Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Florian Lacommare]

-- 
Florian Lacommare

Le 28 févr. 2012 à 06:30, Ronan Keryell
 a écrit :

>> On Mon, 27 Feb 2012 19:34:05 -0800, "Michel Py" 
>>  said:
>
>Michel> Petit troll maigrichon du lundi: est-ce qu'il y a des
>Michel> implémentations DNS qui utilisent les dernières cartes
>Michel> graphiques à architecture CUDA ? Du genre packetshader, mais
>Michel> pour DNS ?
>
>Michel> Je sors mon vernis de culture: ça se programme en C
>Michel> maintenant; personne qui a essayé de porter BIND sur nVidia
>Michel> ? Depuis que j'ai décidé d'aller faire une pizza-bière avec
>Michel> Ronan j'ai commencé à regarder çà de plus près, il y a du
>Michel> potentiel.
>
> Ne pas oublier une bonne ferme d'AMD 7970 programmable en OpenCL avec
> une bonne infrastructure OpenFlow en frontal pour l'alimentation...
>
> À faire dans le cadre d'un petit TP en école d'ingénieur. :-)

C'est noté :) si tu as un sujet, je peux essayer de le faire faire a
ma promo pour avoir un feedback ;)

> --
>  Ronan KERYELL  |\/  Phone:  +1 408 658 9453
>  Wild Systems / HPC Project |/)
>  5201 Great America Parkway, Suite 320  Kronan.kery...@hpc-project.com
>  Santa Clara, CA 95054  |\   skype:keryell
>  USA| \  http://hpc-project.com
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Ronan Keryell]

> On Mon, 27 Feb 2012 19:34:05 -0800, "Michel Py" 
>  said:

Michel> Petit troll maigrichon du lundi: est-ce qu'il y a des
Michel> implémentations DNS qui utilisent les dernières cartes
Michel> graphiques à architecture CUDA ? Du genre packetshader, mais
Michel> pour DNS ?

Michel> Je sors mon vernis de culture: ça se programme en C
Michel> maintenant; personne qui a essayé de porter BIND sur nVidia
Michel> ? Depuis que j'ai décidé d'aller faire une pizza-bière avec
Michel> Ronan j'ai commencé à regarder çà de plus près, il y a du
Michel> potentiel.

Ne pas oublier une bonne ferme d'AMD 7970 programmable en OpenCL avec
une bonne infrastructure OpenFlow en frontal pour l'alimentation...

À faire dans le cadre d'un petit TP en école d'ingénieur. :-)
-- 
  Ronan KERYELL  |\/  Phone:  +1 408 658 9453
  Wild Systems / HPC Project |/)
  5201 Great America Parkway, Suite 320  Kronan.kery...@hpc-project.com
  Santa Clara, CA 95054  |\   skype:keryell
  USA| \  http://hpc-project.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Michel Py]

> Matthieu BOUTHORS a écrit:
> Attention je parle de load-balancing au niveau 4 de la couche
> OSI donc normalement aucune ingérence dans le contenu des
> paquets : tout paquet UDP/TCP arrivant sur le port 53 est
> balancé sur un des serveurs du pool.

Oui; si c'était mon réseau, je me limiterais au niveau 4 aussi, mais bon j'ai 
jamais été opérateur de TLD.

> J'ai peut être loupé quelque chose mais un bon load-balancer
> niveau 4 (ie qui ne met pas le net dans le contenu des paquets
> et qui n'essaye pas de saturer ses ressources en inventant des
> notions de sessions UDP alambiquées) devrait être tout aussi
> capable de s'en sortir.

Je suis d'accord. Il y a un truc qui me laisse un peu perplexe avec les 
appliances qui promettent 1Mpps et plus, c'est que c'est basé sur du cache hit. 
Si je faisais concevais une DDOS DNS, ce que je ferais c'est des requêtes 
UDP/53 techniquement valides mais avec un nom de domaine aléatoire et une 
partie en spoofant l'adresse source, et là je voudrais bien voir comment le 
machin L7 encaisse 1Mpps. AMHA, pour ce genre de chose le plus simple le 
meilleur.


> Radu-Adrian Feurdean a écrit:
> On parle bien du load-balancing en local, non pas de GSLB
> & co, c'est bien ca ?

C'est ce que j'avais dans l'idée en posant la question originale.


En tout cas, la fin du monde par attaque de la racine ne m'a pas empêché de 
dormir. C'est le jeu éternel du glaive et du bouclier; peut être qu'on n'a pas 
le bouclier qu'il faudrait, mais il y a quand même pas mal de gens qui on 
regardé la taille du glaive de l'adversaire. Quelques cicatrices acquises sur 
le champ de bataille n'on rien de honteux.


