On 02/17/2012 10:14 AM, Stephane Bortzmeyer wrote:
Vous le savez certainement, l'Internet s'arrête le 31 mars.
j'ai rassemblé ici quelques informations et une opinion :
http://seenthis.net/messages/57473
Dire que c'est difficile voir impossible, c'est faire la même erreur que
ceux
isolent
On 02/21/2012 09:57 AM, Stephane Bortzmeyer wrote:
Juste que le plan d'attaque envoyé sur
pastebin était très insuffisant : ce n'est pas comme ça qu'on fait
tomber la racine.
On, (je m') s'en fout se savoir comment cela se passera, cela ne
m'intéresse pas. Cette question là n'intéressera
On 02/21/2012 09:57 AM, Stephane Bortzmeyer wrote:
On Mon, Feb 20, 2012 at 02:43:42PM +0100,
Stephane Le Menstephane.le...@anycast-networks.com wrote
a message of 19 lines which said:
Si un éléphant a le coeur d'une souris, il va avoir de sérieux
problèmes. Apparemment ce n'est pas
On 02/20/2012 02:21 PM, Stephane Bortzmeyer wrote:
Plus sérieusement, .fr est conçu pour résister à des attaques dDoS
jusqu'à une _certaine_ taille (merci à Fernand R. pour la
précision). Cette résistance a été vérifiée aussi bien par les
organismes nationaux (ANSSI) que par des trucs
On 02/22/2012 12:25 PM, Stephane Bortzmeyer wrote:
On a un site anycast à Pékin, si c'était la question :-) Sérieusement,
BGP étant ce qu'il est, le site anycast n'a pas un contrôle complet de
qui il sert (le seul outil de sélection étant la politique de peering,
qui n'empêche pas un attaquant
On 02/23/2012 05:58 PM, Benoit Peccatte wrote:
PS: les méthaphores c'est comme les mails frnog,
je ne les comprends pas toujours très bien et l'autre c'est une sorte de
droque.
Il faut bien regarder le dessin d'un ensemble de Mandelbrot pour saisir
l'importance de la métaphore
On 02/23/2012 07:20 PM, Florian Lacommare wrote:
Si je pige bien tout, au final, rendre HS la racine ne serait pas
possible (à prendre avec des pincettes, rien n'est impossible) mais
on pourrait couper une partie des personnes d'Internet si certains
noeuds sont plus fragiles que d'autres en les
On 02/23/2012 10:52 PM, Jean-Philippe Pick wrote:
Merci beaucoup, mais votre liste n'est pas du tout à jour :
Hier, j'ai noté que le fr. donnait cela en France:
dig +short ns fr.
c.nic.fr.
g.ext.nic.fr.
d.nic.fr.
d.ext.nic.fr.
e.ext.nic.fr.
f.ext.nic.fr.
Aujourd'hui il me donne cela:
On 03/25/2012 09:33 PM, Stephane Bortzmeyer wrote:
Bon, pronostic : RPKI mort-né, Rover on a roll ?
Encore trop tôt pour le dire. Je prends le pari que la grande majorité
de Frnog n'a aucune opinion, ni sur RPKI, ni sur Rover :-)
Mon opinion sur ces protocoles est que le niveau de sécurité
On 03/28/2012 05:02 AM, Michel Py wrote:
Bonjour l'usine à gaz.
Usine à paquets, je le reconnais volontiers, mais les VPN fournissent
une solution sans rajouter de nouveau dataflow dans routing et couvre 3
trois problèmes:
- assurance de la route, objectif premier
- assurance que les AS
On 03/28/2012 02:17 PM, Laurent CARON wrote:
Ce qui veut dire que tu établis un tunnel par AS avec lequel tu souhaite
communiquer.
Oui au minimun, mais en fait c'est plus, car un AS peut ne pas annoncer
tous ses préfixes sur tous ses liens.
Bon courage pour monter 40 000 tunnels sur
On 04/04/2012 09:26 PM, Stephane Bortzmeyer wrote:
On Wed, Apr 04, 2012 at 09:00:14AM -0700,
Michel Pymic...@arneill-py.sacramento.ca.us wrote
a message of 14 lines which said:
Je le sais très bien mais euh, çà c'est quoi ?
http://www.arcep.fr/index.php?id=10396
Un régulateur qui cite de
On 04/05/2012 07:45 PM, Guillaume Mellier wrote:
En tout état de cause, l’ARCEP n’a pas aujourd’hui l’intention de réguler
ce marché de l’interconnexion IP.
Vu que l'autorité de la concurrence a validé l'exigence d'une
facturation à Cogent dans l'affaire MU, et qu'un acteur comme Google est
On 06/26/2012 09:38 AM, Stephane Bortzmeyer wrote:
http://www.ssi.gouv.fr/fr/menu/actualites/l-anssi-et-l-afnic-publie-un-etat-des-lieux-de-l-internet-francais.html
».
Il s'agit d'étudier*quantitativement* la résilience de l'Internet
dans ce pays (oui, je sais, l'Internet est mondial, mais
On 06/27/2012 02:23 PM, Jérôme Nicolle wrote:
l n'y a que 163 AS français
Source ?
