Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Allez, juste pour rebondir sur le sujet : http://www.infosecurity-magazine.com/news/krebs-website-hit-by-620-gbps-ddos Bien cordialement, Florian STOSSE | Apprenti-Ingénieur sécurité informatique *Bureau Veritas - Service Sûreté de Fonctionnement | ESIEA Paris* Le 15 septembre 2016 à 08:00, megagolgoth a écrit : > Bonjour, > > C'est pas encore trolldi mais : https://www.schneier.com/blog/ > archives/2016/09/someone_is_lear.html > > Qu'en pensez-vous? > > Megagolgoth > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
> Le 16 sept. 2016 à 14:09, Jérôme Nicolle a écrit : > > Kavé, > > Le 16/09/2016 à 10:07, Kavé Salamatian a écrit : >> Mais quand 4 à 7 AS différentes aux quatres coins du monde font la même >> erreur de petites mains à la minute près c’est plus une histoire de doigts >> gras. Ajouter à cela qu’un gros DDOS commence aussi en même temps. > > Alors ça me fait très plaisir que tu remonte ce cas précis. > > En 2012 j'avais commencé à théoriser une attaque qui consiste à amorcer > un DDoS pour pousser un AS à se cacher derrière un nettoyeur et shutter > ses peers, histoire pour l'attaquant de gagner le match de visibilité > par des hijack ciblés (originés par le bon AS via/ou AS23456 tant qu'à > faire). C’est vraisemblablement quelque chose de similaire qui est en train d’être expérimenté. > > Bizarrement l'ANSSI n'a pas l'air d'avoir approfondi la piste, et j'ai > pas trouvé de contremesure viable. Il y’a des pistes mais qui casserait le modèle actuel de loose cooperation dans BGP. Plus généralement la caractérisation de BGP (détection de mauvaise configuration, détection de comportement, compréhension du comportement) reste un challenge scientifique). A+ Kv > > Tu as une idée ? > > -- > Jérôme Nicolle > 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Kavé, Le 16/09/2016 à 10:07, Kavé Salamatian a écrit : > Mais quand 4 à 7 AS différentes aux quatres coins du monde font la même > erreur de petites mains à la minute près c’est plus une histoire de doigts > gras. Ajouter à cela qu’un gros DDOS commence aussi en même temps. Alors ça me fait très plaisir que tu remonte ce cas précis. En 2012 j'avais commencé à théoriser une attaque qui consiste à amorcer un DDoS pour pousser un AS à se cacher derrière un nettoyeur et shutter ses peers, histoire pour l'attaquant de gagner le match de visibilité par des hijack ciblés (originés par le bon AS via/ou AS23456 tant qu'à faire). Bizarrement l'ANSSI n'a pas l'air d'avoir approfondi la piste, et j'ai pas trouvé de contremesure viable. Tu as une idée ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Bonjour, > Le 16 sept. 2016 à 11:27, Solarus a écrit : > > Le 2016-09-16 10:10, Kavé Salamatian a écrit : > >> Je ne pense pas que le RPKI soit une solution à tout les problèmes … > Bonjour Kavé. > > RPKI n’est pas une solution à tous les problèmes, mais une solution aux > usurpations de préfixe, nous le savons tous. > > Ces DDOS sont inquiétants, mais je ne vois pas quelle finalité pourrait > représenter une menace. Ce ne sont pas les DDOS per se qui sont inquiétants. C’est la coordination de DDOS et d’activités BGP et ceux aux niveau international. > > Pour moi la méthode de réflexion doit-être la suivante : > 1°) Ces DDOS sont ils en mesure de saturer les Tier1 visés ? A eu seul non. Combiner au BGP il peuvent générer des effets qu’il reste à évaluer. > 2°) Ces DDOS peuvent ils amener des attaquants à exploiter des failles > logicielles ou structurelles ? Peut être. On pense que les attaques ne sont actuellement que des « proof of concept » > 3°) Ces failles ont elles un correctif logiciel ou structurel déployable > (anti-botnet, failles Kaminski, DNSSEC, RPKI,…) ? Il faudrait déjà en prendre conscience, comprendre leur motivation et après trouver la parade. > > La réponse à la question 1 me semble évidente, c’est la question 2 qui nous > intéresse. > Si et seulement si la réponse à la question 3 est non, il y aura de quoi > paniquer. On ne panique pas. On informe. Maintenant si les oreilles sont fermées ….. > > En attendant, si il est vrai que quelqu’un ajuste sa technique pour saturer > Internet, il est tout aussi vrai qu’une armée d’ingénieurs ajustent leurs > technique pour continuer à faire fonctionner Internet. C’est comme ça depuis > le début du Net, et nous sommes toujours là à a