RE: [FRnOG] [TECH] Cherche adresse IP trou noir public
> Stephane Bortzmeyer a écrit : > Alors, voilà, je cherche une adresse IP qui soit un « trou noir public », Je te propose une alternative: blackhole.ipVII.com. Sans garantie, naturellement. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Cherche adresse IP trou noir public
Pitié, pas de dinde. > Stephane Bortzmeyer a écrit : > Alors, voilà, je cherche une adresse IP qui soit un « trou noir public », > c'est-à-dire > qu'on puisse lui envoyer le trafic qu'on veut, tout disparaitra. Ta demande est courante, pas nouvelle, et sans solution (lire plus bas). > Je sais le faire sur mon réseau, merci, Comme tout le monde. > mais je me demandais si cela existait déjà quelque part, > par exemple en anycasté (un AS 112 en IP ?) Pas public. Nombre d'ASes (:P) d'une certaine taille ont un /24 attrape-merdasse qui change souvent, ceci-dit. > Le but est de déléguer des noms de domaine à des serveurs de noms publics > mais qui ne répondent pas (supprimer le nom de domaine est moins efficace, > pour des raisons de durée de vie dans le cache). Un trou d'évier, quoi. Cà parait logique : vu que ton business c'est DNS, tu veux un trou noir pour ton truc. Ta demande n'est pas spéciale, tout le monde en veut un pour des raisons similaires. > Attention, c'est bien pour les envoyer comme référence à > des tiers donc cela doit marcher depuis tout l'Internet. C'est bien pour çà que ca n'existe pas, et en écrivant ceci je lis ce qui est plus bas, et je ferai un copier-coller. > Je pensais utiliser des adresses non routées comme 198.18.0.0/15 ou > 203.0.113.0/24 mais ce n'est pas leur sémantique normale. Même si tu vendais ton âme au diable et que tu, après avoir bu trop de Stroh, décidais de faire le contraire de ce que nombre de RFC disent et d'essayer d'annoncer un de ces préfixes sur l'Internet, ça ne marcherait pas. Pourquoi : tout ce qui est désigné comme "special use" va rapidement faire part des bogons et autres détritus. La bonne nouvelle : beaucoup de gens vont les bloquer. La mauvaise nouvelle : les mêmes gens qui bloquent le trafic vont aussi ignorer ton préfixe; donc tu perdrais ton temps à essayer de l'annoncer. Même sur mon modeste routeur à la maison, je ne les prendrais pas. c1841-michel#sh ip rou 198.18.0.0 Routing entry for 198.18.0.0/15, supernet Known via "bgp 65532", distance 20, metric 0 Tag 65332, type external Last update from 192.0.2.1 1w0d ago Routing Descriptor Blocks: * 192.0.2.1, from x.x.x.x, 1w0d ago Route metric is 0, traffic share count is 1 AS Hops 1 Route tag 65332 MPLS label: none c1841-michel#sh ip rou 203.0.113.0 Routing entry for 203.0.113.0/24 Known via "bgp 65532", distance 20, metric 0 Tag 65332, type external Last update from 192.0.2.1 1w0d ago Routing Descriptor Blocks: * 192.0.2.1, from x.x.x.x, 1w0d ago Route metric is 0, traffic share count is 1 AS Hops 1 Route tag 65332 MPLS label: none Pour les puristes, à noter : Last update from 192.0.2.1 1w0d ago c1841-michel#sh run ip route 192.0.2.1 255.255.255.255 Null0 name BLACKHOLE Appât à troll : est-ce qu'il aurait fallu à la place faire : ip route 192.0.2.0 255.255.255.0 Null0 name BLACKHOLE ? Cà ce discute. c1841-michel#sh ip bgp 198.18.0.0/15 BGP routing table entry for 198.18.0.0/15, version 2543 Paths: (2 available, best #1, table default, not advertised to EBGP peer) Not advertised to any peer 65332 192.0.2.1 from x.x.x.x (x.x.x.x) Origin IGP, localpref 100, valid, external, best Community: 65332:888 no-export 65332 192.0.2.1 from