Re: [FRnOG] [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
Le 6 septembre 2012 00:39, Steven Le Roux ste...@le-roux.info a écrit : Pour t'exposer ce que j'ai fait pour monitorer des accès internet sur différents accès : sur accès internet où j'ai un proxy sortant, je fais deux checks : - internet_www - internet_dns le check internet_www est un check_http vers www.google.fr le check internet_dns est un check_tcp(53) vers 8.8.4.4 ou 8.8.8.8 Donc tu testes le proxy, l'accès de ton provider, et son transit/peering vers le datacenter le plus proche de google. Ne pourrais-tu pas au moins tester le port 53 vers autre chose que google, et qui soit bien éloigné ? Genre un des serveurs dns du tld d'un pays lointain? Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
2012/9/6 Guillaume Leclanche guilla...@leclanche.net: Le 6 septembre 2012 00:39, Steven Le Roux ste...@le-roux.info a écrit : Pour t'exposer ce que j'ai fait pour monitorer des accès internet sur différents accès : sur accès internet où j'ai un proxy sortant, je fais deux checks : - internet_www - internet_dns le check internet_www est un check_http vers www.google.fr le check internet_dns est un check_tcp(53) vers 8.8.4.4 ou 8.8.8.8 Donc tu testes le proxy, l'accès de ton provider, et son transit/peering vers le datacenter le plus proche de google. Ne pourrais-tu pas au moins tester le port 53 vers autre chose que google, et qui soit bien éloigné ? Genre un des serveurs dns du tld d'un pays lointain? Guillaume Ce jeu de règle ne teste que l'accès lui même, d'autres règles sont là pour checker les proxies. On peut bien sûr tester autre chose que ça, mais il y a des limites et on ne va pas mettre un check par peering d'opérateur. C'est juste de l'informatif. -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On Wed, Sep 05, 2012 at 11:03:27PM +0200, Fabien V. list-fr...@beufa.net wrote a message of 305 lines which said: _ping_._ovh_._net_ ? Je ne connaissais pas, merci. Il ne semble pas documenté. ta question soulève un autre point, es tu sûr de pinguer le bon host ? Parce que dans mon cas, je peux te dire de pinguer un site, ce ne sera pas pour autant le serveur qui délivre (cache ou front end) qui te répondra mais le load balancer Aucune importance : je ne veux pas tester si la mire marche, je veux tester si mon accès Internet marche. Si je teste www.arcep.fr et que c'est le load balancer situé devant qui répond, aucun problème. Perso, même si c'est pas dans les conditions d'utilisation, je continuerai à pinguer 8.8.8.8 et 8.8.4.4 pour test Puisque tous les abonnés à cette liste gèrent une infrastructure réseau, un test simple : que diriez-vous si des milliers de gens se servaient de *votre* infrastructure pour tester *leur* accès ? Je ne crains pas pour Google, ils sont assez grands pour se défendre seuls mais je ne suis pas sûr que l'approche « je m'en fous, je pingue ce que je veux, autant que je veux » soit bonne pour l'avenir de l'Internet. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On Wed, Sep 05, 2012 at 11:12:10PM +0200, Sebastien WILLEMIJNS sebast...@willemijns.com wrote a message of 20 lines which said: vont t-ils apprécier un téléchargement régulier de données ? C'est un peu pour cela que je demandais sur une liste d'opérateurs réseaux... Que diriez-vous si c'était fait sur *vos* machines ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
La solution qui se rapprocherait de l'ideal serait d'avoir des equipements qui nous appartiennent dans differents datacenters (heberges par des concurrents donc) et de tester la connectivite (icmp ou tout autre services d'ailleurs) vers ces equipements. On regle la partie je ping qui je veux c'est pas mon probleme puisque l'equipement nous appartient, mais ca peut revenir cher... Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Stephane Bortzmeyer Envoyé : jeudi 6 septembre 2012 14:30 À : Fabien V. Cc : frnog@frnog.org Objet : [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ? On Wed, Sep 05, 2012 at 11:03:27PM +0200, Fabien V. list-fr...