Re: [FRnOG] [TECH] BGP Hijacking
Hello, Le 25 nov. 2014 à 20:20, Pierre Emeriaud petrus...@gmail.com a écrit : Si le ce genre d'attaque est si simple, pourquoi les grands acteurs ne semblent pas régulièrement impactés ? Si si malheureusement, c'est le lot de tous : http://www.gossamer-threads.com/lists/nanog/users/157616 http://www.gossamer-threads.com/lists/nanog/users/144236 (bon après les deux /24 en question sont pas super représentatifs des autres netblocks) Le pire dans ce cas c'est que j'ai eu moi aussi un hijacking de prefix bgp car il étais collé a un AS qui n'était pas annoncé pour un client. Evidement l'AS + le /24 étais annoncé en russie, pour envoyer des doses massives de spam. Le fait d'en avoir parlé sur nanog, m'as vu arriver un DDoS assez massif sur mon infra. J'ai réussit a reprendre le contrôle de cet AS +/24 en l'annonçant sur ma structure et demandant de null router ce /24 chez tout mes upstream (qui en ont fait de même avec leur tier-1...etc...). Ca a permit de rendre ce /24 donc inutilisable pour le spammeur en question. La problématique n'est pas le hijack, mais le fait qu'on (mais pas tous) ne filtre pas les routes / aspath qu'on a dans la base whois par manque de temps, de maitrise, ou simplement de routeur qui peux encaisser des ACL partout. Là dessus, si tout le monde, le faisais on aurais (un peu) moins de hijack. Et c'est déjà plus simple a faire que la RPKI... Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] BGP Hijacking
On Wed, 2014-11-26 at 09:06 +0100, Xavier Beaudouin wrote: Le pire dans ce cas c'est que j'ai eu moi aussi un hijacking de prefix bgp car il étais collé a un AS qui n'était pas annoncé pour un client. (...) C'est une des raisons qui me pousse à systématiquement annoncer les inetnum sur lesquels j'ai la main de facon directe ou indirecte, quitte à ce que cela ne serve effectivement à rien derrière. C'est moche de devoir en arriver là, car ça fait une route (inutile) de plus dans la DFZ, mais au moins, l'inetnum passe inapercu chez les spammeurs/rapaces du rachat d'IP/etc... -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] BGP Hijacking
Clément Cavadore a écrit : C'est une des raisons qui me pousse à systématiquement annoncer les inetnum sur lesquels j'ai la main de facon directe ou indirecte, quitte à ce que cela ne serve effectivement à rien derrière. C'est moche de devoir en arriver là, car ça fait une route (inutile) de plus dans la DFZ, mais au moins, l'inetnum passe inapercu chez les spammeurs/rapaces du rachat d'IP/etc... Rends le gaspillage de TCAM utile : mets un darknet / honeypot dessus. C'est moche, mais c'est nécessaire. Sers-toi en pour une bonne cause. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] BGP Hijacking
On Wed, 2014-11-26 at 08:40 +, Michel Py wrote: Rends le gaspillage de TCAM utile : mets un darknet / honeypot dessus. C'est moche, mais c'est nécessaire. Sers-toi en pour une bonne cause. Encore faut-il avoir le temps de s'en occuper... Le mettre en place, c'est une chose, mais le gérer (et faire quelque chose de ses résultats), c'en est une autre. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] L'ARCEP vient de publier les résultats du projet de mesure de la qualité de l'accès Internet
L'ARCEP a publié hier la première édition de « Qualité du service fixe d’accès à l’Internet - Mesures de la qualité du service fixe d’accès à l’Internet » Il s'agit de l'aboutissement d'un projet commencé il y a plusieurs années, visant (entre autres) à déterminer la qualité de l'accès à l'Internet selon le FAI. La méthodologie choisie consiste en des mesures actives effectuées depuis huit points de mesure dotés d'un matériel spécialisé. Ce genre de mesures nécessite des choix et ceux-ci ne feront jamais l'unanimité. Je m'attends donc à des tas de remarques négatives dans les messages qui vont suivre :-) Merci d'essayer au moins d'argumenter. http://www.arcep.fr/index.php?id=8571L=0tx_gsactualite_pi1[uid]=1701tx_gsactualite_pi1[annee]=tx_gsactualite_pi1[theme]=tx_gsactualite_pi1[motscle]=tx_gsactualite_pi1[backID]=26cHash=f558832b5af1b8e505a77860f9d555f5 http://www.arcep.fr/uploads/tx_gspublication/rapport-QoS-internet-nov2014.pdf Et les données brutes en http://www.arcep.fr/uploads/tx_gspublication/QoS-internet-donnees-agregees-nov2014.zip --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] BGP Hijacking