Petit troll maigrichon du lundi: est-ce qu'il y a des implémentations DNS qui 
utilisent les dernières cartes graphiques à architecture CUDA ? Du genre 
packetshader, mais pour DNS ?

Je sors mon vernis de culture: ça se programme en C maintenant; personne qui a 
essayé de porter BIND sur nVidia ? Depuis que j'ai décidé d'aller faire une 
pizza-bière avec Ronan j'ai commencé à regarder çà de plus près, il y a du 
potentiel.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Manuel Martinez]

Bonjour,

Sans vouloir fair (trop) de pub, les équipements proposés par ma société 
permettent entre 150K et 1.5M de requêtes DNS en traitement L7 (DNS caching, 
etc,) et proposent du request rate limiting dynamique (par source IP) contre 
les problèmes de DOS.
On peut en utiliser jusqu'à 8 dans un cluster.
Après, il en faut des rack de serveurs Bind ou autre pour supporter ce genre de 
perf.
En référence, je ne peux citer de noms sur cette liste mais, il y a de gros 
opérateurs US, ainsi que de très grands noms d'éditeurs software, et enfin des 
média.

N'hésitez pas à me contacter en off pour plus de détails/noms... ;-)

Manuel MARTINEZ

Le 26 févr. 2012 à 20:36, "Michel Py"  a 
écrit :

>>> Michel Py a écrit:
>>> Pour .fr, mis à par anycast (une très bonne idée) est-ce qu'en
>>> plus il y a de multiples machines derrière un load balancer
>>> (genre F5 big iron ou similaire) ?
> 
>> Stephane Bortzmeyer a écrit:
>> Oui, sur certains des sites anycast. Je n'ai pas d'expérience
>> pratique avec le F5 Gros Fer mais je me méfie des « load
>> balancers » : un certain nombre sont programmés avec les pieds,
>> bloquent des requêtes légitimes en dehors des DoS (> 512 octets,
>> IPv6, DNSSEC, etc) et, lorsqu'il y a une DoS, deviennent
>> eux-même des SPOF (certains ne sont pas fichus d'encaisser autant
>> de trafic que le serveur situé derrière).
> 
> Combien de requêtes DNS /s peut-on espérer d'un serveur PC récent ? J'ai d'ai 
> chiffres de quelques milliers / s mais pas validés par de la vraie prod.
> 
> 
>> Donc, ce n'est pas une panacée.
> 
> Malheureusement pour toi le load-balancing de DNS est un marché de taille 
> limitée, donc tu va te retrouver avec un tas de produits bouffe-tout et/ou 
> usine à gaz, faut faire le tri.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

--
The information contained in this message, and any attachments, are or may be 
privileged and/or confidential and protected from disclosure and may also be 
covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521.  If 
the recipient of this message is not the intended recipient or authorized to 
receive this information for the addressee, you are hereby notified that any 
dissemination, distribution or copying of this communication is strictly 
prohibited.  If you have received this communication in error please delete it 
from your computer immediately

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Matthieu BOUTHORS]

Bonjour,

pour le Load-Balancing DNS, j'ai eu l'occasion d'en mettre en place sur du
matériel Nortel (donc pas des plus récent) et ça n'a posé aucun problème en
production : pas d'impacts sur les perf, pas de drop de paquet légitimes.
Il a juste fallu batailler un peu côté configuration pour faire une VIP à
la fois en UDP et TCP mais rien de dramatique. On m'avait aussi donné les
même a priori négatifs avant la mise en place de la solution et finalement
ce n'était que des a priori qui ne sont plus valables sur les appliances
plus ou moins récentes.

Matthieu

2012/2/26 Michel Py 

> >> Michel Py a écrit:
> >> Pour .fr, mis à par anycast (une très bonne idée) est-ce qu'en
> >> plus il y a de multiples machines derrière un load balancer
> >> (genre F5 big iron ou similaire) ?
>
> > Stephane Bortzmeyer a écrit:
> > Oui, sur certains des sites anycast. Je n'ai pas d'expérience
> > pratique avec le F5 Gros Fer mais je me méfie des « load
> > balancers » : un certain nombre sont programmés avec les pieds,
> > bloquent des requêtes légitimes en dehors des DoS (> 512 octets,
> > IPv6, DNSSEC, etc) et, lorsqu'il y a une DoS, deviennent
> > eux-même des SPOF (certains ne sont pas fichus d'encaisser autant
> > de trafic que le serveur situé derrière).
>
> Combien de requêtes DNS /s peut-on espérer d'un serveur PC récent ? J'ai
> d'ai chiffres de quelques milliers / s mais pas validés par de la vraie
> prod.
>
>
> > Donc, ce n'est pas une panacée.
>
> Malheureusement pour toi le load-balancing de DNS est un marché de taille
> limitée, donc tu va te retrouver avec un tas de produits bouffe-tout et/ou
> usine à gaz, faut faire le tri.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Michel Py]

>> Michel Py a écrit:
>> Pour .fr, mis à par anycast (une très bonne idée) est-ce qu'en
>> plus il y a de multiples machines derrière un load balancer
>> (genre F5 big iron ou similaire) ?

