Re: [FRnOG] [TECH] Attaque DDOS - Comment réagir ?
Le 01/11/2013 17:29, VIGNEAU Martin a écrit : > Bonjour > > pour la deuxième fois nous avons subi une attaque DDOS sur notre réseau : > plusieurs gigas de trafic à destination d'un abonné. > > Nous avons identifié l'adresse IP destination chez nous et coupé l'adresse en > question, mais cela nous inquiète. > > Est-ce que d'autres sur la liste ont deja connu ce genre d'attaque sur un > abonné ? Avez vous une solution pour gérer ce genre d'attaque automatiquement > (honeypot ?) > > Merci > > Martin Vigneau > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > Il semblerait que Fail2Ban ait fait ses preuves. T’as déjà essayé ? -- ┌──┐ │ ┌─┐ │ │ ├─┤ │ │ ┌┘ │érôme│ │ │ ┌┘ │ │ │ └┐ouvreur-Goeneutte│ │ └──┘ │ │ jerome.couvr...@yahoo.fr │ └──┘ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Attaque DDOS - Comment réagir ?
le routage blackboule on le fait deja, mais mon problème est que les attaques ciblent une ip attribué"e à un de mes clients, et peuvent passer d'eune adresse à l'autre. Pour le moment, quand on détecte l'attaque, on route en null la plage ciblée, mais rien n'empêche le pirate d'aller attaquer une adresse voisine De : Jacques Vuvant Envoyé : samedi 2 novembre 2013 06:16 À : MoncefZID; VIGNEAU Martin; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Attaque DDOS - Comment réagir ? Bonjour Ton provider ne propose pas une solution de routage blackhole? c'est certes une solution basique, mais qui a l'avantage de ne pas consommer ta bande passante durant le DDOS. Jacques Vuvant -Message d'origine- From: MoncefZID Sent: Saturday, November 02, 2013 9:12 AM To: 'VIGNEAU Martin' ; frnog-t...@frnog.org Subject: RE: [FRnOG] [TECH] Attaque DDOS - Comment réagir ? Bonsoir Les attaques DDOS et les Attaques ciblés sont de plus en plus complexes et de plus en plus agressives , pour cette raison la protection contre le DDOS doit être appropriée et doit être à la hauteur des menaces. La protection contre le DDOS n'est plus une option , elle est devenue obligatoire pour garantir la disponibilité de tout le SI. -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of VIGNEAU Martin Sent: vendredi 1 novembre 2013 17:29 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Attaque DDOS - Comment réagir ? Bonjour pour la deuxième fois nous avons subi une attaque DDOS sur notre réseau : plusieurs gigas de trafic à destination d'un abonné. Nous avons identifié l'adresse IP destination chez nous et coupé l'adresse en question, mais cela nous inquiète. Est-ce que d'autres sur la liste ont deja connu ce genre d'attaque sur un abonné ? Avez vous une solution pour gérer ce genre d'attaque automatiquement (honeypot ?) Merci Martin Vigneau --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Attaque DDOS - Comment réagir ?
Bonjour Ton provider ne propose pas une solution de routage blackhole? c'est certes une solution basique, mais qui a l'avantage de ne pas consommer ta bande passante durant le DDOS. Jacques Vuvant -Message d'origine- From: MoncefZID Sent: Saturday, November 02, 2013 9:12 AM To: 'VIGNEAU Martin' ; frnog-t...@frnog.org Subject: RE: [FRnOG] [TECH] Attaque DDOS - Comment réagir ? Bonsoir Les attaques DDOS et les Attaques ciblés sont de plus en plus complexes et de plus en plus agressives , pour cette raison la protection contre le DDOS doit être appropriée et doit être à la hauteur des menaces. La protection contre le DDOS n'est plus une option , elle est devenue obligatoire pour garantir la disponibilité de tout le SI. -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of VIGNEAU Martin Sent: vendredi 1 novembre 2013 17:29 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Attaque DDOS - Comment réagir ? Bonjour pour la deuxième fois nous avons subi une attaque DDOS sur notre réseau : plusieurs gigas de trafic à destination d'un abonné. Nous avons identifié l'adresse IP destination chez nous et coupé l'adresse en question, mais cela nous inquiète. Est-ce que d'autres sur la liste ont deja connu ce genre d'attaque sur un abonné ? Avez vous une solution pour gérer ce genre d'attaque automatiquement (honeypot ?) Merci Martin Vigneau --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Attaque DDOS - Comment réagir ?