Michel Py a écrit : Rends le gaspillage de TCAM utile : mets un darknet / honeypot dessus. C'est moche, mais c'est nécessaire. Sers-toi en pour une bonne cause. Clément Cavadore a écrit : Encore faut-il avoir le temps de s'en occuper... Le mettre en place, c'est une chose, mais le gérer (et faire quelque chose de ses résultats), c'en est une autre. ..soupir.. le temps le temps le p.. de temps.. à 4 heures du mat.. Eh bien prête le préfixe à quelqu'un compatible avec tes intérêts intellectuels. Michel. PS: non, pas à moi :P --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] C'est nous qu'on est les meilleurs
http://www.vanityfair.fr/actualites/france/articles/rani-assaf-l-associe-fantome-de-xavier-niel/16660 « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Le 26/11/2014 10:18, Stephane Bortzmeyer a écrit : « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » Ceux qui font que lire, c'est les meilleurs aussi ? hein, dis.. :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Le 26/11/2014 10:30, Laurent a écrit : Le 26/11/2014 10:18, Stephane Bortzmeyer a écrit : « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » Ceux qui font que lire, c'est les meilleurs aussi ? hein, dis.. :) On apprends des meilleurs, alors on est les padawan des meilleurs ? c'est pas mal non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Je refuse de faire partie des meill... heu, attend... ! Le 26/11/2014 10:18, Stephane Bortzmeyer a écrit : http://www.vanityfair.fr/actualites/france/articles/rani-assaf-l-associe-fantome-de-xavier-niel/16660 « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
On 26/11/2014 10:30, Laurent wrote: Le 26/11/2014 10:18, Stephane Bortzmeyer a écrit : « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » Ceux qui font que lire, c'est les meilleurs aussi ? hein, dis.. :) Il vaut mieux généralement ne rien dire que de raconter des âneries à longueur de temps, suffisamment de personnes se sont données cette mission quasi journalière. -- Mikaël --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Bonjour à tous, On Wed, Nov 26, 2014 at 10:18:16AM +0100, Stephane Bortzmeyer wrote: http://www.vanityfair.fr/actualites/france/articles/rani-assaf-l-associe-fantome-de-xavier-niel/16660 « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » Après lecture de l'article et recherche dans mes archives perso, je note qu'on a pas vu un post de Rani Assaf ici depuis janvier 2010 et de Xavier Niel depuis septembre 2010... doivent être trop occupés pour discuter avec les meilleurs ;) A++ Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
On Wed, 2014-11-26 at 11:03 +, Laurent Cheylus wrote: Après lecture de l'article et recherche dans mes archives perso, je note qu'on a pas vu un post de Rani Assaf ici depuis janvier 2010 et de Xavier Niel depuis septembre 2010... doivent être trop occupés pour discuter avec les meilleurs ;) Ou peut être sont ils lassés de se faire solliciter/troller au moindre post de leur part ? :-) -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Stephane Bortzmeyer bortzme...@nic.fr a écrit : http://www.vanityfair.fr/actualites/france/articles/rani-assaf-l-associe-fantome-de-xavier-niel/16660 « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » Plop, Sur la photo, c'est pas Rani, c'est Radu... cf. AG France-IX: http://urlz.fr/Yd9 # tentative de diversion ;) Fred --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