Bien vu, j'avais mal lu, seulement connectés aux 4 AS testés :
nous avons pu déterminer que 163 d’entre eux sont à forte concentration
géographique française.
Mais cela ne change rien au problème:
Si tu
On 06/27/2012 11:36 PM, Radu-Adrian Feurdean wrote:
Quand on connait SIGTRAN, on peut vous poser la question: est-ce
possible d'avoir deux vues indépendantes de BGP qui cohabitent
simultanément sur des infras dédiés et où le trafic est loadbalancé ?
Load-balance entre quoi et quoi ?
On 07/08/2012 01:28 PM, Xavier Hinfray wrote:
c est décentralisé. mais quand un bug logiciel fait planter un bout
du hlr , celui ci passe sur un autre noeud. et l autre noeud plante à
son tour un peu plus tard à cause du même bug bref, décentralisé
ne change rien pour ce type de problème.
On 07/09/2012 06:33 PM, Alain Thivillon wrote:
en 2G, le réseau impose une réauthentification du mobile à chaque
utilisation de ressource
en 2G, mais ce sont des utilisateurs 3G qui ont été impactés, et en
plus grand nombre.
La différence entre un échec authentification sur l'AuC et une
Le 26/07/2012 10:46, Raphael MAUNIER a écrit :
heu, non
Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être
capable de vous expliquer où est le SPOF de votre conf BGP via à vis de
3215.
Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous
montrer.
Le 26/07/2012 10:57, Nicolas Strina a écrit :
Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait
être capable de vous expliquer où est le SPOF de
votre conf BGP via à vis de 3215.
C'est quoi le rapport ?
Le rapport c'est qu'il vient de prendre le service de circuit sur
Le 26/07/2012 11:22, Jérémy Martin a écrit :
Wow, Stéphane, tu as fumé quoi ce matin ? :)
C'est peut être vrai. Je suis nul en français et je m'en excuse auprès
de mes lecteurs.
Le rapport c'est qu'il vient de prendre le service de circuit sur
l’Internet avec 3215. Avant d'être un incident
Le 26/07/2012 11:32, Raphael Maunier a écrit :
Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit,
surtout vu la deuxieme reponse.:)
Vous n'avez rien à expliquer, nous n'avons qu'à constater.
Ce qui est visible de l’extérieur décrit en partie ce qui se passe à
l’intérieur.
Le 26/07/2012 12:09, Richard DEMONGEOT a écrit :
Vu les trois points, RPKI ou non, le résultat est le même.
Ma compréhension est que dans l'hypothèse où RPKI est déployé et activé,
il aurait du couvrir ce problème d'annonces erronées.
D'où l'invitation au troll de l'OP.
L'important reste
Le 26/07/2012 13:32, Damien Fleuriot a écrit :
Alors je vais être un peu sec mais c'est une réponse très conne.
Encore heureux que Neo ne nous accorde pas de l'attention qu'en fonction
de notre*trafic* parce que ce qui peut représenter 3% pour eux, pour
nous c'est de la*prod* et notre
Le 26/07/2012 15:00, Michel Moriniaux a écrit :
depuis que nous suivons vos interventions vous etes très evasif sur la
solution qui selon vous sauverait le monde.
Il me semble avoir déjà donné les principes qui guident ma démarche.
Elle consiste juste à rappeler que si un opérateur se doit de
Ce qui me gêne un peu plus c'est que c'est une des briques du grand
firewall Chinois/Iranien/Français (inutile de rayer la mention inutile :
la Loi LOPSSI nous prépare des choses sympa dans ce domaine...).
Pas besoin d'aller si loin, tous votre trafic http sur mobile passe par un
Firewall
Le constat est que tout passe dans un énorme tuyau qu'est le HTTP et que
peut être qu'il faudrait y mettre plus de contrôle à l'intérieur, avec des
nouveaux outils plus adaptés que ce qu'on a aujourd'hui.
http://en.wikipedia.org/wiki/Multilayer_switch
Et ça fait aussi avec des linux
Quelquesoit le domaine, le notre inclus, une révolution et
un changement des mentalités ne se fait pas en quelques jours.
Concernant l'Internet, la révolution a laissé quelques plaies encore
bien ouvertes.
http://www.orange.com/fr_FR/finance/financement/info-dette/
Il ne reste plus que les accès résidentiels, mais pour combien de temps?
C'est vendable un abo Internet grand public IPv6 only ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Avec du NAT64, pourquoi ce ne serait pas vendable?
Aimablement, Mr G. m'a présenté la solution en privé. Merci.
Mais je trouve la solution moche comme un pou, sans le DNS du FAI,
on ne sait pas où est la boite NAT64.
Quelqu'un pourrait expliquer pourquoi on n'a pas voulu que les ip du
block
J'ai surement mal compris la demande originale, mais il était question
de savoir s'il était possible d'offrir un accès full IPv6 pour le grand
public.