@beufa.net wrote a message of 305 lines which said: _ping_._ovh_._net_ ? Je ne connaissais pas, merci. Il ne semble pas documenté. ta question soulève un autre point, es tu sûr de pinguer le bon host ? Parce que dans mon cas, je peux te dire de pinguer un site, ce ne sera pas pour autant le serveur qui délivre (cache ou front end) qui te répondra mais le load balancer Aucune importance : je ne veux pas tester si la mire marche, je veux tester si mon accès Internet marche. Si je teste www.arcep.fr et que c'est le load balancer situé devant qui répond, aucun problème. Perso, même si c'est pas dans les conditions d'utilisation, je continuerai à pinguer 8.8.8.8 et 8.8.4.4 pour test Puisque tous les abonnés à cette liste gèrent une infrastructure réseau, un test simple : que diriez-vous si des milliers de gens se servaient de *votre* infrastructure pour tester *leur* accès ? Je ne crains pas pour Google, ils sont assez grands pour se défendre seuls mais je ne suis pas sûr que l'approche « je m'en fous, je pingue ce que je veux, autant que je veux » soit bonne pour l'avenir de l'Internet. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On Wed, Sep 05, 2012 at 11:46:41PM +0200, Sylvain Vallerot sylv...@gixe.net wrote a message of 46 lines which said: On veut tester son accès à internet ? Alors on veut tester qu'on arrive bien jusqu'au coeur de son provider, Non, pas seulement, certaines pannes (rares, il est vrai, par rapport aux coupures du « dernier kilomètre ») sont entre le FAI et le reste du monde. c'est à dire typiquement le premier ou le deuxième hop après la passerelle qu'il nous a fournie (voire même ladite passerelle). Quand j'ai posé la question sur Twitter, un employé d'un gros FAI français a vigoureusement protesté contre l'utilisation des routeurs du FAI comme mires pour des tests automatisés, avec l'argument que les routeurs étaient faits pour router, pas pour répondre à Nagios. Et là forcément il n'y a pas de réponse qui tienne en un ping tout simplement parce que si un test binaire unique permettait de tester internet, alors internet ne serait pas internet. Merci, mais je connais un peu Internet, je suis au courant. En pratique, la majorité des pannes sont radicales : on n'a plus accès à rien. Un algorithme simple pour tester si on a toujours une liaison avec l'Internet est d'utiliser N mires et de dire « si M (avec M = N) mires répondent, c'est bon ». Cela permet aussi de traiter le cas où une mire est en panne. Des plugins Nagios comme check_cluster mettent en oeuvre cet algorithme. Enfin vérifier sa connectivité suppose que la notion de qualité, de neutralité, de stabilité, de latence... soit binaire ? Tiens, j'ai vu la même chose dans le groupe de travail ARCEP sur la mesure des performances de l'accès Internet : en pinaillant suffisamment, on peut faire dérailler n'importe quel projet de métrologie. Il s'agit ici de tester des pannes simples, genre de celle qui est citée dans mon article. Elles représentent la majorité. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On Thu, Sep 06, 2012 at 12:39:15AM +0200, Steven Le Roux ste...@le-roux.info wrote a message of 209 lines which said: le check internet_www est un check_http vers www.google.fr le check internet_dns est un check_tcp(53) vers 8.8.4.4 ou 8.8.8.8 Et ce n'est pas un problème de se servir de Google pour cela ? Ce n'est pas le cours de leur action en bourse qui m'inquiète, c'est le principe « je me sers comme je veux des infras des autres, mais pas touche à la mienne ». --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On Thu, Sep 06, 2012 at 11:01:33AM +0200, Guillaume Leclanche guilla...@leclanche.net wrote a message of 58 lines which said: Genre un des serveurs dns du tld d'un pays lointain? Alors là, je mets ma casquette d'opérateur d'un TLD et je crie NON ! Les serveurs DNS reçoivent assez de junk comme ça. Ce ne sont pas des mires publiques ! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On Thu, Sep 06, 2012 at 12:37:44PM +0100, Antoine Durant antoine.duran...@yahoo.fr wrote a message of 17 lines which said: J'aimerais connaitre les outils que vous utilisez pour détecter les attaques DDoS. L'AFNIC utilise DSC http://dns.measurement-factory.com/tools/dsc/ Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante iptables -A INPUT -s mé.ch.an.t -j DROP Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