y.y.y.y (192.168.z.z) Origin IGP, localpref 100, valid, external Community: 65332:888 no-export c1841-michel#sh ip bgp 203.0.113.0/24 BGP routing table entry for 203.0.113.0/24, version 2874 Paths: (2 available, best #1, table default, not advertised to EBGP peer) Not advertised to any peer 65332 192.0.2.1 from x.x.x.x (x.x.x.x) Origin IGP, localpref 100, valid, external, best Community: 65332:888 no-export 65332 192.0.2.1 from y.y.y.y (192.168.z.z) Origin IGP, localpref 100, valid, external Community: 65332:888 no-export c1841-michel#sh ip bgp 192.0.2.1/24 BGP routing table entry for 192.0.2.0/24, version 710 Paths: (2 available, best #1, table default, not advertised to EBGP peer) Not advertised to any peer 65332 192.0.2.1 from x.x.x.x (x.x.x.x) Origin IGP, localpref 100, valid, external, best Community: 65332:888 no-export 65332 192.0.2.1 from y.y.y.y (192.168.z.z) Origin IGP, localpref 100, valid, external Community: 65332:888 no-export > Attention, c'est bien pour les envoyer comme référence à > des tiers donc cela doit marcher depuis tout l'Internet. Ce que tu veux, c'est que tout le monde prenne ta patate chaude pour toi. Annoncer un trou noir, c'est un paratonnerre à emmerdes, ce qui est une des deux raisons profondes (l'autre étant le coût de la bande passante) pour lesquelles personne ne le fait. > À ma connaissance, il n'y a pas d'adresse IPv4 prévue pour faire des puits / > éviers / trous noirs. CQFD. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cherche adresse IP trou noir public
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 26/11/2014 15:14, Stephane Bortzmeyer wrote: > RFC 1918 ne convient pas car le client DNS a peut-être de telles > adresses dans son réseau local. 127/8 a le même problème. > > Je pensais utiliser des adresses non routées comme 198.18.0.0/15 ou > 203.0.113.0/24 mais ce n'est pas leur sémantique normale. Salut Stéphane, Vu la RFC 5737 j'aurais tendance à regarder 192.0.2.0/24 (TEST-NET-1), qui présente l'avantage d'être petite donc moins intéressante et moins connue d'un admin qui utilisea plutôt des RFC 1918 en interne. Les considérations opérationnelles semblent correspondre à ton besoin 4. Operational Implications Addresses within the TEST-NET-1, TEST-NET-2, and TEST-NET-3 blocks SHOULD NOT appear on the public Internet and are used without any coordination with IANA or an Internet registry [RFC2050]. Network operators SHOULD add these address blocks to the list of non- routeable address spaces, and if packet filters are deployed, then this address block SHOULD be added to packet filters. These blocks are not for local use, and the filters may be used in both local and public contexts. Par ailleurs beaucoup l'utilisent justement pour blackholer le trafic, ça semble donc être un choix moins pire que les autres, même si ce bloc sert en principe à la documentation. Bonne soirée, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) iF4EAREIAAYFAlR2GHsACgkQJBGsD8mtnRF7CAEApTN0ME6RFnHjV4cit8mxRFOK +8YnJmRCB6bvBlslsaoBAK3hDyZWZ9neG8N72b0XY+YsotvIOrU4AABuEjRmiwAL =w5R4 -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cherche adresse IP trou noir public
