RE: [FRnOG] [TECH] Ban d'IP par Google
Guido Pellizzari a écrit: Oui nous utilison une VS out pour chaque IP de forwarder DNS (1 pour chacun des 4 opérateur de nos liens). A vérifier par sniffage du traffic. Ce n'est pas par ce que tu crois que tu l'as configuré que ça veut dire que ça marche comme c'est supposé de le faire dans la doc. Allô? Microchiotte, Crisco, Junolive et j'en passe n'ont jamais de punaises, tout le monde ici le sait. Pour le cache DNS je ne sais pas, je vais demander aux collègues qui l'administrent. Ton problème est techniquement intéressant dans la mesure ou tu pousses les limites de combien de clients on peut mettre derrière 4 IPs; ceci étant dit, ton problème pue le cache DNS du proxy-server qui n'a pas été réjuvéné correctement et ça fait au minimum 5 ans que le monde entier connait le problème en question. Sois tu lis la doc et les forums, soit tu paies en espèces sonnantes et trébuchantes les gens qui le font. Mais je suppose que oui, et encore une fois il n'y a pas. eu de changenents au moment où le pb s'est déclaré. Ca ne veut rien dire. Même si ton réseau n'a pas changé, Google est un animal à géométrie variable qui non seulement change de couleur come un caméléon mais aussi de forme. Au minimum une fois par jour, si ce n'est plus. Sans vouloir être méchant, tu t'adaptes ou tu crèves. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Le 29/08/2013 08:41, Michel Py a écrit : Ton problème est techniquement intéressant dans la mesure ou tu pousses les limites de combien de clients on peut mettre derrière 4 IPs; ceci étant dit, ton problème pue le cache DNS du proxy-server qui n'a pas été réjuvéné correctement et ça fait au minimum 5 ans que le monde entier connait le problème en question. Sois tu lis la doc et les forums, soit tu paies en espèces sonnantes et trébuchantes les gens qui le font. Je serais assez étonné de voir cela dans le sens où une grosse entreprise comme la SNCF utilise quelques (4/5 d'après les reverses que je vois arriver sur certains sites) proxy pour tout son surf. J'imagine mal imposer à des boites de changer leurs archis et de gaspiller des ip v4 pour réduire le nombre de requêtes par ip... signature.asc Description: OpenPGP digital signature
RE: [FRnOG] [TECH] Ban d'IP par Google
michel besnard a écrit: as tu as activer le cache DNS et déclarer des VS DNS sur tes BIGIP ? D'ailleurs, j'avais une question de débutant à propos de F5: correctement configuré, ça peut devenir un proxy DNS transparent (certains diraient menteur), non? (je ne connais pas les produits F5 en détail). Michel Py a écrit : Ton problème est techniquement intéressant dans la mesure ou tu pousses les limites de combien de clients on peut mettre derrière 4 IPs; ceci étant dit, ton problème pue le cache DNS du proxy-server qui n'a pas été réjuvéné correctement et ça fait au minimum 5 ans que le monde entier connait le problème en question. Sois tu lis la doc et les forums, soit tu paies en espèces sonnantes et trébuchantes les gens qui le font. Wallace a écrit: Je serais assez étonné de voir cela dans le sens où une grosse entreprise comme la SNCF utilise quelques (4/5 d'après les reverses que je vois arriver sur certains sites) proxy pour tout son surf. J'imagine mal imposer à des boites de changer leurs archis et de gaspiller des ipv4 pour réduire le nombre de requêtes par ip... Précisément: Il y a des gens qui mettent des milliers de PCs derrière un très petit nombre d'IP publiques et ça marche parce qu'ils ont compris que le load-balancing qui marche répartit les requêtes non pas seulement sur les IPs source mais sur toutes les paires possibles entre source et destination, ce qui demande un load-balancer intelligent. En d'autres termes: Avec 4 IP publiques en source (4 fournisseurs de transit) et 5 IP publiques en destination (les 5 que Google retourne) il faut que le load-balancer répartisse équitablement les requêtes non pas entre les 4 IP sources, mais les 20 paires possibles. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Bonjour, Oui nous utilison une VS out pour chaque IP de forwarder DNS (1 pour chacun des 4 opérateur de nos liens). Pour le cache DNS je ne sais pas, je vais demander aux collègues qui l'administrent. Mais je suppose que oui, et encore une fois il n'y a pas eu de changenents au moment où le pb s'est déclaré. Guido Pellizzari Le 27 août 2013 à 21:41, michel besnard mic...@besnard.in a écrit : as tu as activer le cache DNS et déclarer des VS DNS sur tes BIGIP ? Le 26 août 2013 14:15, Pellizzari cont...@pellizzari-web.org a écrit : Tous les flux sortants sont load balancés par nos F5 sur les 4 liens opérateur correspondant aux IP publiques. RAS dans ce load balancing... Mais c'est vrai que pas toutes les IP son blacklistées ... La résolution DNS est faites par nos srv internes en s'appuyant sur leurs forwarders, un nslookup montre qu'ils obtiennent bien les réponses en RR (4/5 IP différentes à chaque requête). La piste du cache DNS et des proxies me semble intéressante et je vais regarder. Inutile de préciser qu'il n'y a pas eu de changements à ce niveau en corréspondance de la manifestation du pb... Guido Pellizzari Le 26 août 2013 à 01:27, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Guido Pellizzari a écrit: Oui j'oubliais: au départ 90% des nos flux passaient par les proxies, tout comme avant que le ban se declenche. C'est là où a démarré notre analyse. Tes proxies sont le coupable le plus probable du ban initial, en effet. C'est ce que nous avons fait en premier, et qui n'a malheureusement rien mis en évidence. Nb de requêtes et volumes échangés sont uniformément répartis... Uniformément répartis venant de tes clients peut-être (ce qui veut donc dire que tu n'as pas de DDOS venant de dedans), mais en sortant? Google comme beaucoup d'autres fait du load-balancing par round-robin DNS qui varie dynamiquement en fonction de multiples facteurs. Name: www.google.fr Addresses: 74.125.239.159, 74.125.239.152, 74.125.239.151. Tu obtiens des résultats différents en fonction de là ou tu te trouves, de la charge, etc. As-tu vérifié que tes proxies utilisaient toutes les adresses que Google te donne, et que le cache DNS que tes proxies et tes clients utilisent est rafraîchi correctement? Si tu as plusieurs milliers de clients venant d'une seule IP et qui n'utilisent pour leurs requêtes qu'une seule des IP de Google et qu'elle ne change jamais, ça ressemble à du DDOS. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
as tu as activer le cache DNS et déclarer des VS DNS sur tes BIGIP ? Le 26 août 2013 14:15, Pellizzari cont...@pellizzari-web.org a écrit : Tous les flux sortants sont load balancés par nos F5 sur les 4 liens opérateur correspondant aux IP publiques. RAS dans ce load balancing... Mais c'est vrai que pas toutes les IP son blacklistées ... La résolution DNS est faites par nos srv internes en s'appuyant sur leurs forwarders, un nslookup montre qu'ils obtiennent bien les réponses en RR (4/5 IP différentes à chaque requête). La piste du cache DNS et des proxies me semble intéressante et je vais regarder. Inutile de préciser qu'il n'y a pas eu de changements à ce niveau en corréspondance de la manifestation du pb... Guido Pellizzari Le 26 août 2013 à 01:27, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Guido Pellizzari a écrit: Oui j'oubliais: au départ 90% des nos flux passaient par les proxies, tout comme avant que le ban se declenche. C'est là où a démarré notre analyse. Tes proxies sont le coupable le plus probable du ban initial, en effet. C'est ce que nous avons fait en premier, et qui n'a malheureusement rien mis en évidence. Nb de requêtes et volumes échangés sont uniformément répartis... Uniformément répartis venant de tes clients peut-être (ce qui veut donc dire que tu n'as pas de DDOS venant de dedans), mais en sortant? Google comme beaucoup d'autres fait du load-balancing par round-robin DNS qui varie dynamiquement en fonction de multiples facteurs. Name: www.google.fr Addresses: 74.125.239.159, 74.125.239.152, 74.125.239.151. Tu obtiens des résultats différents en fonction de là ou tu te trouves, de la charge, etc. As-tu vérifié que tes proxies utilisaient toutes les adresses que Google te donne, et que le cache DNS que tes proxies et tes clients utilisent est rafraîchi correctement? Si tu as plusieurs milliers de clients venant d'une seule IP et qui n'utilisent pour leurs requêtes qu'une seule des IP de Google et qu'elle ne change jamais, ça ressemble à du DDOS. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Tous les flux sortants sont load balancés par nos F5 sur les 4 liens opérateur correspondant aux IP publiques. RAS dans ce load balancing... Mais c'est vrai que pas toutes les IP son blacklistées ... La résolution DNS est faites par nos srv internes en s'appuyant sur leurs forwarders, un nslookup montre qu'ils obtiennent bien les réponses en RR (4/5 IP différentes à chaque requête). La piste du cache DNS et des proxies me semble intéressante et je vais regarder. Inutile de préciser qu'il n'y a pas eu de changements à ce niveau en corréspondance de la manifestation du pb... Guido Pellizzari Le 26 août 2013 à 01:27, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Guido Pellizzari a écrit: Oui j'oubliais: au départ 90% des nos flux passaient par les proxies, tout comme avant que le ban se declenche. C'est là où a démarré notre analyse. Tes proxies sont le coupable le plus probable du ban initial, en effet. C'est ce que nous avons fait en premier, et qui n'a malheureusement rien mis en évidence. Nb de requêtes et volumes échangés sont uniformément répartis... Uniformément répartis venant de tes clients peut-être (ce qui veut donc dire que tu n'as pas de DDOS venant de dedans), mais en sortant? Google comme beaucoup d'autres fait du load-balancing par round-robin DNS qui varie dynamiquement en fonction de multiples facteurs. Name: www.google.fr Addresses: 74.125.239.159, 74.125.239.152, 74.125.239.151. Tu obtiens des résultats différents en fonction de là ou tu te trouves, de la charge, etc. As-tu vérifié que tes proxies utilisaient toutes les adresses que Google te donne, et que le cache DNS que tes proxies et tes clients utilisent est rafraîchi correctement? Si tu as plusieurs milliers de clients venant d'une seule IP et qui n'utilisent pour leurs requêtes qu'une seule des IP de Google et qu'elle ne change jamais, ça ressemble à du DDOS. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Ban d'IP par Google
Guido Pellizzari a écrit: Oui j'oubliais: au départ 90% des nos flux passaient par les proxies, tout comme avant que le ban se declenche. C'est là où a démarré notre analyse. Tes proxies sont le coupable le plus probable du ban initial, en effet. C'est ce que nous avons fait en premier, et qui n'a malheureusement rien mis en évidence. Nb de requêtes et volumes échangés sont uniformément répartis... Uniformément répartis venant de tes clients peut-être (ce qui veut donc dire que tu n'as pas de DDOS venant de dedans), mais en sortant? Google comme beaucoup d'autres fait du load-balancing par round-robin DNS qui varie dynamiquement en fonction de multiples facteurs. Name: www.google.fr Addresses: 74.125.239.159, 74.125.239.152, 74.125.239.151. Tu obtiens des résultats différents en fonction de là ou tu te trouves, de la charge, etc. As-tu vérifié que tes proxies utilisaient toutes les adresses que Google te donne, et que le cache DNS que tes proxies et tes clients utilisent est rafraîchi correctement? Si tu as plusieurs milliers de clients venant d'une seule IP et qui n'utilisent pour leurs requêtes qu'une seule des IP de Google et qu'elle ne change jamais, ça ressemble à du DDOS. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Le 23/08/2013 17:07, Pellizzari a écrit : Je comprends que Google ne mette pas en ligne plus d'infos, mais... Au moins une BAL de contact pour les grosses sociétés, quitte à vérifier la véridicité de la demarche, non? Moui, pour les grosses. Comme ça, les petites pourront (une fois de plus) aller se faire foutre. Je sais, ça n'apporte rien au débat mais là, tout de suite, ça m'a gonflé. Désolé. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