2012/9/6 Stephane Bortzmeyer bortzme...@nic.fr: On Thu, Sep 06, 2012 at 11:01:33AM +0200, Guillaume Leclanche guilla...@leclanche.net wrote a message of 58 lines which said: Genre un des serveurs dns du tld d'un pays lointain? Alors là, je mets ma casquette d'opérateur d'un TLD et je crie NON ! Les serveurs DNS reçoivent assez de junk comme ça. Ce ne sont pas des mires publiques ! Pourquoi pas pinguer les autorites de certification SSL ? Elles se servent bien de nos serveurs web (OCSP stapling) pour mettre en cache leur bazar. A. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
Si tu voyais le bruit ambiant sur le réseau... on n'est clairement pas à 4 requêtes tcp par minutes. Sur le principe, ça pourrait être un service offert par les opérateurs, je suis d'accord. En attendant, on fait comme on peut, et ça ne me choque pas trop que le plus gros soit aussi le plus sujet à ce genre de pratique. Si tu réfléchis autrement, est-ce qu'une requete tcp(53) et tcp(80) vers google une fois par minute a un impact pour eux, quand j'ai plus de 10 000 utilisateurs derrière les proxies avec potentiellement des gmail ouverts avec push over http, ou rien qu'en recherche web via google.fr ou encore en Google Chrome synchronisés, je pense qu'on est noyé dedans... Les services comme google suggest montrent bien que google n'est pas là pour économiser des requêtes, mais bien servir le maximum. Puis si on monitore Google, et qu'on change d'accès quand il n'est pas dispo, ça arrange bien google non ? :) 2012/9/6 Stephane Bortzmeyer bortzme...@nic.fr: On Thu, Sep 06, 2012 at 12:39:15AM +0200, Steven Le Roux ste...@le-roux.info wrote a message of 209 lines which said: le check internet_www est un check_http vers www.google.fr le check internet_dns est un check_tcp(53) vers 8.8.4.4 ou 8.8.8.8 Et ce n'est pas un problème de se servir de Google pour cela ? Ce n'est pas le cours de leur action en bourse qui m'inquiète, c'est le principe « je me sers comme je veux des infras des autres, mais pas touche à la mienne ». -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
Ben vu la dose de scan qu'on prend dans la tronche, la réponse serait : on apprend à faire avec. 2012/9/6 Stephane Bortzmeyer bortzme...@nic.fr: On Wed, Sep 05, 2012 at 11:12:10PM +0200, Sebastien WILLEMIJNS sebast...@willemijns.com wrote a message of 20 lines which said: vont t-ils apprécier un téléchargement régulier de données ? C'est un peu pour cela que je demandais sur une liste d'opérateurs réseaux... Que diriez-vous si c'était fait sur *vos* machines ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
Bonjour, Pour le null-routing, au niveau du quagga : ip route a.b.c.d/32 null0 mais je privilégierais l'iptables proposé par Stéphane, car il agit vraisemblablement à un niveau inférieur (je connais mal quagga). Pour la détection et le blocage de DDOS avec du libre / opensource, je suivrai le sujet avec attention :-) /ED Le 6 septembre 2012 14:43, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Thu, Sep 06, 2012 at 12:37:44PM +0100, Antoine Durant antoine.duran...@yahoo.fr wrote a message of 17 lines which said: J'aimerais connaitre les outils que vous utilisez pour détecter les attaques DDoS. L'AFNIC utilise DSC http://dns.measurement-factory.com/tools/dsc/ Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante iptables -A INPUT -s mé.ch.an.t -j DROP Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On Thu, Sep 06, 2012 at 02:51:52PM +0200, Emmanuel D. dupl...@gmail.com wrote a message of 40 lines which said: Pour le null-routing, au niveau du quagga : ip route a.b.c.d/32 null0 Ça ne marche que pour les paquets à *destination* du méchant. Lors d'une DoS, cela peut ne pas suffire (attaque en aveugle). mais je privilégierais l'iptables proposé par Stéphane, car il agit vraisemblablement à un niveau inférieur L'énorme avantage d'iptables (enfin, Netfilter) est surtout la souplesse : cela permet d'utiliser plein d'autres critères que la seule adresse IP. Ceci dit, pour des mesures anti-DoS, il n'y a qu'un seul critère de choix, la performance. Est-ce que les deux solutions tiennent lorsque l'attaque est vraiment méchante (en b/s ou surtout en p/s) ? Lorsqu'il y a des millions d'adresses à filtrer ? À tester. Pour la détection et le blocage de DDOS avec du libre / opensource, je suivrai le sujet avec attention :-) http://www.bortzmeyer.org/rate-limiting-dos.html http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On 09/06/2012 02:43 PM, Stephane Bortzmeyer wrote: Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante iptables -A INPUT -s mé.ch.an.t -j DROP Sur un routeur comme demandé c'est plutot -A FORWARD , non ? Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. Sur d'autres systèmes (pf) on peut charger des tables qui sont hashées. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Detecter DDos outils et null-router sur quagga
Le Thu, Sep 06, 2012 at 12:37:44PM +0100, Antoine Durant [antoine.duran...@yahoo.fr] a écrit: Bonjour, J???aimerais connaitre les outils que vous utilisez pour détecter les attaques DDoS. Dans un premier temps j???aimerais tester des outils libre/open source. Que mettez vous en prod sur vos jolis réseaux ?? Pas très facile. Si tu connais le profil habituel de ton trafic, détecter les écarts sur les mesures de débit/pps des interfaces, et crier si y'a « 10 fois plus que d'habitude » Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante avec une machine du réseau ( a part débrancher le routeur :-D) ?? Ca dépend de ce que tu veux faire. Si c'est protéger la machine qui peut traiter le volume de trafic réseau, mais pas les requetes applicatives que ça induit, iptables conviendra bien. Sur la machine, parcequ'on peut supposer qu'il y a déjà un parefeu dessus, ce qui n'est probablement pas le cas (et ça serait pas vraiment une bonne idée) du routeur. Si tu veux préserver le reste du réseau, la route vers null0 comme mentionné ailleurs est une meilleure solution. Ca rend l'ip en question injoignable (mais bon, a priori, elle l'est déjà), et ça évite de saturer le reste du réseau, c'est contenu dans le routeur. Mieux, si ton/tes transitaires proposent des communautés ad-hoc, tu peux même leur dire de null-router le trafic à destination de l'ip concernée au niveau de leurs routeurs. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On Thu, Sep 06, 2012 at 03:11:01PM +0200, Alain Thivillon a...@rominet.net wrote a message of 19 lines which said: iptables -A INPUT -s mé.ch.an.t -j DROP Sur un routeur comme demandé c'est plutot -A FORWARD , non ? Oui, tout à fait, je me fais régulièrement avoir, depuis l'époque où tous les paquets passaient par INPUT (même ceux qui n'étaient pas pour la machine locale). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On 06/09/2012 14:36, Stephane Bortzmeyer wrote: Et là forcément il n'y a pas de réponse qui tienne en un ping tout simplement parce que si un test binaire unique permettait de tester internet, alors internet ne serait pas internet. Merci, mais je connais un peu Internet, je suis au courant. Je me doute Stéphane, mais tu n'es pas seul sur cette liste, je réponds à tout le monde. Ceci était juste une élément dans ma réponse, pas une attaque personnelle. En pratique, la majorité des pannes sont radicales : on n'a plus accès à rien. Un algorithme simple pour tester si on a toujours une liaison avec l'Internet est d'utiliser N mires et de dire « si M (avec M= N) mires répondent, c'est bon ». Cela permet aussi de traiter le cas où une mire est en panne. Des plugins Nagios comme check_cluster mettent en oeuvre cet algorithme. Oui, mais on n'est plus en train de «pinguer des machines» là. Il me semble que la première chose est de définir «l'accès à internet» et mon post précédent avait pour but de souligner que sa composition implique des stratégies de test différentes. On peut par exemple beaucoup plus facilement redonder l'accès d'une sonde nagios dans un réseau, que l'accès de Mme Michu, donc les stratégie de détection n'ont pas à être les mêmes : la première est à priori hautement sécurisable, la seconde extrèmement faillible. Enfin vérifier sa connectivité suppose que la notion de qualité, de neutralité, de stabilité, de latence... soit binaire ? Tiens, j'ai vu la même chose dans le groupe de travail ARCEP sur la mesure des performances de l'accès Internet : en pinaillant suffisamment, on peut faire dérailler