Bonsoir Les attaques DDOS et les Attaques ciblés sont de plus en plus complexes et de plus en plus agressives , pour cette raison la protection contre le DDOS doit être appropriée et doit être à la hauteur des menaces. La protection contre le DDOS n'est plus une option , elle est devenue obligatoire pour garantir la disponibilité de tout le SI. -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of VIGNEAU Martin Sent: vendredi 1 novembre 2013 17:29 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Attaque DDOS - Comment réagir ? Bonjour pour la deuxième fois nous avons subi une attaque DDOS sur notre réseau : plusieurs gigas de trafic à destination d'un abonné. Nous avons identifié l'adresse IP destination chez nous et coupé l'adresse en question, mais cela nous inquiète. Est-ce que d'autres sur la liste ont deja connu ce genre d'attaque sur un abonné ? Avez vous une solution pour gérer ce genre d'attaque automatiquement (honeypot ?) Merci Martin Vigneau --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Idées pour pré-câblage de datacenter
Bonsoir, Il vaut mieux éviter livrer en Lx monobrin car ils se vendent par paire et si le Lx du point A tombe, il faut changer la paire donc intervenir au point B, et s il y a des accès différenciés c est plus long compliqué et si le point B dépend d un tier il faut qu il intervienne. Cordialement, EM Envoyé de mon iPad Le 1 nov. 2013 à 14:41, "Jérôme Nicolle" a écrit : > Plop, > > Je bosse en ce moment avec quelques intégrateurs pour développer un > système de pré-câblage de corridors. J'aimerais avoir votre avis sur ce > que je souhaite mettre en place. > > L'idée est d'avoir une connectique standard pour la distribution entre > les baies, et qu'elle soit la plus compacte possible pour garder de la > place en chemins de câbles pour évolutions futures. > > L'idée part du constat que les breakouts sont volumineux, relativement > chers, et que câbler à la demande allonge les délais de mise à > disposition des baies, en plus de coûter plus de main d’œuvre. > > A contrario, le pré-câblage augmente le CAPEX de la salle, et il doit > être le plus contenu possible pour que la démarche soit intéressante. > > Les specs initiales sont les suivantes : > - Distribution en monomode G.652d (voir G.657a) uniquement > - Deux MMR aux extrémités (ou distantes) de chaque corridor > - 12 brins entre chaque baie et chaque MMR > - Connectique SC-APC pour permettre tous les usages avec le moins de > perte possible > > Pour avoir des coûts les plus contenus possibles, je suis parti sur des > références standard utilisées notamment en FTTH. Le système de référence > en la matière est le Home PACe d'Acôme. Il repose sur des câbles "loose" > dans lesquels les micro-tubes (en modules de 4 à 12 fibres) peuvent > coulisser librement. Ces câbles sont prévus pour la desserte verticale > en habitât collectif, et sont dispos en longueurs standard de 50m, > pré-connectorisés en SC-APC d'un côté. > > Lors de l'installation, une fenêtre est ouverte à chaque étage et un > boitier est fixé sur le câble pour y épanouir les tubes en drop. Les > tubes de l'étage N-1 sont coupés et récupérés dans la fenêtre précédente. > > On peut pousser le concept en ouvrant donc une fenêtre par baie et > dropper un tube est et un tube ouest d'un câble pré-connectorisé aux > deux extrémités. Avec un câble déroulé à plat, il semble possible de > récupérer les longueurs de tube nécessaires à chaque baie en renvoyant > les longueurs de tube depuis les extrémités du corridor. > > A première vue, ce système reviendrait à 30% de moins que la somme des > breakouts nécessaires pour la même connectivité, en occupant 16 à 20 > fois moins de place en chemins de câbles. > > A la descente en baie, il semblerait optimal de fusionner les tubes en > tiroir pour sortir sur pigtails. Pré-connectoriser à cet endroit est > trop complexe pour l'instant. Les tiroirs auraient donc deux cassettes > compactes de 12 fusions, 24 positions en façade, et une rangée de 12 > positions centrale, non accessible sans ouvrir le tiroir, de façon à > loger les pigtails en attente (pas encore commandés par le client) et > surtout à effectuer les mesures beaucoup plus rapidement. En restant > face à face dans des traverses, ces pigtails seraient naturellement > protégés, plutôt mieux que s'ils étaient en traverses bouchées en façade. > > Sur cette piste, on a posé les constats suivants : > - Le délai de mise en service d'un patch est réduit à