ce cas, mais ils m'ont dit avoir 
filtré, sans préciser plus.

Will van Gulik
AS25091


> On 30 Nov 2015, at 14:47, Stephane Bortzmeyer  wrote:
> 
> On Mon, Nov 30, 2015 at 02:42:30PM +0100,
> Pascal PETIT  wrote 
> a message of 18 lines which said:
> 
>> Quid de l'impact lié à l'utilisation d'anycast ?
>> 
>> Les serveurs ciblés l'utilisaient-ils ?
> 
> C'est le cas de presque tous désormais. Cela n'a pas complètement
> suffi (K, bien anycasté, a pas mal souffert.)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Problème sur la racine du DNS

2015-11-30 Par sujet Stephane Bortzmeyer 
Cela ressemble à une grosse attaque, depuis environ 0700 UTC :

https://atlas.ripe.net/dnsmon/?dnsmon.session.color_range_pls=0-66-66-99-100=true=zone-servers=root=1448854800=1448872800=both=18000

Plusieurs serveurs ne répondent que peu ou pas. Les autres marchent
donc, pour l'instant, aucune conséquence sur le service DNS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Problème sur la racine du DNS

2015-11-30 Par sujet Sylvain Vallerot 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256



On 30/11/2015 09:56, Stephane Bortzmeyer wrote:
> Cela ressemble à une grosse attaque, depuis environ 0700 UTC :
> 
> https://atlas.ripe.net/dnsmon/?dnsmon.session.color_range_pls=0-66-66-99-100=true=zone-servers=root=1448854800=1448872800=both=18000
> 
> Plusieurs serveurs ne répondent que peu ou pas. Les autres marchent
> donc, pour l'instant, aucune conséquence sur le service DNS.

Bien vu,

C'est revenu dans l'ordre autour de 9:15

Mais les seuils de 66 et 99% présentés dans ton lien ne sont-ils pas 
excessivement élevés ?
Le résultat est beaucoup plus saisissant si on abaisse les seuils,
car on fait passer presque 2/3 des serveurs en orange en abaissant
le seuil correspondant à 10% de requêtes "unanswered".

J'extrapole (est-ce bien raisonnable) que l'attaque a été contenue, 
mais qu'elle a tout de même eu un impact significatif sur la majorité 
des serveurs présentés.

Est-ce que ma lecture est correcte, faut-il en tirer des conséquences ?

Cordialement,
Sylvain

- -- 
Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
-BEGIN PGP SIGNATURE-
Version: GnuPG v1

iF4EAREIAAYFAlZcTu0ACgkQJBGsD8mtnRE2TQD9GemRKZDR4MCGwPZq66LENQjH
p1pIrv6xwJues+mmReYA/R9eSSnitRZE95W0xqQD/FOlat5eZYzTcGwnKSxYMnSA
=Trph
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/