> Stephane Bortzmeyer a écrit:
> Oui, sur certains des sites anycast. Je n'ai pas d'expérience
> pratique avec le F5 Gros Fer mais je me méfie des « load
> balancers » : un certain nombre sont programmés avec les pieds,
> bloquent des requêtes légitimes en dehors des DoS (> 512 octets,
> IPv6, DNSSEC, etc) et, lorsqu'il y a une DoS, deviennent
> eux-même des SPOF (certains ne sont pas fichus d'encaisser autant
> de trafic que le serveur situé derrière).

Combien de requêtes DNS /s peut-on espérer d'un serveur PC récent ? J'ai d'ai 
chiffres de quelques milliers / s mais pas validés par de la vraie prod.


> Donc, ce n'est pas une panacée.

Malheureusement pour toi le load-balancing de DNS est un marché de taille 
limitée, donc tu va te retrouver avec un tas de produits bouffe-tout et/ou 
usine à gaz, faut faire le tri.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Michel Py]

> Stephane Bortzmeyer a écrit:
> On a un site anycast à Pékin, si c'était la question :-)

A moitié; en fait je m'intéresse plus à la partie peering/BGP qu'à 
l'emplacement physique.

> Sérieusement, BGP étant ce qu'il est, le site anycast n'a pas
> un contrôle complet de qui il sert (le seul outil de sélection
> étant la politique de peering,

Précisément.

> qui n'empêche pas un attaquant de nous envoyer des paquets

Ce que j'avais dans l'idée c'était plutôt attirer les paquets que de les 
empêcher d'arriver. Si on identifie correctement un petit nombre d'AS à 
risques, il peut être intéressant de peerer directement avec eux et d'y dédier 
un (petit) serveur chacun. 

Je vois venir l'objection: ils ne veulent pas peerer. Eh bien dans ce cas, leur 
acheter un petit tuyau de transit, ce qui permettra de leur annoncer les routes 
anycast.

Si on a un DDOS qui vient majoritairement de 1 ou 2 AS avec qui tu as une 
session eBGP, ce qui se va se passer c'est que les 1 ou 2 serveurs que tu as 
dédiés à ces AS vont pédaler dans la mélasse, mais le reste de l'infra ne vas 
pas voir grand-chose de pire que normal. Ce qu'il faut préserver à tout prix, 
c'est la session eBGP pour continuer à annoncer les préfixes, ce qui veut dire 
QOS/rate-limiting dans les deux sens.

Tu ne vas pas empêcher la foudre de tomber, mais installer un petit nombre de 
paratonnerres judicieusement placés peut être intéressant.

Mes €0.02

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Damien Fleuriot]

On 2/17/12 10:14 AM, Stephane Bortzmeyer wrote:
> Vous le savez certainement, l'Internet s'arrête le 31 mars.
> 
> j'ai rassemblé ici quelques informations et une opinion :
> 
> http://seenthis.net/messages/57473
> 


Pour info, Anonymous dément sur twitter:

http://www.theregister.co.uk/2012/02/22/anon_disowns_dns_takedown_plan/
https://twitter.com/#!/anonops/status/171942749359181824


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Michel Py]

> Stephane Bortzmeyer a écrit:
> On est français, on a les plus grosses c...s, donc rien à craindre.

Humour mis à par, c'est malheureusement un cas ou la taille compte autant que 
la manière dont on s'en sert.

Pour .fr, mis à par anycast (une très bonne idée) est-ce qu'en plus il y a de 
multiples machines derrière un load balancer (genre F5 big iron ou similaire) ?

Et en ce qui concerne anycast, est-ce qu'il y a une/plusieurs machine(s) dédiée 
aux pair(s) à risques ? (en d'autre termes: si le DDOS vient en majorité d'un 
petit nombre d'hébergeurs, y dédier un des serveurs anycast peut permettre 
d'épargner les autres, donc en théorie le reste de l'Internet continuerait à 
être servi).