n'importe quel projet de métrologie. En même temps la question posée ayant une précision similaire à celle de Mme Michu appelant son FAI pour dire «internet est cassé», je pense que la réaction légitime d'un support serait de chercher à faire préciser le problème. Ca n'est pas pinailler, c'est essayer de définir le problème ou ici la problématique pour avoir une chance de lui apporter une réponse. La première chose pour faire des mesures et déduire un résultat binaire c'est de définir les grandeurs à mesurer, la seconde et la troisième c'est de définir les seuils d'états et la combinaison de ces résultats intermédiaires. Et la quatrième, de fixer encore des seuils pour le ou les états de sortie. Or Nagios lui-même puisque tu le cites plus haut, n'a pas deux états de sortie mais quatre (si je ne me trompe pas) : UNKNOWN, OK, WARNING et CRITICAL (ou équivalents). Du coup je trouve que pour apporter une réponse sérieuse à ce problème on part très vite très loin de savoir quel routeur il faut pinguer. Et s'il est interdit de recourir à un test moins naïf alors je jette l'éponge parce que c'est de la perte de temps. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
On 09/06/2012 03:06 PM, Frederic Dhieux wrote: Oui, iptables s'écroule quand on commence à mettre beaucoup de règles à la suite, je dirais que si c'est vraiment la misère il faut rapidement envisager de cibler des subnets stratégiques plutôt que des IP dans le cas d'une attaque par de nombreuses IP douteuses (genre d'Asie vers un site francophone par exemple) On 09/06/2012 03:11 PM, Alain Thivillon wrote: On 09/06/2012 02:43 PM, Stephane Bortzmeyer wrote: Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. Sur d'autres systèmes (pf) on peut charger des tables qui sont hashées. Vous avez essayé ipset ? En particulier avec la méthode hash. Ça a l'air de faire exactement ce que vous voulez. -- Etienne Dechamps / e-t172 - AKE Group Phone: +33 6 23 42 24 82 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Detecter DDos outils et null-router sur quagga
Bonjour, Concernant le null routing, il y a de très bon exemples sur l'internet. Il faut bien noter qu'il existe deux pratiques : * blacklister une/plusieures sources * blacklister une destination La première est relativement complexe à mettre en place sur une petite infrastructure car nécessite la mise en place de l'URPF (Unicast Reverse Path Forwarding). La seconde est utilisée en désespoir de cause, il s'agit de sacrifier une IP (le client attaqué), pour sauver les autres. Un peu de doc ici : http://www.cisco.com/web/about/security/intelligence/ipv6_rtbh.html Dans le cas évoqué, iptable parait quand même plus adapté. Quand à la détection, c'est pour le coup bien plus complexe. Je n'ai pas connaissance d'un produit non commercial fournissant ce service. Les technologies les plus connues sont sans doute celles de cisco et d'arbornetworks. Autrement, il existe des services cloud pour se prémunir de ce genre d'attaque. Verisign propose quelque chose de sympa, mais encore difficilement accessible financièrement. Si aucune de ces solutions ne convient, il reste l'analyse statistique du trafic via des scripts / programmes développés en internes. Mais pour le coup, concernant la mitigation, pas de solution miracle, avoir de gros tuyaux et de gros équipements de filtrage, ou bien, encore, souscrire une offre chez un transitaire ou verisign. En espérant que ces infos vous seront utiles. Cordialement. 2012/9/6 Dominique Rousseau d.rouss...@nnx.com Le Thu, Sep 06, 2012 at 12:37:44PM +0100, Antoine Durant [ antoine.duran...