Re: [FRnOG] Re: [TECH] Attaque basée sur QUIC ?
Vincent, Bien vu, c’est ça :) Merci! Saloperie de routeur avec le port UDP/1900 qui écoute sur le WAN par défaut…. C’est courant comme pratique d’ouvrir le 1900 à l’extérieur quand on veut juste UPNP pour le LAN ? > Le 30 nov. 2019 à 18:37, Vincent Bernat a écrit : > > ❦ 30 novembre 2019 17:51 +01, David Ponzone : > >> Paquet venant du serveur Cloudflare vers utilisateur, identifié comme QUIC >> par Wireshark: >> >> QUIC (Quick UDP Internet Connections) >>Public Flags: 0x4d >> ...1 = Version: Yes >> ..0. = Reset: No >> 11.. = CID Length: 8 Bytes (0x03) >>..00 = Sequence Length: 1 Byte (0x00) >>01.. = Reserved: 0x01 >>CID: 2326183228098302765 >>Version: * HT >>Sequence: 84 >>Payload: 502f312e310d0a486f73743a3233392e3235352e3235352e… >> >> Le plus étrange c’est que si on change l’IP publique de l’utilisateur, plus >> de flux. >> Dès qu’on lui remet l’ancienne, le flux reprend, mais ça commence par >> un paquet UDP venant du serveur (port 443) vers l’IP de l’utilisateur >> (port 1900). > > Ça ressemble plus à de la réflexion SSDP. > -- > Don't sacrifice clarity for small gains in "efficiency". >- The Elements of Programming Style (Kernighan & Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Attaque basée sur QUIC ?
❦ 30 novembre 2019 17:51 +01, David Ponzone : > Paquet venant du serveur Cloudflare vers utilisateur, identifié comme QUIC > par Wireshark: > > QUIC (Quick UDP Internet Connections) > Public Flags: 0x4d > ...1 = Version: Yes > ..0. = Reset: No > 11.. = CID Length: 8 Bytes (0x03) > ..00 = Sequence Length: 1 Byte (0x00) > 01.. = Reserved: 0x01 > CID: 2326183228098302765 > Version: * HT > Sequence: 84 > Payload: 502f312e310d0a486f73743a3233392e3235352e3235352e… > > Le plus étrange c’est que si on change l’IP publique de l’utilisateur, plus > de flux. > Dès qu’on lui remet l’ancienne, le flux reprend, mais ça commence par > un paquet UDP venant du serveur (port 443) vers l’IP de l’utilisateur > (port 1900). Ça ressemble plus à de la réflexion SSDP. -- Don't sacrifice clarity for small gains in "efficiency". - The Elements of Programming Style (Kernighan & Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Attaque basée sur QUIC ?
Paquet venant du serveur Cloudflare vers utilisateur, identifié comme QUIC par Wireshark: QUIC (Quick UDP Internet Connections) Public Flags: 0x4d ...1 = Version: Yes ..0. = Reset: No 11.. = CID Length: 8 Bytes (0x03) ..00 = Sequence Length: 1 Byte (0x00) 01.. = Reserved: 0x01 CID: 2326183228098302765 Version: * HT Sequence: 84 Payload: 502f312e310d0a486f73743a3233392e3235352e3235352e… Le plus étrange c’est que si on change l’IP publique de l’utilisateur, plus de flux. Dès qu’on lui remet l’ancienne, le flux reprend, mais ça commence par un paquet UDP venant du serveur (port 443) vers l’IP de l’utilisateur (port 1900). > Le 30 nov. 2019 à 17:39, Stephane Bortzmeyer a écrit : > > On Sat, Nov 30, 2019 at 05:26:29PM +0100, > David Ponzone wrote > a message of 13 lines which said: > >> Quelque’ un a déjà vu du traffic QUIC louche ? >> Genre 8Mbps soutenu sortant vers une IP Cloudflare ? > > C'est vraiment sûr que c'est du QUIC ? Quel numéro de version (comme > QUIC change souvent en ce moment, cela augmenterait les chances de > trouver le coupable) ? > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Attaque basée sur QUIC ?
On Sat, Nov 30, 2019 at 05:26:29PM +0100, David Ponzone wrote a message of 13 lines which said: > Quelque’ un a déjà vu du traffic QUIC louche ? > Genre 8Mbps soutenu sortant vers une IP Cloudflare ? C'est vraiment sûr que c'est du QUIC ? Quel numéro de version (comme QUIC change souvent en ce moment, cela augmenterait les chances de trouver le coupable) ? --- Liste de diffusion du FRnOG http://www.frnog.org/