At 11:03 24/08/2013, m3g4g0lG0t|-| wrote: Et un système pour récupérer la raison du ban par IP? Pour éviter le spam trop violent, uniquement accessible via un compte Google? Cela semble une proposition honnête pour un fournisseur de services. Les utilisateurs sont les clients qui payons Google par les microtemps que nous accordons à sa pub. Lorsque ces microtemps sont exagérement accumulés par la réponse attendue à une captcha (bloquante pour les processus d'interrogation légitimes) une explication sérieuse est due, qui nous permettrait aussi d'en réduire le risque. Il y a là un besoin de protocole d'information sur la non-neutralité du réseau et l'instabilité des services fournisseurs. Quelques-uns intéressés pour en discuter ? C'est un point que je soulève dans mon appel à l'ISOC concernant l'aménagement nécessaire de la digisphère en raison des implications de la RFC 6852. Pour info : étant un simple utilisateur (bouygues telecom) j'ai eu une demande de captcha redoublée mais une seule fois au cours d'une recherche multiple sur Google ce jour là. Donc totalement ponctuelle pour moi ou un phénomène aléatoire. Les indications d'instabilité de la configuration réseau de Google sont intéressantes pouvant indiquer qu'il s'agit d'un des premier système fournisseur atteignant le qualificatif de très grand système TCP/IP (cf. RFC 3439). jfc
Re: [FRnOG] [TECH] Ban d'IP par Google
Hello, Ca me rappelles un certain thread sur nanog ca... Xavier Le 23 août 2013 à 11:09, Pellizzari cont...@pellizzari-web.org a écrit : Bonjour à tous, Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google. Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche. Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du ban dans le contenu des requêtes... Avec qq milliers d'utilisateurs c'et long et compliqué :( Seules les équipes tech de Google pourraient peut-être nous indiquer la cause du ban, mais le seul moyen de les contacter est un form en ligne, resté sans réponse. L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un contact technique chez eux? D'avance merci, Guido Pellizzari --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Le 23/08/2013 11:16, Xavier Beaudouin a écrit : Hello, Ca me rappelles un certain thread sur nanog ca... Xavier Le 23 août 2013 à 11:09, Pellizzari cont...@pellizzari-web.org a écrit : Bonjour à tous, Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google. Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche. Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du ban dans le contenu des requêtes... Avec qq milliers d'utilisateurs c'et long et compliqué :( Seules les équipes tech de Google pourraient peut-être nous indiquer la cause du ban, mais le seul moyen de les contacter est un form en ligne, resté sans réponse. L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un contact technique chez eux? D'avance merci, Guido Pellizzari --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Salut ! Par expérience, on avait une machine de compromise sur le réseau, qui émettait énormément de requêtes vers google. Si déjà banni, les users risquent de moins utiliser google. Un filtre sur ce qui sort sur les IP publiques concernées avec quelques sub ip de google devrait tout de même ressortir une ip consommatrice rapidement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
C'est la première piste que nous avons suivi mais, comme je le disais dans mon premier msg, rien n'est sorti du lot. D'où mon appel au secours ;-) Je cherche dans nanog mais ce n'est pas très user-friendly... Plus de réf à ce niveau? Guido Pellizzari Le 23 août 2013 à 11:33, Ugo LALANE lal...@azylog.net a écrit : Le 23/08/2013 11:16, Xavier Beaudouin a écrit : Hello, Ca me rappelles un certain thread sur nanog ca... Xavier Le 23 août 2013 à 11:09, Pellizzari cont...@pellizzari-web.org a écrit : Bonjour à tous, Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google. Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche. Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du ban dans le contenu des requêtes... Avec qq milliers d'utilisateurs c'et long et compliqué :( Seules les équipes tech de Google pourraient peut-être nous indiquer la cause du ban, mais le seul moyen de les contacter est un form en ligne, resté sans réponse. L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un contact technique chez eux? D'avance merci, Guido Pellizzari --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Salut ! Par expérience, on avait une machine de compromise sur le réseau, qui émettait énormément de requêtes vers google. Si déjà banni, les users risquent de moins utiliser google. Un filtre sur ce qui sort sur les IP publiques concernées avec quelques sub ip de google devrait tout de même ressortir une ip consommatrice rapidement. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Le 23/08/2013 11:41, Pascal Rullier a écrit : Le 2013-08-23 11:33, Ugo LALANE a écrit : Le 23/08/2013 11:16, Xavier Beaudouin a écrit : Hello, Ca me rappelles un certain thread sur nanog ca... Xavier Le 23 août 2013 à 11:09, Pellizzari cont...@pellizzari-web.org a écrit : Bonjour à tous, Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google. Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche. Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du ban dans le contenu des requêtes... Avec qq milliers d'utilisateurs c'et long et compliqué :( Seules les équipes tech de Google pourraient peut-être nous indiquer la cause du ban, mais le seul moyen de les contacter est un form en ligne, resté sans réponse. L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un contact technique chez eux? Juste cette page t'aiderait non ? http://www.google.com/intl/fr/about/company/facts/locations/ A votre bon cœur... Genre s'y pointer physiquement? Un vendredi, j'apporterai du chocolat et/ou des bières --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Hello, Il parait que les locaux de google sont cool : http://www.google.fr/about/jobs/locations/paris/#media=gallery Blague à part, j'ai déjà eu le cas j'ai un de mes clients. Les fautifs étaient des monitoring configurés sur des loadbalancer F5… Benjamin Ce message électronique et tous les fichiers attaches qu'il contient sont confidentiels et destines exclusivement à l'usage de la personne à laquelle ils sont adresses. Si vous avez reçu ce message par erreur, merci de le retourner à son metteur. Les idées et opinions présentées dans ce message sont celles de son auteur, et ne représentent pas nécessairement celles de l'institution ou entité affiliée dont l'auteur est l'employé. La publication, l'usage, la distribution, l'impression ou la copie non autorisée de ce message et des attachements qu'il contient sont strictement interdits. This email and any files transmitted with it are confidential and intended solely for the use of the individual or entity to whom they are addressed. If you have received this email in error please return it to the sender. The ideas and views expressed in this email are solely those of its author, and do not necessarily represent the views of the institution or company of which the author is an employee. Unauthorized publication, use, distribution, printing or copying of this e-mail or any attached files is strictly forbidden. Le 23 août 2013 à 11:41, Pascal Rullier pas...@rullier.net a écrit : Le 2013-08-23 11:33, Ugo LALANE a écrit : Le 23/08/2013 11:16, Xavier Beaudouin a écrit : Hello, Ca me rappelles un certain thread sur nanog ca... Xavier Le 23 août 2013 à 11:09, Pellizzari cont...@pellizzari-web.org a écrit : Bonjour à tous, Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google. Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche. Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du ban dans le contenu des requêtes... Avec qq milliers d'utilisateurs c'et long et compliqué :( Seules les équipes tech de Google pourraient peut-être nous indiquer la cause du ban, mais le seul moyen de les contacter est un form en ligne, resté sans réponse. L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un contact technique chez eux? Juste cette page t'aiderait non ? http://www.google.com/intl/fr/about/company/facts/locations/ A votre bon cœur... -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