discuter sur cette ML. :) > > Vous avez raison d’étudier ce phénomène, mais en l’état je ne vois pas de > menace tangible. > Un peu comme avec les astéroïdes en fait, on garde un œil dessus au cas où, > mais on continue à dormir sur nos deux oreilles. Je dormirai que sur une seule oreille. Cordialement Kv > > Cordialement > Solarus > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Le 2016-09-16 10:10, Kavé Salamatian a écrit : Je ne pense pas que le RPKI soit une solution à tout les problèmes … Bonjour Kavé. RPKI n’est pas une solution à tous les problèmes, mais une solution aux usurpations de préfixe, nous le savons tous. Ces DDOS sont inquiétants, mais je ne vois pas quelle finalité pourrait représenter une menace. Pour moi la méthode de réflexion doit-être la suivante : 1°) Ces DDOS sont ils en mesure de saturer les Tier1 visés ? 2°) Ces DDOS peuvent ils amener des attaquants à exploiter des failles logicielles ou structurelles ? 3°) Ces failles ont elles un correctif logiciel ou structurel déployable (anti-botnet, failles Kaminski, DNSSEC, RPKI,…) ? La réponse à la question 1 me semble évidente, c’est la question 2 qui nous intéresse. Si et seulement si la réponse à la question 3 est non, il y aura de quoi paniquer. En attendant, si il est vrai que quelqu’un ajuste sa technique pour saturer Internet, il est tout aussi vrai qu’une armée d’ingénieurs ajustent leurs technique pour continuer à faire fonctionner Internet. C’est comme ça depuis le début du Net, et nous sommes toujours là à a discuter sur cette ML. :) Vous avez raison d’étudier ce phénomène, mais en l’état je ne vois pas de menace tangible. Un peu comme avec les astéroïdes en fait, on garde un œil dessus au cas où, mais on continue à dormir sur nos deux oreilles. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Docteur, j’ai la fièvre aujourd’hui pourtant en décembre la mesure de la température rectale de mon cousin à Tahiti était normale ! Les événements visent des tiers 1 principalement US et ont débuté en mai 2016 ! Kv > Le 16 sept. 2016 à 09:43, Stephane Bortzmeyer a écrit : > > On Fri, Sep 16, 2016 at 08:43:42AM +0200, > Jérôme Nicolle wrote > a message of 35 lines which said: > >> On voit bien que c'est "chatty" hein, pas besoin de sonder bien plus >> loin que sur des petits IX. Mais il y a plein de facteurs pour >> expliquer ça. > > Et si on veut des chiffres précis, avec des études concrètes et une > méthodologie documentée et tout, on a le Rapport sur la Résilience > de l'Internet : > > http://www.ssi.gouv.fr/agence/rayonnement-scientifique/lobservatoire-de-la-resilience-de-linternet-francais/ > > « 1.3 Usurpations de préfixes > Résultats globaux > En 2015, l’observatoire a détecté 6392 conflits d’annonces. Ils ciblent 344 > AS français > distincts, et 1350 préfixes. Leur classification est fournie dans la figure > 1.9. Près de > 50% d’entre eux sont des annonces légitimes validées par des objets > route ou des ROA. Environ 2% des conflits sont uniquement validés par des > ROA. ... » > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
> Le 16 sept. 2016 à 09:31, Xavier Beaudouin a écrit : > > Hello, > >> Le 16/09/2016 à 08:19, Kavé Salamatian a écrit : >>> Pas trop. Je fais du monitoring BGP multi-points et je peux confirmer >>> la croissance d’essai de Hijack BGP à grande échelle et coordonnés >>> depuis quelques mois. J’ai contacté Bruce et nos observations >>> concorde. Il se passe réellement quelque chose …… >> >> On voit bien que c'est "chatty" hein, pas besoin de sonder bien plus >> loin que sur des petits IX. Mais il y a plein de facteurs pour expliquer ça. >> >> En essayant de faire concorder le nombre de nouveaux petits-AS, encore >> un peu jeune et plein de doigts trop gras, avec la verbosité actuelle du >> BGP public, ça a l'air de matcher. > > Sans compter les vendeurs "d'optimizeur de traffic" (BGP donc) qui font du > hijack BGP des AS de certain eyeballs configuré sur un backbone par un gars > qui as oublié de mettre un filtre en sortie (ou l'optimizeur BGP qui ne > connais pas la communauté BGP NO_EXPORT). > > Testé et approuvé lorsqu'une alerte de hijacking BGP m'est remontée récemment > (il y a donc moins d'un an). En effet, j’ai vu ca aussi :-). > > Les quick fix comme RPKI que peut de gens implémentent / utilisent (et > surtout pas les tier-1/tier-2, car il ne faut pas perdre de clients...) ne > servent