quelques heures au > lieu d'une semaine (délai d'appro des breakout dans notre contrée > reculée du sud-ouest) > - Cette mise en service prend 30 m/h au lieu d'environ 2 h/h pour la > mise en place du câble breakout au cas par cas, à au moins 35€/h chargé > du tekos de DC. > - En cas de tube endommagé, si on ne peut pas réparer au niveau du > tiroir, alors il faut remplacer par un breakout. Ou bien prévoir des > tubes surnuméraires dans le câble pour les repiquer au cas par cas. > - Tous coûts mis bout à bout, le système devient rentable face au > breakout à partir de 30% des baies dans lesquels on livrerait au moins > une paire vers chaque MMR. > > Reste quelques questions : > - Quel est le bon nombre de fibres par lien entre baie et MMR ? 6 ? 12 ? > 24 ? > - Est ce qu'on peut faire l'impasse sur la multimode ou est ce qu'un > pré-câblage mixte est souhaitable ? (dépend de l'environnement du DC > bien-sur, là il a quand même une vocation orientée telco plus que IT au > moins dans la première salle) > - La plupart des salles proposant des MMR patchent en SC/PC. Est ce que > l'APC fait une grosse différence pour vous ? > - Avec une distance moyenne de 65m entre chaque baie et chaque MMR, avec > 4 connecteurs et deux points de fusion sur le chemin, du 10G-LR aurait > en théorie besoin d’atténuateurs. En utiliseriez-vous ? > > Et, de façon plus générale : > - Le cuivre c'est le mal. Mais est ce qu'on peut sérieusement faire > l'impasse dessus, en dehors de câbles entre deux baies adjacentes ? > - Le standard de livraison de services en gigabi
Re: [FRnOG] [TECH] Attaque DDOS - Comment réagir ?
Le 01/11/2013 17:29, VIGNEAU Martin a écrit : > Bonjour Bonjour, > > pour la deuxième fois nous avons subi une attaque DDOS sur notre réseau : > plusieurs gigas de trafic à destination d'un abonné. > > Nous avons identifié l'adresse IP destination chez nous et coupé l'adresse en > question, mais cela nous inquiète. > > Est-ce que d'autres sur la liste ont deja connu ce genre d'attaque sur un > abonné ? Avez vous une solution pour gérer ce genre d'attaque automatiquement > (honeypot ?) Premier piste : évoquez le problème avec vos fournisseurs de service. En generale ils sont capables de vous assister d'un façon plus ou moins « intelligent » (« null0 routing » ou trafic « scrubbing »). Cheers, mh > Merci > > Martin Vigneau > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Attaque DDOS - Comment réagir ?
Bonjour pour la deuxième fois nous avons subi une attaque DDOS sur notre réseau : plusieurs gigas de trafic à destination d'un abonné. Nous avons identifié l'adresse IP destination chez nous et coupé l'adresse en question, mais cela nous inquiète. Est-ce que d'autres sur la liste ont deja connu ce genre d'attaque sur un abonné ? Avez vous une solution pour gérer ce genre d'attaque automatiquement (honeypot ?) Merci Martin Vigneau --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Idées pour pré-câblage de datacenter
Plop, Je bosse en ce moment avec quelques intégrateurs pour développer un système de pré-câblage de corridors. J'aimerais avoir votre avis sur ce que je souhaite mettre en place. L'idée est d'avoir une connectique standard pour la distribution entre les baies, et qu'elle soit la plus compacte possible pour garder de la place en chemins de câbles pour évolutions futures. L'idée part du constat que les breakouts sont volumineux, relativement chers, et que câbler à la demande allonge les délais de mise à disposition des baies, en plus de coûter plus de main d’œuvre. A contrario, le pré-câblage augmente le CAPEX de la salle, et il doit être le plus contenu possible pour que la démarche soit intéressante. Les specs initiales sont les suivantes : - Distribution en monomode G.652d (voir G.657a) uniquement - Deux MMR aux extrémités (ou distantes) de chaque corridor - 12 brins entre chaque baie et chaque MMR - Connectique SC-APC pour permettre tous les usages avec le moins de perte possible Pour avoir des coûts les plus contenus possibles, je suis parti sur des références standard utilisées notamment en FTTH. Le système de référence en la matière est le Home PACe d'Acôme. Il repose sur des câbles "loose" dans lesquels les micro-tubes (en modules de 4 à 12 fibres) peuvent coulisser librement. Ces câbles sont prévus pour la desserte verticale en habitât collectif, et sont dispos en longueurs standard de 50m, pré-connectorisés en SC-APC d'un côté. Lors de l'installation, une fenêtre est ouverte à chaque étage et