:) -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Frédéric Perrod Envoyé : mercredi 26 novembre 2014 12:22 À : frnog@frnog.org Objet : Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs Stephane Bortzmeyer bortzme...@nic.fr a écrit : http://www.vanityfair.fr/actualites/france/articles/rani-assaf-l-assoc ie-fantome-de-xavier-niel/16660 « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » Plop, Sur la photo, c'est pas Rani, c'est Radu... cf. AG France-IX: http://urlz.fr/Yd9 # tentative de diversion ;) Fred --- Liste de diffusion du FRnOG http://www.frnog.org/ [Colt Disclaimer] This email is from an entity of the Colt group of companies. Colt Group S.A., K2 Building, Forte 1, 2a rue Albert Borschette, L-1246 Luxembourg, R.C.S. B115679. Corporate and contact information for our entities can be found at http://colt.net/uk/en/Colt-Group-of-Companies/index.htm. Internet communications are not secure and Colt does not accept responsibility for the accurate transmission of this message. Content of this email or its attachments is not legally or contractually binding unless expressly previously agreed in writing by Colt --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Le 26/11/2014 12:14, Clement Cavadore a écrit : On Wed, 2014-11-26 at 11:03 +, Laurent Cheylus wrote: Après lecture de l'article et recherche dans mes archives perso, je note qu'on a pas vu un post de Rani Assaf ici depuis janvier 2010 et de Xavier Niel depuis septembre 2010... doivent être trop occupés pour discuter avec les meilleurs ;) Ou peut être sont ils lassés de se faire solliciter/troller au moindre post de leur part ? :-) Ou encore mode trollesque, qu'ils n'ont plus rien d'interessant a siphoner des meilleurs? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
On Wed, Nov 26, 2014, at 12:21, Frédéric Perrod wrote: Sur la photo, c'est pas Rani, c'est Radu... cf. AG France-IX: http://urlz.fr/Yd9 # tentative de diversion ;) ... plutot ca ( diversion :) ) 1. Il manque les lunettes :) 2. on peut aussi supposer que juste a cote c'etait Xavier Niel avec les cheveux coupes :P . Quand on voit pas le visage on peut tout supposer ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Le 26/11/14 10:18, Stephane Bortzmeyer a écrit : http://www.vanityfair.fr/actualites/france/articles/rani-assaf-l-associe-fantome-de-xavier-niel/16660 « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » Hello, Après les écoles d'ingé, les médias nous font le marketing bullshit de l'élite de la nation ça y est =) Je note par ailleurs que les gens du réseau sont considérés comme une race supérieure d'informaticiens puisque ce sont les meilleurs de cet ensemble particulièrement large :D Quand on voit ça, on a envie de donner raison à Rani d'aller se planquer loin de toutes ces conneries :D Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Le 26/11/2014 14:47, Frederic Dhieux a écrit : Quand on voit ça, on a envie de donner raison à Rani d'aller se planquer loin de toutes ces conneries :D La plupart de nous vivent déjà dans une grotte non ? ou dans un datacenter.. ou dans un local au sous sol. -- Manu Jacquet --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] - Blocage des requètes HTTP contenant un header X-Forwarded-For:
On 13/11/2014 16:11, Laurent CARON wrote: Bonjour, Je constate depuis quelques semaines concernant seloger.com (et autres sites du groupe) et depuis ce matin concernant boursorama.com une impossibilité d'accès en passant pas un proxy envoyant X-Forwarded-For: ...snip... Bonjour, Il semblerait que seloger n'accepte en effet plus de champ X-Forwarded-For contenant plus d'une adresse IP. http://www.bortzmeyer.org/7239.html % curl --header Forwarded-For: 8.8.8.8 1.1.1.1 www.seloger.com renvoie une erreur 500 % curl --header Forwarded: for=192.0.2.60;proto=http;by=203.0.113.43 www.seloger.com est OK Le header X-Forwarded-For non normalisé, contenant plus de 1 IP, serait donc persona non grata pour certains IDS/IPS/... ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cherche adresse IP trou noir public