si ton trafic est légitime, tu peux essayer de remplir ça: https://support.google.com/websearch/contact/ban Alex Le 23 août 2013 14:09, kitt...@gmail.com a écrit : Hello, Il parait que les locaux de google sont cool : http://www.google.fr/about/jobs/locations/paris/#media=gallery Blague à part, j'ai déjà eu le cas j'ai un de mes clients. Les fautifs étaient des monitoring configurés sur des loadbalancer F5… Benjamin Ce message électronique et tous les fichiers attaches qu'il contient sont confidentiels et destines exclusivement à l'usage de la personne à laquelle ils sont adresses. Si vous avez reçu ce message par erreur, merci de le retourner à son metteur. Les idées et opinions présentées dans ce message sont celles de son auteur, et ne représentent pas nécessairement celles de l'institution ou entité affiliée dont l'auteur est l'employé. La publication, l'usage, la distribution, l'impression ou la copie non autorisée de ce message et des attachements qu'il contient sont strictement interdits. This email and any files transmitted with it are confidential and intended solely for the use of the individual or entity to whom they are addressed. If you have received this email in error please return it to the sender. The ideas and views expressed in this email are solely those of its author, and do not necessarily represent the views of the institution or company of which the author is an employee. Unauthorized publication, use, distribution, printing or copying of this e-mail or any attached files is strictly forbidden. Le 23 août 2013 à 11:41, Pascal Rullier pas...@rullier.net a écrit : Le 2013-08-23 11:33, Ugo LALANE a écrit : Le 23/08/2013 11:16, Xavier Beaudouin a écrit : Hello, Ca me rappelles un certain thread sur nanog ca... Xavier Le 23 août 2013 à 11:09, Pellizzari cont...@pellizzari-web.org a écrit : Bonjour à tous, Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google. Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche. Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du ban dans le contenu des requêtes... Avec qq milliers d'utilisateurs c'et long et compliqué :( Seules les équipes tech de Google pourraient peut-être nous indiquer la cause du ban, mais le seul moyen de les contacter est un form en ligne, resté sans réponse. L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un contact technique chez eux? Juste cette page t'aiderait non ? http://www.google.com/intl/fr/about/company/facts/locations/ A votre bon cœur... -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Oui j'oubliais: au départ 90% des nos flux passaient par les proxies, tout comme avant que le ban se declenche. C'est là où a démarré notre analyse. Puisque rien ne sautait aux yeux, nous avons rédirigé les flux en direct via les FW, afin aussi de voir toutes les vraies IP source traverser nos sondes, en clair et pas cachées justement par celles des proxies. Toujours RAS... Je comprends que Google ne mette pas en ligne plus d'infos, mais... Au moins une BAL de contact pour les grosses sociétés, quitte à vérifier la véridicité de la demarche, non? Il n'y avraiment personne qui connais quelqu'un là bas ??? Guido Pellizzari Le 23 août 2013 à 15:44, Pellizzari cont...@pellizzari-web.org a écrit : Tout d'abord merci à tous... ...je viens de m'inscrire et je suis favorablement surpris par votre enthusiasme! Voici les pistes déjà parcorues ( et hélas epuisées) et leurs résultats: 1. Le form Google pour signaler le ban: 1 reponse auto nous ne pouvons donner suite...; 2. Malware/virus: en cours de check par les collègus de la Sécurité, RAS pour l'instant; 3. Volumes HTTP sortants: RAS, ils sont lissés relativement régulièrement sur l'ensemble de nos clients, autrement dit aucun client ne se démarque des autres à ce noveau... Du coup l'idée d'un gouter choco+bière Rue de Londres devient prioritaire ;-) Guido Pellizzari Début du message transféré : Expéditeur: Alexandre Chappaz alexandrechap...@gmail.com Date: 23 août 2013 14:22:18 UTC+02:00 Destinataire: kitt...@gmail.com Cc: frnog@frnog.org frnog@frnog.org Objet: Rép : [FRnOG] [TECH] Ban d'IP par Google si ton trafic est légitime, tu peux essayer de remplir ça: https://support.google.com/websearch/contact/ban Alex Le 23 août 2013 14:09, kitt...