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Jérôme Nicolle]

Le 17/02/12 16:38, Michel Hostettler a écrit :
> Quelqu'un a-t-il plus de précisions sur les lieux. Je souhaiterais organiser 
> ce week end une petite visite avec mes neveux de 8 et 10 ans, ils seront 
> passionnés de voir le bâtiment en imaginant la myriade de serveurs à 
> l'intérieur !

TH2 est un haut lieu touristique en effet. C'est quand même la clef de
voûte d'Internet en France, le bâtiment que si tu le coupe ça fout un
merdier noir sur quelques milliers d'AS. Ca a impressioné pas mal de
potes, surtout qu'en en sortant ils comprennent tout de suite beaucoup
mieux comment marche tout ce merdier d'Internet.

Mais pour le visiter, outre le fait qu'il faut y avoir des baies, il te
faut un guide, sans quoi tu n'auras pas les petites histoires et les
recoins amusants du DC ;)

Perso je préfère faire la visite de TH2 que celle de PA2. Plus
d’anecdote plus diversifiées. PA2 c'est toujours "ici c'est ce truc qui
est tombé en panne tel mois" "là c'est ça qui a coupé tel site" ... A
TH2, tu peux faire faire le parcours du combattant aux mômes, dans le
faux-plancher, pour suivre les câbles entre la suite free et les
routeurs de Youtube... Ah ? yen a pas ? C'est donc pour ça que ça rame !

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[J. Mardas]

Et que dire s'il s'agissait du plus gros poissons "annonyme" du 31 Mars au
1er Avril 2012 ?? :)

Le 20 février 2012 12:54, Stephane Le Men <
stephane.le...@anycast-networks.com> a écrit :

> On 02/17/2012 10:14 AM, Stephane Bortzmeyer wrote:
>
>> Vous le savez certainement, l'Internet s'arrête le 31 mars.
>>
>> j'ai rassemblé ici quelques informations et une opinion :
>>
>> http://seenthis.net/messages/**57473 
>>
>
> Dire que c'est difficile voir impossible, c'est faire la même erreur que
> ceux
> isolent le réseau de tout autre réseau afin d'en assurer la sécurité
> réseau et
> qui négligent les entrées/sorties des machines comme les clefs usb,
> lecteurs
> cd etc  Stuxnet et pas que lui ont démontré le contraire.
>
> Si un routeur possède 5 interfaces toutes à x mb/s, combien de paquets se
> perdent si 4 interfaces concentrent à pleine charge sur la dernière ?
>
> L'asymétrie maximale protocolaire du DNS, le rapport entre volumétrique
> entre la plus grande réponse DNS obtenue par la plus petite requête DNS,
> est-ce qu'on peut la constater sur l'architecture du réseau en terme de
> débit
> des liens qui raccordent les serveurs DNS ?
>
> Cela aura quelles conséquences si ce rapport est de 1 sur les
> infrastructures
> de la racine ?
> La signalisation BGP des borders de la racine a-t-elle été modifié pour
> devenir
> out-of-band plutôt que in-band comme sur quasiment tous les routeurs du
> monde. Est-ce que cela a de l’intérêt de faire de l'oob pour bgp dans le
> cas de
> la racine ?
> Avez-vous une idée de ce que devrait répondre un opérateur si un client lui
> demande du BGP oob sur un exchange point ?
>
> Connecter 10gb pour desservir 100 utilisateurs n'a pas du tout la même
> conséquence que d'utiliser la même 10gb pour desservir 1 000 000
> d'utilisateurs.
>
> Est-ce que ces chiffres sont maitrisés lien par lien sur chaque cellule
> anycast ?
> L'architectures du réseau qui dessert une cellule anycast est-elle
> régulièrement
> mise à jour pour suivre l'évolution commerciale des opérateurs qui
> desservent
> la racine ?
>
> Quel débit doit encaisser une cellule anycast de la racine pour qu'un
> client
> légitime de cette cellule ait 1 chance sur 2 de voir _toutes_ ses requêtes
> à sa
> cellule racine échouer pendant _toute_ la durée du TTL ? 3 chances 4 ?
> 7 chances sur 8 ? 15 chances sur 16 ? ...
>
> Honnêtement, j'ai cherché sans succès ces informations sur le net, et je ne
> peux pas vous donner de réponses puisqu'elles nécessitent de connaitre
> cellule
> par cellule, lien par lien des informations dont je ne dispose pas.
>
> Donc, à mon avis, si on sait répondre à ces questions et majorer la
> dernière
> question de proba sur la base de l'architecture de chaque cellule anycast,
> la
> racine tiendra. Il faudra trouver la bon majorant, parce que si un client
> à 95%
> de chance de voir ses requêtes échouer sur la durée du TTL, pour combien
> de clients sera-t-elle vu encore "up" ?
>
> Si on ne sait pas répondre, un "Stuxnet like" dirigé contre elle aura de
> très
> grande de la mettra au tapis à l'expiration du TTL, tous simplement parce
> que l'architecture des cellules aura bien peu de chance d'être correctement
> dimensionné "par hasard"
>
> Et ici, sur cette liste, à part un poignée de gens, aucun d'entre nous n'a
> à voir
> avec la gestion de ce service. Je pense que je serais pas le seul à
> écouter de
> potentielles réponses.
>
> Et pour notre info, comment cela se passe-t-il pour .fr. ?
> Est-ce que la volumétrie à ternir pour fr. est différente de la racine
> selon vous ?
> Vous vous sentez plus fort ou bien moins que la racine au nic.fr et dans
> quel
> rapport ? Est-ce que la racine assiste autant le .fr. que les opérateurs
> assistent
> la racine ?
>
> Donc, voilà , merci d'avance si vous répondez, vous pouvez prendre votre
> temps,
> je suis désolé d'avoir trainé pour répondre à votre fin du monde, mais je
> n'ai pas
> eu, et je n'ai toujours pas bcp de temps pour venir ici.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Stephane Le Men]