Bonjour Stéphane, En fait, ce serait une adresse IP de type APN (adresse du père Noël). Il faudrait peut-être lui associer une date d'échéance. Cordialement, Michel - Mail original - De: Stephane Bortzmeyer bortzme...@nic.fr À: frnog-t...@frnog.org Envoyé: Mercredi 26 Novembre 2014 15:14:14 Objet: [FRnOG] [TECH] Cherche adresse IP trou noir public Alors, voilà, je cherche une adresse IP qui soit un « trou noir public », c'est-à-dire qu'on puisse lui envoyer le trafic qu'on veut, tout disparaitra. Je sais le faire sur mon réseau, merci, mais je me demandais si cela existait déjà quelque part, par exemple en anycasté (un AS 112 en IP ?) Le but est de déléguer des noms de domaine à des serveurs de noms publics mais qui ne répondent pas (supprimer le nom de domaine est moins efficace, pour des raisons de durée de vie dans le cache). Un trou d'évier, quoi. Attention, c'est bien pour les envoyer comme référence à des tiers donc cela doit marcher depuis tout l'Internet. RFC 1918 ne convient pas car le client DNS a peut-être de telles adresses dans son réseau local. 127/8 a le même problème. Je pensais utiliser des adresses non routées comme 198.18.0.0/15 ou 203.0.113.0/24 mais ce n'est pas leur sémantique normale. À ma connaissance, il n'y a pas d'adresse IPv4 prévue pour faire des puits / éviers / trous noirs. IPv6 a 100::/64 qui peut, en le tordant un peu, servir à cela, mais ce n'est qu'en interne, il n'existe pas de service 100::/64 public. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Cherche adresse IP trou noir public
On Wed, Nov 26, 2014 at 03:14:14PM +0100, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 40 lines which said: Alors, voilà, je cherche une adresse IP qui soit un « trou noir public », c'est-à-dire qu'on puisse lui envoyer le trafic qu'on veut, tout disparaitra. J'ai oublié de dire qu'on n'était pas vendredi et que les réponses du genre « l'adresse IP d'un site que tu n'aimes pas » ne sont pas éthiquement acceptables. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'ARCEP vient de publier les résultats du projet de mesure de la qualité de l'accès Internet
Ben tu vois Stéphane, le pire n'est pas toujours certain Luc Saccavini - Mail original - L'ARCEP a publié hier la première édition de « Qualité du service fixe d’accès à l’Internet - Mesures de la qualité du service fixe d’accès à l’Internet » Il s'agit de l'aboutissement d'un projet commencé il y a plusieurs années, visant (entre autres) à déterminer la qualité de l'accès à l'Internet selon le FAI. La méthodologie choisie consiste en des mesures actives effectuées depuis huit points de mesure dotés d'un matériel spécialisé. Ce genre de mesures nécessite des choix et ceux-ci ne feront jamais l'unanimité. Je m'attends donc à des tas de remarques négatives dans les messages qui vont suivre :-) Merci d'essayer au moins d'argumenter. http://www.arcep.fr/index.php?id=8571L=0tx_gsactualite_pi1[uid]=1701tx_gsactualite_pi1[annee]=tx_gsactualite_pi1[theme]=tx_gsactualite_pi1[motscle]=tx_gsactualite_pi1[backID]=26cHash=f558832b5af1b8e505a77860f9d555f5 http://www.arcep.fr/uploads/tx_gspublication/rapport-QoS-internet-nov2014.pdf Et les données brutes en http://www.arcep.fr/uploads/tx_gspublication/QoS-internet-donnees-agregees-nov2014.zip --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRsAG] [TECH] - Blocage des requètes HTTP contenant un header X-Forwarded-For:
Bonjour, % curl --header Forwarded-For: 8.8.8.8 1.1.1.1 www.seloger.com renvoie une erreur 500 D'un point de vue HTTP, tu n'as envoyé qu'un header HTTP X-Forwarded-For qui contient la chaine de caractère 8.8.8.8 1.1.1.1 et qui n'est donc pas une adresse (ni deux) IP. Si tu veux envoyer 2 adresses IP, tu as deux solutions: curl --header Forwarded-For: 8.8.8.8, 1.1.1.1 www.seloger.com ou curl --header Forwarded-For: 8.8.8.8 --header Forwarded-For: 1.1.1.1 www.seloger.com Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Analyseur de pcap.