@yahoo.fr] a écrit: Bonjour, J???aimerais connaitre les outils que vous utilisez pour détecter les attaques DDoS. Dans un premier temps j???aimerais tester des outils libre/open source. Que mettez vous en prod sur vos jolis réseaux ?? Pas très facile. Si tu connais le profil habituel de ton trafic, détecter les écarts sur les mesures de débit/pps des interfaces, et crier si y'a « 10 fois plus que d'habitude » Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante avec une machine du réseau ( a part débrancher le routeur :-D) ?? Ca dépend de ce que tu veux faire. Si c'est protéger la machine qui peut traiter le volume de trafic réseau, mais pas les requetes applicatives que ça induit, iptables conviendra bien. Sur la machine, parcequ'on peut supposer qu'il y a déjà un parefeu dessus, ce qui n'est probablement pas le cas (et ça serait pas vraiment une bonne idée) du routeur. Si tu veux préserver le reste du réseau, la route vers null0 comme mentionné ailleurs est une meilleure solution. Ca rend l'ip en question injoignable (mais bon, a priori, elle l'est déjà), et ça évite de saturer le reste du réseau, c'est contenu dans le routeur. Mieux, si ton/tes transitaires proposent des communautés ad-hoc, tu peux même leur dire de null-router le trafic à destination de l'ip concernée au niveau de leurs routeurs. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Detecter DDos outils et null-router sur quagga
On 6 Sep 2012, at 14:11, Alain Thivillon a...@rominet.net wrote: Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. Sur d'autres systèmes (pf) on peut charger des tables qui sont hashées. Tu peux créer des hashtables avec tc et aussi limiter chaque flow au lieu de tuer le traffic tu le rate-limite a zero. Ca devrait bien monter en charge. Par contre les docs ne sont pas trop la .. Nous nous en servons pour limiter la vitesse de connexion d'étudiants dans une résidence universitaire dans un même L2 (avec port séparation) a partir de la MAC de leurs machines (plus de 1,000). Nous construisons une premier niveau de hashing sur le dernier octet de la MAC puis un second niveau sur le deuxième octet, après ca le scan est linéaire. Je ne vois pas pourquoi cela ne pourrait pas etre fait sur les deux derniers octet d'une IP :D Le fichier configuration tc est généré et contient plus de 14,000 lignes ! Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Detecter DDos outils et null-router sur quagga
Quand à la détection, c'est pour le coup bien plus complexe. Je n'ai pas connaissance d'un produit non commercial fournissant ce service. Les technologies les plus connues sont sans doute celles de cisco et d'arbornetworks. Pareil ici, NetFlow est souvent la source des informations. Dans beaucoup de cas la solution est une sauce maison. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
Hello, On 09/06/12 14:38, Stephane Bortzmeyer wrote: On Thu, Sep 06, 2012 at 12:39:15AM +0200, Steven Le Roux ste...@le-roux.info wrote a message of 209 lines which said: le check internet_www est un check_http vers www.google.fr le check internet_dns est un check_tcp(53) vers 8.8.4.4 ou 8.8.8.8 Et ce n'est pas un problème de se servir de Google pour cela ? Ce n'est pas le cours de leur action en bourse qui m'inquiète, c'est le principe « je me sers comme je veux des infras des autres, mais pas touche à la mienne ». Ce genre de check, me rappelle une nuit d'astreinte ou j'ai été réveillé par ce fameux test : ping www.google.fr (ou .com si ca vous chante). On vas dire que c'étais la faute à pas de chance, mais après avoir été reveillé 2 fois genre a 2h du mat, puis 5h du mat, le test connectivité internet via google a été classé comme connectivité probable car, c'est arrive dans ce cas (via Oleane) que justement il y avais des problèmes de peering (tiens ?!) entre Oleane (enfin AS3215) et google. Donc ce petit test est une preuve que l'internet fonctionne mais pas suffisant... Un débat avais été lancé, mais tombé dans l'oubli. Le test étais donc passé de ping google à ping next-hop afin de savoir si déjà la SDSL n'étais pas pétée Ce qui, pour paraphraser certains post, est déjà pas mal... comme test pour savoir si on peux avoir accès à l'Internet, mais pas suffisant hélas... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On 06/09/2012 14:29, Stephane Bortzmeyer wrote: Puisque tous les abonnés à cette liste gèrent une infrastructure réseau, un test simple : que diriez-vous si des milliers de gens se servaient de *votre* infrastructure pour tester *leur* accès ? Que s'ils ont choisi mon réseau je suis flatté, mais que le jour où je vais shut cette IP ça va faire plein de gens avec le même faux positif, donc potentiellement une désinformation importante et alors je rigolerai bien en les regardant twitter que internet est cassé. mais je ne suis pas sûr que l'approche « je m'en fous, je pingue ce que je veux, autant que je veux » soit bonne pour l'avenir de l'Internet. J'ai la sensation que si chacun teste un truc qui lui plait on aura un effet de répartition qui d'une part réduira bien mieux les risques de faux positifs et d'autre part rendra la charge négligeable pour tout le monde. Du coup j'aurais tendance à dire pinguez bien ce que vous voulez, n'importe quel truc qui vous semble pertinent et de préférence pas le même que les gens que vous connaissez et à qui vous vous adresserez quand votre ping à vous ne marchera plus. Ca me parait d'ailleurs bien plus cohérent avec l'a-centralisation d'internet : pourquoi chercher un centre là où il n'y en a pas. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
2012/9/5 Stephane Bortzmeyer bortzme...@nic.fr: Je crois que c'est une question qui concerne directement les opérateurs réseau (j'ai cité Free pour les exemples mais cela n'a rien de spécifique à Free). Avis bienvenus. http://www.bortzmeyer.org/que-pinguer.html Tu parles de ping, as-tu envisagé l'echo plus UDP ? e.g. http://www.broadband-forum.org/technical/download/TR-143.pdf Cdlt, sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On Thu, Sep 06, 2012 at 05:33:16PM +0200, Sarah Nataf sarah.na...@gmail.com wrote a message of 13 lines which said: Tu parles de ping, as-tu envisagé l'echo plus UDP ? Pour moi, c'est un détail. Le point important est « quelles machines peut-on pinguer ? » (Avec « pouvoir » s'interprétant sous l'angle technique, politique, juridique, financier, moral...) Si on a le « droit » de pinguer 8.8.8.8, je suppose qu'envoyer de l'UDP ne pose pas trop de problème. C'est amusant, d'ailleurs, la différence entre cette liste et dns-operations, où j'ai posé la même question. Les états-uniens ont tous répondu que se servir des machines des autres étaient immoral, les français ne se sont même pas posé la question. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Detecter DDos outils et null-router sur quagga
La solution Iptables (tout firewall en général) peut convenir mais dépendra de la volumétrie du DoS et du type d'applications hébergées derrière. Deux questions essentielles : dimensionnement du FW (aussi de la taille de BW) et possibilité de fonctionner en mode blacklist ou whitelist. Le plugin *ipset* de Netfilter permet de justement créer des règles qui permettent de filtrer en fonction des listes définies. Un bon algorithme d'analyse des logs permet de populer automatiquement les sets en cas d'attaque et dropper les paquets très tôt dans le passage au niveau des chaines. Aprés au niveau opérateur, ils peuvent avoir des solutions comme arbornetworks, qui permettent de ne laisser passer que le flux intéressant et qu'ils facturent surement :-) Au niveau routage pur, tu peux jouer avec les annonces bgp, sinkholing, urpf, filtrage en entrée ou sortie d'AS .. Mohamed Touré 2012/9/6 Thomas Mangin thomas.man...@exa-networks.co.uk Quand à la détection, c'est pour le coup bien plus complexe. Je n'ai pas connaissance d'un produit non commercial fournissant ce service. Les technologies les plus connues sont sans doute celles de cisco et d'arbornetworks. Pareil ici, NetFlow est souvent la source des informations. Dans beaucoup de cas la solution est une sauce maison. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
Le 6 septembre 2012 17:39, Stephane Bortzmeyer bortzme...@nic.fr a écrit : C'est amusant, d'ailleurs, la différence entre cette liste et dns-operations, où j'ai posé la même question. Les états-uniens ont tous répondu que se servir des machines des autres étaient immoral, les français ne se sont même pas posé la question. la différence entre frnog et dns-operations est aussi que le profil technique des abonnés n'est pas le même. Sur dns-ops tu vas trouver un public dont le job est de maintenir des serveurs critiques pour internet dans sa globalité (j'imagine, je ne suit pas cette liste). Sur frnog, le public ne se cantonne pas à des opérateurs, mais il y a également beaucoup d'admins, et ils seront sans doute plus disposés à pinguer des IP qui ne sont pas les leurs. (no offense hein, j'ai rien contre les admins :) J'imagine que sur nanog la situation pourrait être plus proche de frnog que de dns-ops non ? -pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Detecter DDos outils et null-router sur quagga