On 02/17/2012 10:14 AM, Stephane Bortzmeyer wrote:

Vous le savez certainement, l'Internet s'arrête le 31 mars.

j'ai rassemblé ici quelques informations et une opinion :

http://seenthis.net/messages/57473


Dire que c'est difficile voir impossible, c'est faire la même erreur que 
ceux
isolent le réseau de tout autre réseau afin d'en assurer la sécurité 
réseau et
qui négligent les entrées/sorties des machines comme les clefs usb, 
lecteurs

cd etc  Stuxnet et pas que lui ont démontré le contraire.

Si un routeur possède 5 interfaces toutes à x mb/s, combien de paquets se
perdent si 4 interfaces concentrent à pleine charge sur la dernière ?

L'asymétrie maximale protocolaire du DNS, le rapport entre volumétrique
entre la plus grande réponse DNS obtenue par la plus petite requête DNS,
est-ce qu'on peut la constater sur l'architecture du réseau en terme de 
débit

des liens qui raccordent les serveurs DNS ?

Cela aura quelles conséquences si ce rapport est de 1 sur les 
infrastructures

de la racine ?
La signalisation BGP des borders de la racine a-t-elle été modifié pour 
devenir

out-of-band plutôt que in-band comme sur quasiment tous les routeurs du
monde. Est-ce que cela a de l’intérêt de faire de l'oob pour bgp dans le 
cas de

la racine ?
Avez-vous une idée de ce que devrait répondre un opérateur si un client lui
demande du BGP oob sur un exchange point ?

Connecter 10gb pour desservir 100 utilisateurs n'a pas du tout la même
conséquence que d'utiliser la même 10gb pour desservir 1 000 000
d'utilisateurs.

Est-ce que ces chiffres sont maitrisés lien par lien sur chaque cellule 
anycast ?
L'architectures du réseau qui dessert une cellule anycast est-elle 
régulièrement
mise à jour pour suivre l'évolution commerciale des opérateurs qui 
desservent

la racine ?

Quel débit doit encaisser une cellule anycast de la racine pour qu'un 
client
légitime de cette cellule ait 1 chance sur 2 de voir _toutes_ ses 
requêtes à sa

cellule racine échouer pendant _toute_ la durée du TTL ? 3 chances 4 ?
7 chances sur 8 ? 15 chances sur 16 ? ...

Honnêtement, j'ai cherché sans succès ces informations sur le net, et je ne
peux pas vous donner de réponses puisqu'elles nécessitent de connaitre 
cellule

par cellule, lien par lien des informations dont je ne dispose pas.

Donc, à mon avis, si on sait répondre à ces questions et majorer la 
dernière
question de proba sur la base de l'architecture de chaque cellule 
anycast, la
racine tiendra. Il faudra trouver la bon majorant, parce que si un 
client à 95%

de chance de voir ses requêtes échouer sur la durée du TTL, pour combien
de clients sera-t-elle vu encore "up" ?

Si on ne sait pas répondre, un "Stuxnet like" dirigé contre elle aura de 
très

grande de la mettra au tapis à l'expiration du TTL, tous simplement parce
que l'architecture des cellules aura bien peu de chance d'être correctement
dimensionné "par hasard"

Et ici, sur cette liste, à part un poignée de gens, aucun d'entre nous 
n'a à voir
avec la gestion de ce service. Je pense que je serais pas le seul à 
écouter de

potentielles réponses.

