Re: [FRnOG] [TECH] Deni de service en src 192.168.1 sur Cisco ASR / 6500

Fri, 24 Jul 2015 07:26:30 -0700 

Le 24/07/2015 15:32, Nicolas Strina a écrit :

On 24 juil. 2015, at 14:04, Clement Cavadore <clem...@cavadore.net> wrote:

Re,

On Fri, 2015-07-24 at 14:58 +0200, jehan procaccia INT wrote:

apres analyse pcap du trafic incriminé, extrait :
des milliers de paquets avec le Flag S (Sync)  cf :
(...)

http://albanianwizard.org/how-to-read-tcpdump-output-tcpdump-advanced-use.albanianwizard
montre qu'il s'agit vraisemblablement d'un SynFlood attack

je me lance alors dans l'espoir d'intercepter ça avec les outils
cisco
http://www.sans.org/security-resources/idfaq/syn_flood.php
http://ccie-or-null.net/tag/cisco-tcp-intercept/
http://www.ciscopress.com/articles/article.asp?p=345618&seqNum=3

Helas, sur mon 6500E pas de commande ip tcp intercept  :-( !
ça sort d'où cette commande ? n'est pas disponible par défaut ?

Probablement disponible sur une autre plateforme que les 6k5.

Non, mais plus sérieusement, tu devrais poser sur ton ASR une ACL
ingress sur l'interface vers ton réseau interne, n'autorisant que les
subnets IP qu'elle est supposée recevoir, à savoir les réseaux publics
passant par ce routeur. Et du coup, tu peux te passer de ton ACL egress.

Sinon voir avec ton upstream ? Ca me parait une bonne solution si tu as des 
soucis aussi important et aussi longtemps ..
Le transitaire doit aussi assurer la “sécurité” des clients dans une moindre 
mesure ..
Le probleme est que je suis l'upstream ! voici un aperçu ASCII du schema reseau:
Source Synflood <=> Autonomous system (au sens politique/domain de vlans) Etudiants (4500) *<=> Mon Core 6509E <=> Mon ASR <=>* MAN-Evry <=> Renater <=> Internet 

j'aimerai bien intercepter le Synflood au plus tot (amont) sur mon 6509E .
je suis surpris que le 6500 (le "couteau suisse" cisco ) ne gere pas le /ip tcp intercept/ tel que définit ici et là : 

http://www.sans.org/security-resources/idfaq/syn_flood.php
http://ccie-or-null.net/tag/cisco-tcp-intercept/
http://www.ciscopress.com/articles/article.asp?p=345618&seqNum=3
sinon, peut-etre une autre commande ? y-a-t-il un correspondant Cisco dans la salle ? 

Merci .

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à