C'était bien ma question
1. Tu veux faire communiquer un réseau de génération N+1 avec un
réseau de génération N, mais tu sera obligé d'avoir
On 01/13/2012 11:02 AM, Xavier Beaudouin wrote:
J'en vois pas mal qui s'amusent a annoncer des /23 ou /24 alors qu'ils ont un
plus gros prefix alloué...
Perso ca me gonfle... :)
Quand on a grosse allocation et plein de lieux de présence, on peut préférer
que ce soit sur l'Internet que le
On 02/04/2012 05:44 PM, Stephane Bortzmeyer wrote:
http://internetgovernance.org/pdf/RPKI-VilniusIGPfinal.pdf, cela
peut changer les rôles des acteurs de la gouvernance de l'Internet et
la RPKI devrait donc être discutée politiquement, pas uniquement
techniquement. Pour l'instant, les partisans
On 02/04/2012 06:38 PM, Stephane Bortzmeyer wrote:
Primo, je ne crois pas que le RIPE-NCC soit sous l'autorité du
FBI. C'est plutôt la Koninklijke Marechaussee qu'il faut craindre :-)
Bien oui justement, je ne pense pas que le RIPE-NCC, ni aucun autre RIR
en fassent
plus qu'un registrar quand
On 02/04/2012 09:54 PM, Stephane Bortzmeyer wrote:
RIR). Un tel empoisonnement signifierait probablement la fin de la
RPKI (plus personne ne validerait) donc, si le FBI compte utiliser la
RPKI, il ne pourra le faire qu'une fois. Bonus : si le préfixe était
alloué par le RIPE, et que l'annonce
On 02/05/2012 11:46 AM, Stephane Bortzmeyer wrote:
La RPKI ne changerait pas grand'chose, de ce point de vue : « vous
bloquez l'accès à 194.71.107.0/24, par une null-route mise à la main,
ou par la RPKI, je m'en fous ». Et on doit obéir.
Les démocraties ont a appris à mettre des gants. Il est
Est-ce que l'affaire MU a énervé suffisamment de monde pour qu'ils
se concertent et changent le contenue du root.cache de leur DNS ?
Si quelqu'un l'a fait, ça prouve qu'il est totalement incompétent et
qu'il ne faut pas lui confier un serveur DNS. Les saisies de l'ICE ou
du FBI ont porté sur
ce message est à destination des admin de Free : vous routez certaines IP
privées depuis les freebox.
$ tracepath 192.168.2.1
1: Newton.local (192.168.107.107) 0.242ms pmtu
1500
1: 192.168.107.254 (192.168.107.254) 1.873ms
1: 192.168.107.254
Je ne viens ni me plaindre, ni troller, mais j'aimerai comprends
l'intérêt technique d'un tel système de nos jours, sous entendu que ce
n'est surement pas pour faire du cache.
Je n'ai plus ni abonnement 2g, ni 3g et donc je ne suis pas capable
de vérifier moi meme sur mon abonnement, mais
Le vendredi 26 février 2010 à 18:20 +0100, Raphaël Jacquot a écrit :
http://www.ripe.net/news/2010-be-heard.html
(et puis quoi encore ?)
Détruire et effacer de nos mémoires e164.arpa.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Donc tu peux détecter les flux HTTPS P2P, et les brider si par exemple:
- l'upload passe 2k, car des headers HTTP ne sont jamais aussi gros
- la connection est ouverte depuis plus de 20 secondes
Les équipements DPI du commerce font ça aujourd'hui. Maintenant les règles
réelle sont plus
Le mardi 23 mars 2010 à 10:45 +, Thomas Mangin a écrit :
Généralement, quand tu veux brider: tu priorise ce que tu peux analyser,
si ce n'est pas analysable, c'est crypte et P2P et tu brides.
Pour cela NBAR de cisco ca suffit - je peux même poster une config si tu
veux tester :p
Le message d'Octave sur la mailing list ovh
http://pastebin.com/JkDPtzuf
Je ne comprend pas ce genre de stratégie, je veux bien être le
candide à qui on a besoin de faire un dessin pour comprendre
les packets qui sont filtrés, ils seront bien passés par une ligne avant
d'etre detruit par le
les packets qui sont filtrés, ils seront bien passés par une ligne avant
d'etre detruit par le routeur.
Les packets passeront sur le lien entre le transitaire/peer et OVH -
mais ce que OVH protège c'est son backbone, il ne cherche pas a
réduire sa facture de transit mais a proteger ses liens
Certains FAIs surtout, et donc potentiellement tous les clients derrière
leurs résolveurs...
C'est quand meme une solution qui est promis à un avenir.
DNSSEC remettra les FAI Picsou dans le droit chemin.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Le vendredi 02 juillet 2010 à 18:28 +0200, Frédéric Motte a écrit :
C'est quand meme une solution qui est promis à un avenir.
DNSSEC remettra les FAI Picsou dans le droit chemin.
Seulement si le DNSSEC est sur le poste client mais comme le disait
Stephane Bortzmeyer vendredi dernier
46 matches
Mail list logo