Et pour notre info, comment cela se passe-t-il pour .fr. ?
Est-ce que la volumétrie à ternir pour fr. est différente de la racine 
selon vous ?
Vous vous sentez plus fort ou bien moins que la racine au nic.fr et dans 
quel
rapport ? Est-ce que la racine assiste autant le .fr. que les opérateurs 
assistent

la racine ?

Donc, voilà , merci d'avance si vous répondez, vous pouvez prendre votre 
temps,
je suis désolé d'avoir trainé pour répondre à votre fin du monde, mais 
je n'ai pas

eu, et je n'ai toujours pas bcp de temps pour venir ici.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Joe Abley]

On 2012-02-17, at 15:46, Patrick Maigron wrote:

> Le fin du fin étant d'aller à Culpeper le 22 mai 2012 (si Internet
> existe encore), pour qu'ils puissent imaginer la cérémonie de génération
> de la clé KSK...

La clé courante a été créée le 16 juin 2010, et on ne sait pas à ce moment-ci 
quand elle sera remplacé (allez lire la liste dnssec-deployment, par example). 
On peut espérer que le fin du monde arrive avant que nous devions prendre une 
décision au sujet de la changer.

[monster:~]% whois tourisme-dns.fr 
%%
%% This is the AFNIC Whois server.
%%
%% complete date format : DD/MM/
%% short date format: DD/MM
%% version  : FRNIC-2.5
%%
%% Rights restricted by copyright.
%% See http://www.afnic.fr/afnic/web/mentions-legales-whois_en
%%
%% Use '-h' option to obtain more information about this service.
%%
%% [2001:4900:0001:0392::::0038 REQUEST] >> tourisme-dns.fr
%%
%% RL Net [##] - RL IP [#.]
%%

%% No entries found in the AFNIC Database.

[monster:~]% 

(Sérieusement, quiconque ici qui veut observer une cérémonie de clé devrait me 
faire savoir. Les cérémonies ont lieu en anglais, et donc si vous venez, vous 
ne serez pas blessé par mon mauvais Français.)


Joe

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Patrick Maigron]

Le 17/02/2012 14:35, Damien Fleuriot a écrit :
> As documented at http://dns.icann.org/services/axfr/ these zones:
> "." (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET
> are availble for AXFR from these servers on IPv4 and IPv6:
> xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org

On 17 Feb, Michel Hostettler wrote:
> Quelqu'un a-t-il plus de précisions sur les lieux.

Vu qu'on cause tourisme, pourquoi pas les emmener plutôt à Los Angeles
ou à Culpeper, VA ?

Le fin du fin étant d'aller à Culpeper le 22 mai 2012 (si Internet
existe encore), pour qu'ils puissent imaginer la cérémonie de génération
de la clé KSK...
http://dns.icann.org/ksk/upcoming-ceremonies/ceremony-9/
http://www.root-dnssec.org/wp-content/uploads/2010/02/draft-icann-dnssec-ceremonies-00.txt

Patrick.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Jean-Philippe Pick]

On 17 Feb, Michel Hostettler wrote:
> Quelqu'un a-t-il plus de précisions sur les lieux.

De ce que j'en ai vu, il y a l'instance parsienne de
I qui se trouve à Interxion1 (Aubervilliers) et celle de
M qui se trouve à Telehouse2 (Paris).

-- 
Jean-Philippe


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Raphaël DURAND]

Le 17/02/2012 16:38, Michel Hostettler a écrit :
> Bonjour,
>
> Merci pour la carte.
>
> En zoomant un peu, on trouve les 5 serveurs de Paris (F, I, J, L et M) tous 
> situés sur l'Ile de la Cité ! Comme me l'a indiqué Bertrand, la précision de 
> la position doit être celle de la ville.
>
> Quelqu'un a-t-il plus de précisions sur les lieux. Je souhaiterais organiser 
> ce week end une petite visite avec mes neveux de 8 et 10 ans, ils seront 
> passionnés de voir le bâtiment en imaginant la myriade de serveurs à 
> l'intérieur !
>
> Cordialement,
> Michel Hostettler
>
Le kilomètre Zéro servant à tous les calculs de distance depuis et vers
Paris se situe devant la Cathédrale de Notre Dame de Paris sur l'île de
la Cité.
C'est donc bien une position standard en l'absence de plus de précision.

Mais tu peux emmener tes neveux à Notre Dame, ça se visite sans problème. ;)

Cordialement.
Raphaël Durand.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Joe Abley]

On 2012-02-17, at 10:38, Michel Hostettler wrote:

> En zoomant un peu, on trouve les 5 serveurs de Paris (F, I, J, L et M) tous 
> situés sur l'Ile de la Cité ! Comme me l'a indiqué Bertrand, la précision de 
> la position doit être celle de la ville.
> 
> Quelqu'un a-t-il plus de précisions sur les lieux.