encore a rien… Je ne pense pas que le RPKI soit une solution à tout les problèmes … A+ Kv > > Bref... voila. > > Après je ne parles pas de BCP38 car quand je vois les torrents de saloperies > en UDP... (rien à voir avec des .torrent)... > > Xavier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Bonjour, > Le 16 sept. 2016 à 08:43, Jérôme Nicolle a écrit : > > Kavé, > > Le 16/09/2016 à 08:19, Kavé Salamatian a écrit : >> Pas trop. Je fais du monitoring BGP multi-points et je peux confirmer >> la croissance d’essai de Hijack BGP à grande échelle et coordonnés >> depuis quelques mois. J’ai contacté Bruce et nos observations >> concorde. Il se passe réellement quelque chose …… > > On voit bien que c'est "chatty" hein, pas besoin de sonder bien plus > loin que sur des petits IX. Mais il y a plein de facteurs pour expliquer ça. > > En essayant de faire concorder le nombre de nouveaux petits-AS, encore > un peu jeune et plein de doigts trop gras, avec la verbosité actuelle du > BGP public, ça a l'air de matcher. On a l’habitude du coté chatty et des erreurs de configurations de petites main voir des bugs de CISCO. Mais quand 4 à 7 AS différentes aux quatres coins du monde font la même erreur de petites mains à la minute près c’est plus une histoire de doigts gras. Ajouter à cela qu’un gros DDOS commence aussi en même temps. Ca cible des tiers 1 et ca semble être des attaques visant à les déconnecter complètement en combinant du BGP Hijack coordonné et du DDOS, et ça a commencé depuis mai 2016, avec un peak d’activité en juillet-aout. Pour les voir il faut regarder plusieurs feeds, et recaler les horloges et faire du root cause analysis un petit peu non trivial. Sinon on peut s’être trompé. On a l’habitude en tant que chercheur. On cherche, on trouve et parfois pas :-). Le futur nous le dira. A+ Kv > 4) Bref, le sujet ne m'a pas l'air de mériter plus de développement. >> Il doit réveiller l’intérêt de tous car si pour l’instant cela se >> concentre sur des Tiers 1, cela peut dégénérer. > > > > -- > Jérôme Nicolle > 06 19 31 27 14 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Tu peux faire des phrases, genre sujet verbe et complément, Mani ? -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Ludovic LACOSTE Envoyé : jeudi 15 septembre 2016 12:56 À : 'Solarus' ; frnog-m...@frnog.org Objet : RE: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet Vous nous avez IPV6 et nous en sommes encore a IPV4, il y un monde qu'apparemment peu franchisses, donc on fait comment, on y va ou pas, à votre image -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Solarus Envoyé : jeudi 15 septembre 2016 12:40 À : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet Le 2016-09-15 08:00, megagolgoth a écrit : > Bonjour, > > C'est pas encore trolldi mais : > https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html > > Qu'en pensez-vous? Avec tout le respect que je porte à Bruce Schneier, cette histoire me fait rire. Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant que Internet va mourir à cause de [insérer ici une des 7 plaies d’Egypte]. Là, ce n’est même pas public, il faut acheter son livre pour savoir de quoi il retourne. Et quand bien même cette menace serait réelle, il n’existe aucun problème que l’absence de solution ne finisse par résoudre. On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling sont quand même bien avancées, à la grande joie des vendeurs de solutions. On craint un détournement des DNS ? Continuons à déployer DNSSEC. On craint un détournement de routes dans un AS BGP hostile ? Intensifions le déploiement de RPKI. À l’heure actuelle, la seule menace réelle pour Internet est la fin d’Epoch le 12 janvier 2038 qui menace les systèmes UNIX. Pour tout le reste, des solutions existent, et si nous refusons de les appliquer nous sommes coupables de laisser perdurer un Internet non-sécurisé et vulnérable. Et si cet Internet vulnérable se casse un jour la figure, on ne pourra s’en prendre qu’à nous. Alea jacta est. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Vous nous avez IPV6 et nous en sommes encore a IPV4, il y un monde qu'apparemment peu franchisses, donc on fait comment, on y va ou pas, à votre image -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Solarus Envoyé : jeudi 15 septembre 2016 12:40 À : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet Le 2016-09-15 08:00, megagolgoth a écrit : > Bonjour, > > C'est pas encore trolldi mais : > https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html > > Qu'en pensez-vous? Avec tout le respect que je porte à Bruce Schneier, cette histoire me fait rire. Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant que Internet va mourir à cause de [insérer ici une des 7 plaies d’Egypte]. Là, ce n’est même pas public, il faut acheter son livre pour savoir de quoi il retourne. Et quand bien même cette menace serait réelle, il n’existe aucun problème que l’absence de solution ne finisse par résoudre. On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling sont quand même bien avancées, à la grande joie des vendeurs de solutions. On craint un détournement des DNS ? Continuons à déployer DNSSEC. On craint un détournement de routes dans un AS BGP hostile ? Intensifions le déploiement de RPKI. À l’heure actuelle, la seule menace réelle pour Internet est la fin d’Epoch le 12 janvier 2038 qui menace les systèmes UNIX. Pour tout le reste, des solutions existent, et si nous refusons de les appliquer nous sommes coupables de laisser perdurer un Internet non-sécurisé et vulnérable. Et si cet Internet vulnérable se casse un jour la figure, on ne pourra s’en prendre qu’à nous. Alea jacta est. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Je ne crois pas que l'oiseau sera capable de scier la branche sur laquelle il est assise, Tu est en droit de le penser, mais je persiste a penser que tu te trompes . -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Solarus Envoyé : jeudi 15 septembre 2016 12:40 À : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet Le 2016-09-15 08:00, megagolgoth a écrit : > Bonjour, > > C'est pas encore trolldi mais : > https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html > > Qu'en pensez-vous? Avec tout le respect que je porte à Bruce Schneier, cette histoire me fait rire. Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant que Internet va mourir à cause de [insérer ici une des 7 plaies d’Egypte]. Là, ce n’est même pas public, il faut acheter son livre pour savoir de quoi il retourne. Et quand bien même cette menace serait réelle, il n’existe aucun problème que l’absence de solution ne finisse par résoudre. On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling sont quand même bien avancées, à la grande joie des vendeurs de solutions. On craint un détournement des DNS ? Continuons à déployer DNSSEC. On craint un détournement de routes dans un AS BGP hostile ? Intensifions le déploiement de RPKI. À l’heure actuelle, la seule menace réelle pour Internet est la fin d’Epoch le 12 janvier 2038 qui menace les systèmes UNIX. Pour tout le reste, des solutions existent, et si nous refusons de les appliquer nous sommes coupables de laisser perdurer un Internet non-sécurisé et vulnérable. Et si cet Internet vulnérable se casse un jour la figure, on ne pourra s’en prendre qu’à nous. Alea jacta est. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet
Le 2016-09-15 08:00, megagolgoth a écrit : Bonjour, C'est pas encore trolldi mais : https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html Qu'en pensez-vous? Avec tout le respect que je porte à Bruce Schneier, cette histoire me fait rire. Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant que Internet va mourir à cause de [insérer ici une des 7 plaies d’Egypte]. Là, ce n’est même pas public, il faut acheter son livre pour savoir de quoi il retourne. Et quand bien même cette menace serait réelle, il n’existe aucun problème que l’absence de solution ne finisse par résoudre. On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling sont quand même bien avancées, à la grande joie des vendeurs de solutions. On craint un détournement des DNS ? Continuons à déployer DNSSEC. On craint un détournement de routes dans un AS BGP hostile ? Intensifions le déploiement de RPKI. À l’heure actuelle, la seule menace réelle pour Internet est la fin d’Epoch le 12 janvier 2038 qui menace les systèmes UNIX. Pour tout le reste, des solutions existent, et si nous refusons de les appliquer nous sommes coupables de laisser perdurer un Internet non-sécurisé et vulnérable. Et si cet Internet vulnérable se casse un jour la figure, on ne pourra s’en prendre qu’à nous. Alea jacta est. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/