Bonjour la liste, Comme le souligne Alain PF gere bien les chargements de table. Je passe aussi pour donner mon avis et souligner une grande préférence pour PF sur le sujet. Ce dernier gère tellement bien les points suivant : Maximum state entries this rule can create Maximum number of unique source hosts Maximum number of established connections per host Maximum state entries per host Maximum new connections / per second(s) ce sont de bon facteurs pour limiter les problèmatique de DDOS à mon avis. Mais aussi couplé à des tables de pays ou à ipblocklist c'est un bon moyen pour dormir tranquillement. Le 6 septembre 2012 15:11, Alain Thivillon a...@rominet.net a écrit : On 09/06/2012 02:43 PM, Stephane Bortzmeyer wrote: Sur un routeur linux quagga, comment vous faites pour null-router une IP qui est méchante iptables -A INPUT -s mé.ch.an.t -j DROP Sur un routeur comme demandé c'est plutot -A FORWARD , non ? Test à faire : mesurer à partir de combien d'adresses filtrés ça devient insupportable. Sur d'autres systèmes (pf) on peut charger des tables qui sont hashées. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Xavier Lemaire Fax 33 244 84 05 15 TEL FR 33 2 22 06 41 02 GSM Morocco 212 6 58 30 01 81 GSM Morocco 212 6 02 06 76 77 xav...@zelites.org --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] Re: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On Thu, Sep 6, 2012, at 17:39, Stephane Bortzmeyer wrote: C'est amusant, d'ailleurs, la différence entre cette liste et dns-operations, où j'ai posé la même question. Les états-uniens ont tous répondu que se servir des machines des autres étaient immoral, les français ne se sont même pas posé la question. un serveur DNS public est public, simplement là on l'utilise pour un autre escient... a savoir que google n'est pas obligé de laisser passer les pings en dehors de leurs propre serveurs de monitoring... autre solution, que les personnes competentes fassent leurs pings ou autres sur leurs propres services au maximum pour laisser la famille Michu lançer ses freewares de monitoring ping sur des services publics/tres connus... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
Tiens, j'ai vu la même chose dans le groupe de travail ARCEP sur la mesure des performances de l'accès Internet : en pinaillant suffisamment, on peut faire dérailler n'importe quel projet de métrologie. Ah ? ;-) Pour répondre plus sérieusement à ta question que sur Twitter, je ping à l'occasion 8.8.8.8, et sinon une adresse que je sais ping-able de mon employeur. Donc la moitié du temps je fais un mélange de plusieurs recos vues en réponse ici : - je ping « ce qui me chante et me parait pertinent », si tous les lecteurs de cette liste font pareil, ça répartit. - je ne ping pas les serveurs des autres sans demander l'autorisation. L'autre moitié du temps, je ping les serveurs des autres en effet... maintenant, comme une majorité des réponses j'ai choisi l'adresse la plus facile à mémoriser, que Google a justement diffusé... car elle était facile à mémoriser ! Je ne veux pas légitimer ce choix, amis l'explication est relativement aisée ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quelles machines pinguer pour vérifier sa connectivité Internet ?
On Thu, Sep 6, 2012, at 05:39 PM, Stephane Bortzmeyer wrote: On Thu, Sep 06, 2012 at 05:33:16PM +0200, Sarah Nataf sarah.na...@gmail.com wrote a message of 13 lines which said: Tu parles de ping, as-tu envisagé l'echo plus UDP ? Pour moi, c'est un détail. Le point important est « quelles machines Ce n'est pas tout a fait un detail, surtout si on decide de tester une destination distante, sous le controle de quelqu'un d'autre (avel lequel on a pas de relation contractuelle sur la dispo de service). Dans tous les cas, et peu importe le protocole, les meilleurs resultats on les a quand on utilise plusieurs sondes (plusieurs destinations, et idealement plusieurs protocoles). Ca permet toujours de distinguer les cas ca marche de partout sauf de chez vous. --- Liste de diffusion du FRnOG http://www.frnog.org/