L est située chez Equinix Paris Saint-Denis (PA2), Rue Ambroise Croizat 114, 
Saint-Denis, dans AS24990. On doit parler avec leur opérateurs pour avoir plus 
de précisions de F, I, J et M.


Joe (ICANN, Racine-L)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Michel Hostettler]

Bonjour,

Merci pour la carte.

En zoomant un peu, on trouve les 5 serveurs de Paris (F, I, J, L et M) tous 
situés sur l'Ile de la Cité ! Comme me l'a indiqué Bertrand, la précision de la 
position doit être celle de la ville.

Quelqu'un a-t-il plus de précisions sur les lieux. Je souhaiterais organiser ce 
week end une petite visite avec mes neveux de 8 et 10 ans, ils seront 
passionnés de voir le bâtiment en imaginant la myriade de serveurs à 
l'intérieur !

Cordialement,
Michel Hostettler



- Mail original -
De: "Bertrand Yvain" 
À: frnog@frnog.org
Envoyé: Vendredi 17 Février 2012 12:46:44
Objet: Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et 
autres mots-clés

On Fri, Feb 17, 2012 at 03:36:17AM -0800, Michel Py wrote:
> Ca ouvre une question tordue: même si le nombre de serveurs ou leur
> position ne sont pas officiellement connus

http://root-servers.org/

Je vous laisse juge de l'officialité de la chose.

--
Bertrand Yvain
http://www.IELO.net/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Michel Py]

>> Michel Py wrote:
>> Ca ouvre une question tordue: même si le nombre de serveurs
>> ou leur position ne sont pas officiellement connus

> Bertrand Yvain
> http://root-servers.org/
> Je vous laisse juge de l'officialité de la chose.

Sauf qu'en cas d'attaque massive il ne faut que quelques secondes pour que 
"miraculeusement" une douzaine de nouveaux serveurs apparaissent. Le cold-spare 
qui bizarrement est sorti de son carton tout seul est s'est retrouvé dans un 
rack.

Aujourd'hui, c'est impossible de dire ou est physiquement située une IP et 
combien de machines physiques la servent (load-balancer L2 en dessous 
d'anycast). Ceci est particulièrement vrai dans les zones à hauts risques 
sismiques, comme la baie de San Francisco ou l'on voit de plus en plus de 
VLANs/VPLS 10GE qui couvrent toute la baie et Sacramento (sismiquement stable). 
Un serveur qui est marqué San Jose peut basculer instantanément sur Mountain 
View, Palo Alto ou Sac sans dire rien à personne. Maintenant on a aussi des 
fous qui font du mirroir iSCSI à travers le WAN.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] DNS root zone slaving (was: Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés)

[Stephane Bortzmeyer]

On Fri, Feb 17, 2012 at 12:09:30PM +0100,
 Damien Fleuriot  wrote 
 a message of 21 lines which said:

> combien d'entre vous utilisent le "nouveau" mécanisme de BIND qui
> consiste à slaver la root zone, plutôt que l'avoir dans le fichier
> hint ?

Pourquoi « nouveau » ? BIND peut être serveur esclave depuis très
longtemps.

> Si vous ne le faites pas, pourquoi ?

La question serait plutôt « pourquoi le faire » ? En tout cas, c'est
une mauvaise idée. 

https://lists.dns-oarc.net/pipermail/dns-operations/2007-July/001803.html
(fil très long)

http://lists.freebsd.org/pipermail/freebsd-current/2007-August/075895.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Bertrand Yvain]

On Fri, Feb 17, 2012 at 03:36:17AM -0800, Michel Py wrote:
> Ca ouvre une question tordue: même si le nombre de serveurs ou leur
> position ne sont pas officiellement connus

http://root-servers.org/

Je vous laisse juge de l'officialité de la chose.

-- 
Bertrand Yvain
http://www.IELO.net/


signature.asc
Description: Digital signature

RE: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Michel Py]

> Stephane Bortzmeyer a écrit:
> j'ai rassemblé ici quelques informations et une opinion :

Est-ce tous les serveurs concernés sont en anycast ? (en BGP: annoncer la même 
route à plein d'endroits en même temps, mais ne pas servir les requêtes avec du 
trafic intra-AS et les servir du serveur le plus proche)

Ca ouvre une question tordue: même si le nombre de serveurs ou leur position ne 
sont pas officiellement connus (sauf pour les gens qui ont des grandes oreilles 
comme Stephane) est-ce que personne n'a encore écrit une moulinette qui 
analyserait un show bgp rou x.x.x.x en provenance de suffisamment de 
looking-glass pour qu'on puisse se faire une idée de la taille de l'animal ?