@gmail.com a écrit : Hello, Il parait que les locaux de google sont cool : http://www.google.fr/about/jobs/locations/paris/#media=gallery Blague à part, j'ai déjà eu le cas j'ai un de mes clients. Les fautifs étaient des monitoring configurés sur des loadbalancer F5… Benjamin Ce message électronique et tous les fichiers attaches qu'il contient sont confidentiels et destines exclusivement à l'usage de la personne à laquelle ils sont adresses. Si vous avez reçu ce message par erreur, merci de le retourner à son metteur. Les idées et opinions présentées dans ce message sont celles de son auteur, et ne représentent pas nécessairement celles de l'institution ou entité affiliée dont l'auteur est l'employé. La publication, l'usage, la distribution, l'impression ou la copie non autorisée de ce message et des attachements qu'il contient sont strictement interdits. This email and any files transmitted with it are confidential and intended solely for the use of the individual or entity to whom they are addressed. If you have received this email in error please return it to the sender. The ideas and views expressed in this email are solely those of its author, and do not necessarily represent the views of the institution or company of which the author is an employee. Unauthorized publication, use, distribution, printing or copying of this e-mail or any attached files is strictly forbidden. Le 23 août 2013 à 11:41, Pascal Rullier pas...@rullier.net a écrit : Le 2013-08-23 11:33, Ugo LALANE a écrit : Le 23/08/2013 11:16, Xavier Beaudouin a écrit : Hello, Ca me rappelles un certain thread sur nanog ca... Xavier Le 23 août 2013 à 11:09, Pellizzari cont...@pellizzari-web.org a écrit : Bonjour à tous, Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google. Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche. Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du ban dans le contenu des requêtes... Avec qq milliers d'utilisateurs c'et long et compliqué :( Seules les équipes tech de Google pourraient peut-être nous indiquer la cause du ban, mais le seul moyen de les contacter est un form en ligne, resté sans réponse. L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un contact technique chez eux? Juste cette page t'aiderait non ? http://www.google.com/intl/fr/about/company/facts/locations/ A votre bon cœur... -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
Salut, En analysant les logs de tes proxys tu peux ressortir le nombre d'accès sur google / ip non ? Sur Squid un simple : cat /var/log/access.log | grep google | awk '{print $3}' | sort |uniq -c |sort -n |tail Cela te permettra de voir les IP's qui ont fait le plus d'accès chez Google et donc les plus suspectes. A+ °°° Franck Leroy Telemaque - SOPHIA ANTIPOLIS f...@telemaque.fr °°° Le 23/08/2013 17:07, Pellizzari a écrit : Oui j'oubliais: au départ 90% des nos flux passaient par les proxies, tout comme avant que le ban se declenche. C'est là où a démarré notre analyse. Puisque rien ne sautait aux yeux, nous avons rédirigé les flux en direct via les FW, afin aussi de voir toutes les vraies IP source traverser nos sondes, en clair et pas cachées justement par celles des proxies. Toujours RAS... Je comprends que Google ne mette pas en ligne plus d'infos, mais... Au moins une BAL de contact pour les grosses sociétés, quitte à vérifier la véridicité de la demarche, non? Il n'y avraiment personne qui connais quelqu'un là bas ??? Guido Pellizzari Le 23 août 2013 à 15:44, Pellizzari cont...@pellizzari-web.org a écrit : Tout d'abord merci à tous... ...je viens de m'inscrire et je suis favorablement surpris par votre enthusiasme! Voici les pistes déjà parcorues ( et hélas epuisées) et leurs résultats: 1. Le form Google pour signaler le ban: 1 reponse auto nous ne pouvons donner suite...; 2. Malware/virus: en cours de check par les collègus de la Sécurité, RAS pour l'instant; 3. Volumes HTTP sortants: RAS, ils sont lissés relativement régulièrement sur l'ensemble de nos clients, autrement dit aucun client ne se démarque des autres à ce noveau... Du coup l'idée d'un gouter choco+bière Rue de Londres devient prioritaire ;-) Guido Pellizzari Début du message transféré : Expéditeur: Alexandre Chappaz alexandrechap...@gmail.com Date: 23 août 2013 14:22:18 UTC+02:00 Destinataire: kitt...@gmail.com Cc: frnog@frnog.org frnog@frnog.org Objet: Rép : [FRnOG] [TECH] Ban d'IP par Google si ton trafic est légitime, tu peux essayer de remplir ça: https://support.google.com/websearch/contact/ban Alex Le 23 août 2013 14:09, kitt...