un boitier est fixé sur le câble pour y épanouir les tubes en drop. Les tubes de l'étage N-1 sont coupés et récupérés dans la fenêtre précédente. On peut pousser le concept en ouvrant donc une fenêtre par baie et dropper un tube est et un tube ouest d'un câble pré-connectorisé aux deux extrémités. Avec un câble déroulé à plat, il semble possible de récupérer les longueurs de tube nécessaires à chaque baie en renvoyant les longueurs de tube depuis les extrémités du corridor. A première vue, ce système reviendrait à 30% de moins que la somme des breakouts nécessaires pour la même connectivité, en occupant 16 à 20 fois moins de place en chemins de câbles. A la descente en baie, il semblerait optimal de fusionner les tubes en tiroir pour sortir sur pigtails. Pré-connectoriser à cet endroit est trop complexe pour l'instant. Les tiroirs auraient donc deux cassettes compactes de 12 fusions, 24 positions en façade, et une rangée de 12 positions centrale, non accessible sans ouvrir le tiroir, de façon à loger les pigtails en attente (pas encore commandés par le client) et surtout à effectuer les mesures beaucoup plus rapidement. En restant face à face dans des traverses, ces pigtails seraient naturellement protégés, plutôt mieux que s'ils étaient en traverses bouchées en façade. Sur cette piste, on a posé les constats suivants : - Le délai de mise en service d'un patch est réduit à quelques heures au lieu d'une semaine (délai d'appro des breakout dans notre contrée reculée du sud-ouest) - Cette mise en service prend 30 m/h au lieu d'environ 2 h/h pour la mise en place du câble breakout au cas par cas, à au moins 35€/h chargé du tekos de DC. - En cas de tube endommagé, si on ne peut pas réparer au niveau du tiroir, alors il faut remplacer par un breakout. Ou bien prévoir des tubes surnuméraires dans le câble pour les repiquer au cas par cas. - Tous coûts mis bout à bout, le système devient rentable face au breakout à partir de 30% des baies dans lesquels on livrerait au moins une paire vers chaque MMR. Reste quelques questions : - Quel est le bon nombre de fibres par lien entre baie et MMR ? 6 ? 12 ? 24 ? - Est ce qu'on peut faire l'impasse sur la multimode ou est ce qu'un pré-câblage mixte est souhaitable ? (dépend de l'environnement du DC bien-sur, là il a quand même une vocation orientée telco plus que IT au moins dans la première salle) - La plupart des salles proposant des MMR patchent en SC/PC. Est ce que l'APC fait une grosse différence pour vous ? - Avec une distance moyenne de 65m entre chaque baie et chaque MMR, avec 4 connecteurs et deux points de fusion sur le chemin, du 10G-LR aurait en théorie besoin d’atténuateurs. En utiliseriez-vous ? Et, de façon plus générale : - Le cuivre c'est le mal. Mais est ce qu'on peut sérieusement faire l'impasse dessus, en dehors de câbles entre deux baies adjacentes ? - Le standard de livraison de services en gigabit est le LX. Mais les optiques BiDi ne coûtent plus grand chose. Comment réagiriez-vous à une livraison BiDi (TX 1310, RX 1490) ? Si ça peut se généraliser, alors réduire le nombre de fibres en pré-câblage est plus évident. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Cablage de baies : longueurs sur mesure ?
Plop, Je cherche le bon compromis entre souplesse et compacité du câblage en arrière de baies. Pour l'elec, pas de problème, un bon PDU permet d'avoir des prises sur toute la hauteur de la baie, de part et d'autre, et donc de n'utiliser que des câbles de 3 longueurs différentes. Coté réseau par contre ça se complique. Outre le fait que peu de switchs sont en reverse-airflow, je ne trouve pas de troncs pré-assemblés avec des câbles de longueur différentes, par pas de 4.5 ou 9cm typiquement. Je cherche donc des "bundle" de câbles, en cat5e ou cat6, par lot de 12 (pour des 2U) ou 24 (pour des 1U), pour connecter tous les serveurs au switch "Middle of Rack" le plus rapidement possible. Ou, à défaut, tout truc et astuce pour préparer le câblage des baies en amont. Des idées ? Liens ? Fourgues ? Merci ! P.S. : suggestion aux vendeurs de PDU : intégrer le patching passif dedans serait quand même vachement pratique. Des pieuvres avec connecteurs compacts pour chopper le switch d'un coté (plutôt avec la longueur pour le récupérer en front), et des ports distribués sur toute la hauteur...). Sous forme d'un bandeau optionnel à accoler à celui de distribution d'énergie, ce serait juste parfait :) -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/