On Wed, 26 Nov 2014 15:14:14 +0100 Stephane Bortzmeyer wrote: >| Alors, voilà, je cherche une adresse IP qui soit un « trou noir >| public », c'est-à-dire qu'on puisse lui envoyer le trafic qu'on veut, >| tout disparaitra. >| >| Je sais le faire sur mon réseau, merci, mais je me demandais si cela >| existait déjà quelque part, par exemple en anycasté (un AS 112 en >| IP ?) >| >| Le but est de déléguer des noms de domaine à des serveurs de noms >| publics mais qui ne répondent pas (supprimer le nom de domaine est >| moins efficace, pour des raisons de durée de vie dans le cache). Un >| trou d'évier, quoi. Comme: ns1.suspended-for.spam-and-abuse.com/64.202.167.73 ? (Cf par exemple: dig -t ns ircqfrum.com @c.gtld-servers.net.) Un problème que je vois à ce genre de chose c'est que les résolveurs attendent ensuite la réponse jusqu'à leur timeout. Et si je ne dis pas de bétise, une machine configurée avec 2 résolveurs vas interroger les 2 successivement. Si le domaine en question est répandu (par example utilisé dans un malware diffusé à grande échelle), ca peut charger les résolveurs, non ? Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cherche adresse IP trou noir public
Bonjour Stéphane, En fait, ce serait une adresse IP de type APN (adresse du père Noël). Il faudrait peut-être lui associer une date d'échéance. Cordialement, Michel - Mail original - De: "Stephane Bortzmeyer" À: frnog-t...@frnog.org Envoyé: Mercredi 26 Novembre 2014 15:14:14 Objet: [FRnOG] [TECH] Cherche adresse IP trou noir public Alors, voilà, je cherche une adresse IP qui soit un « trou noir public », c'est-à-dire qu'on puisse lui envoyer le trafic qu'on veut, tout disparaitra. Je sais le faire sur mon réseau, merci, mais je me demandais si cela existait déjà quelque part, par exemple en anycasté (un AS 112 en IP ?) Le but est de déléguer des noms de domaine à des serveurs de noms publics mais qui ne répondent pas (supprimer le nom de domaine est moins efficace, pour des raisons de durée de vie dans le cache). Un trou d'évier, quoi. Attention, c'est bien pour les envoyer comme référence à des tiers donc cela doit marcher depuis tout l'Internet. RFC 1918 ne convient pas car le client DNS a peut-être de telles adresses dans son réseau local. 127/8 a le même problème. Je pensais utiliser des adresses non routées comme 198.18.0.0/15 ou 203.0.113.0/24 mais ce n'est pas leur sémantique normale. À ma connaissance, il n'y a pas d'adresse IPv4 prévue pour faire des puits / éviers / trous noirs. IPv6 a 100::/64 qui peut, en le tordant un peu, servir à cela, mais ce n'est qu'en interne, il n'existe pas de service 100::/64 public. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Cherche adresse IP trou noir public
Alors, voilà, je cherche une adresse IP qui soit un « trou noir public », c'est-à-dire qu'on puisse lui envoyer le trafic qu'on veut, tout disparaitra. Je sais le faire sur mon réseau, merci, mais je me demandais si cela existait déjà quelque part, par exemple en anycasté (un AS 112 en IP ?) Le but est de déléguer des noms de domaine à des serveurs de noms publics mais qui ne répondent pas (supprimer le nom de domaine est moins efficace, pour des raisons de durée de vie dans le cache). Un trou d'évier, quoi. Attention, c'est bien pour les envoyer comme référence à des tiers donc cela doit marcher depuis tout l'Internet. RFC 1918 ne convient pas car le client DNS a peut-être de telles adresses dans son réseau local. 127/8 a le même problème. Je pensais utiliser des adresses non routées comme 198.18.0.0/15 ou 203.0.113.0/24 mais ce n'est pas leur sémantique normale. À ma connaissance, il n'y a pas d'adresse IPv4 prévue pour faire des puits / éviers / trous noirs. IPv6 a 100::/64 qui peut, en le tordant un peu, servir à cela, mais ce n'est qu'en interne, il n'existe pas de service 100::/64 public. --- Liste de diffusion du FRnOG http://www.frnog.org/