> Emmanuel Thierry a écrit:
> Pour le coup des serveurs anycastés, une interrogation: Si ma
> compréhension de l'anycast est correcte, on ne tape pas au hasard
> sur l'une des N instances anycast d'un serveur, mais sur celles
> étant le plus proche de la source.

Le plus proche au sens BGP, tout à fait.


> Dans ce cas, si (très hypothétique) ils réussissaient à surcharger
> la majorité des instances anycast d'une région, ils seraient
> capables de faire échouer une partie des requêtes aux root servers.
> Si l'attaque est très concentrée, cela réduit le nombre d'instances
> anycast à faire tomber, non ?

AMHA, il y a tellement de variables dont le nombre et la position de l'armée de 
zombies qu'il est nécessaire d'attendre l'attaque pour l'analyser.


> PS: Stéphane se met au troll du vendredi ? ;)

:-D

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] DNS root zone slaving (was: Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés)

[Damien Fleuriot]

On 2/17/12 10:14 AM, Stephane Bortzmeyer wrote:
> Vous le savez certainement, l'Internet s'arrête le 31 mars.
> 
> j'ai rassemblé ici quelques informations et une opinion :
> 
> http://seenthis.net/messages/57473
> 


Tiens désolé, j'en profite pour hijacker un peu le thread.

Par curiosité, combien d'entre vous utilisent le "nouveau" mécanisme de
BIND qui consiste à slaver la root zone, plutôt que l'avoir dans le
fichier hint ?

Si vous ne le faites pas, pourquoi ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Thomas Samson]

2012/2/17 Radu-Adrian Feurdean :
>
> On Fri, 17 Feb 2012 10:14:56 +0100, "Stephane Bortzmeyer"
>  said:
>
>> Vous le savez certainement, l'Internet s'arrête le 31 mars.
>
> Ah bon ? J'avais compris que c'est juste un "audit de capacite" pour la
> journee.
> ... ou alors ils ont vraiment trouve un "kill switch" ce que je doute.

Il suffit de lire http://pastebin.com/XZ3EGsbc
Ca ne ressemble pas a un kill switch, juste a un DDOS˙assez
classique (avec un rebond, plus ou moins fonctionnel).

Sauf que les serveurs visés ne sont pas classiques,
et n'ont pas un routage 'classique' non plus. Ce qui diminue
les chances de réussite assez fortement.

Par contre rien ne dit que ça ne va pas provoquer des surcharges
sur divers équipements réseaux, beaucoup de paquets udp...

-- 
Thomas SAMSON
Forecast, n.:
        A prediction of the future, based on the past, for
        which the forecaster demands payment in the present.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Radu-Adrian Feurdean]

On Fri, 17 Feb 2012 10:14:56 +0100, "Stephane Bortzmeyer"
 said:

> Vous le savez certainement, l'Internet s'arrête le 31 mars.

Ah bon ? J'avais compris que c'est juste un "audit de capacite" pour la
journee.
... ou alors ils ont vraiment trouve un "kill switch" ce que je doute.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Benoit Boissinot]

2012/2/17 Stephane Bortzmeyer :
> Vous le savez certainement, l'Internet s'arrête le 31 mars.
>
> j'ai rassemblé ici quelques informations et une opinion :
>
> http://seenthis.net/messages/57473
>

Est ce qu'il y a des informations similaires à ce qu'on trouve pour
les racines, sur les localisations et le nombre de serveur utilisé
pour .com.
Les deux racines opérées par Verisign servent-elle aussi pour .com
(soit 76 sites) ?

Benoit


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Damien Fleuriot]

On 17 Feb 2012, at 10:14, Stephane Bortzmeyer  wrote:

> Vous le savez certainement, l'Internet s'arrête le 31 mars.
> 
> j'ai rassemblé ici quelques informations et une opinion :
> 
> http://seenthis.net/messages/57473
> 

"aucune attaque n'a jamais réussi" faut voir, aux alentours de 2005 y en a 
combien qui étaient tombés des root ?

Quelqu'un se rappelle ?


Bon depuis ça a été considérablement revu et l'idée même de cette attaque me 
fait rire...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés

[Stephane Bortzmeyer]

Vous le savez certainement, l'Internet s'arrête le 31 mars.

j'ai rassemblé ici quelques informations et une opinion :

http://seenthis.net/messages/57473


---
Liste de diffusion du FRnOG
http://www.frnog.org/