@gmail.com a écrit : Hello, Il parait que les locaux de google sont cool : http://www.google.fr/about/jobs/locations/paris/#media=gallery Blague à part, j'ai déjà eu le cas j'ai un de mes clients. Les fautifs étaient des monitoring configurés sur des loadbalancer F5… Benjamin Ce message électronique et tous les fichiers attaches qu'il contient sont confidentiels et destines exclusivement à l'usage de la personne à laquelle ils sont adresses. Si vous avez reçu ce message par erreur, merci de le retourner à son metteur. Les idées et opinions présentées dans ce message sont celles de son auteur, et ne représentent pas nécessairement celles de l'institution ou entité affiliée dont l'auteur est l'employé. La publication, l'usage, la distribution, l'impression ou la copie non autorisée de ce message et des attachements qu'il contient sont strictement interdits. This email and any files transmitted with it are confidential and intended solely for the use of the individual or entity to whom they are addressed. If you have received this email in error please return it to the sender. The ideas and views expressed in this email are solely those of its author, and do not necessarily represent the views of the institution or company of which the author is an employee. Unauthorized publication, use, distribution, printing or copying of this e-mail or any attached files is strictly forbidden. Le 23 août 2013 à 11:41, Pascal Rullier pas...@rullier.net a écrit : Le 2013-08-23 11:33, Ugo LALANE a écrit : Le 23/08/2013 11:16, Xavier Beaudouin a écrit : Hello, Ca me rappelles un certain thread sur nanog ca... Xavier Le 23 août 2013 à 11:09, Pellizzari cont...@pellizzari-web.org a écrit : Bonjour à tous, Depuis qq jours 2 de nos 4 IP publiques sont blacklistées par Google. Nos utilisateurs sont donc obligés de saisir un captcha à chaque recherche. Ne voyant pas d'anomalies en terme de volumes, nous cherchons la source du du ban dans le contenu des requêtes... Avec qq milliers d'utilisateurs c'et long et compliqué :( Seules les équipes tech de Google pourraient peut-être nous indiquer la cause du ban, mais le seul moyen de les contacter est un form en ligne, resté sans réponse. L'un d'entre vous serait-il en mesure de nous fournir les coordonnées d'un contact technique chez eux? Juste cette page t'aiderait non ? http://www.google.com/intl/fr/about/company/facts/locations/ A votre bon cœur... -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de
Re: [FRnOG] [TECH] Ban d'IP par Google
Salut, Tu es bloqué en en IPv4, IPv6, ou les deux ? -- Jonathan Leroy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ban d'IP par Google
salut, 4 IP adresses publiques ca passe encore pour des milliers d'utilisateurs il faut regarder la proportion de requêtes vers google par adresse IP en général cela vient d'un nombre trop important de requête via la même ou les mêmes adresses IP agrandi ton pool de NAT sur ton Firewall ou limite le nombre de requête pour une même adresse IP cliente sur tes proxy google doit croire que c'est une attaque DoS ; ça s'est vu pour d'autres fournisseurs... pour les logs de NAT par adresse ip pub (sur 1 an minimum me semble t'il) ... c'est pas le pbm de google mais plutôt ton problème s'il y a une réquisition il faudra bien que tu remontes à la source non ? ou c'est ton bosse le locataire de la ligne internet qui va trinquer il y a des manières de faire sans log en réservant toujours les memes tranches de port sur les adresses publiques par rapport aux adresses ip privées si chaque utilisateur a toujours la même adresse ip bingo sinon il faut logguer les logs DHCP pour savoir qui à fait quoi et quand et bien sûr exclure tout utilisateur qui n'aurais pas un bail valide sur ton serveur DHCP (sauf serveurs internes en ip fixes) pour IPv6 encore plus facile on attribue des préfixes à des machines internes... a+ Le 23 août 2013 22:01, Jonathan Leroy jonathan...@inikup.com a écrit : Salut, Tu es bloqué en en IPv4, IPv6, ou les deux ? -- Jonathan Leroy --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/