Bonjour à tous, Je ne sais pas si cela a déjà été évoqué ici, mais est-ce que vous connaissez un soft qui permet de réaliser des analyses de pcap avec des beaux graphiques sur : - Code HTTP (404/302 etc etc) - Flags TCP (RST etc) - Temps moyen d'un session tcp - top ip - top application etc... Wireshark permet d'avoir ce genre de chose mais il manque partie beau graphique Et idéalement qui permet d'ajouter une clé privée pour pouvoir déchiffrer du SSL/TLS :)) Gratuit ou payant peu importe, mais qui fonctionne... :)) Yann, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cherche adresse IP trou noir public
On Wed, 26 Nov 2014 15:14:14 +0100 Stephane Bortzmeyer bortzme...@nic.fr wrote: | Alors, voilà, je cherche une adresse IP qui soit un « trou noir | public », c'est-à-dire qu'on puisse lui envoyer le trafic qu'on veut, | tout disparaitra. | | Je sais le faire sur mon réseau, merci, mais je me demandais si cela | existait déjà quelque part, par exemple en anycasté (un AS 112 en | IP ?) | | Le but est de déléguer des noms de domaine à des serveurs de noms | publics mais qui ne répondent pas (supprimer le nom de domaine est | moins efficace, pour des raisons de durée de vie dans le cache). Un | trou d'évier, quoi. Comme: ns1.suspended-for.spam-and-abuse.com/64.202.167.73 ? (Cf par exemple: dig -t ns ircqfrum.com @c.gtld-servers.net.) Un problème que je vois à ce genre de chose c'est que les résolveurs attendent ensuite la réponse jusqu'à leur timeout. Et si je ne dis pas de bétise, une machine configurée avec 2 résolveurs vas interroger les 2 successivement. Si le domaine en question est répandu (par example utilisé dans un malware diffusé à grande échelle), ca peut charger les résolveurs, non ? Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cherche adresse IP trou noir public
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 26/11/2014 15:14, Stephane Bortzmeyer wrote: RFC 1918 ne convient pas car le client DNS a peut-être de telles adresses dans son réseau local. 127/8 a le même problème. Je pensais utiliser des adresses non routées comme 198.18.0.0/15 ou 203.0.113.0/24 mais ce n'est pas leur sémantique normale. Salut Stéphane, Vu la RFC 5737 j'aurais tendance à regarder 192.0.2.0/24 (TEST-NET-1), qui présente l'avantage d'être petite donc moins intéressante et moins connue d'un admin qui utilisea plutôt des RFC 1918 en interne. Les considérations opérationnelles semblent correspondre à ton besoin 4. Operational Implications Addresses within the TEST-NET-1, TEST-NET-2, and TEST-NET-3 blocks SHOULD NOT appear on the public Internet and are used without any coordination with IANA or an Internet registry [RFC2050]. Network operators SHOULD add these address blocks to the list of non- routeable address spaces, and if packet filters are deployed, then this address block SHOULD be added to packet filters. These blocks are not for local use, and the filters may be used in both local and public contexts. Par ailleurs beaucoup l'utilisent justement pour blackholer le trafic, ça semble donc être un choix moins pire que les autres, même si ce bloc sert en principe à la documentation. Bonne soirée, -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) iF4EAREIAAYFAlR2GHsACgkQJBGsD8mtnRF7CAEApTN0ME6RFnHjV4cit8mxRFOK +8YnJmRCB6bvBlslsaoBAK3hDyZWZ9neG8N72b0XY+YsotvIOrU4AABuEjRmiwAL =w5R4 -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Analyseur de pcap.
On 26/11/2014 18:53, Hackcurly wrote: Bonjour à tous, Je ne sais pas si cela a déjà été évoqué ici, mais est-ce que vous connaissez un soft qui permet de réaliser des analyses de pcap avec des beaux graphiques sur : - Code HTTP (404/302 etc etc) - Flags TCP (RST etc) - Temps moyen d'un session tcp - top ip - top application etc... Wireshark permet d'avoir ce genre de chose mais il manque partie beau graphique Et idéalement qui permet d'ajouter une clé privée pour pouvoir déchiffrer du SSL/TLS :)) Gratuit ou payant peu importe, mais qui fonctionne... :)) Salut Yann et la liste, A l'époque il y avait ntop, qui est apparemment devenu ntopng (http://www.ntop.org/products/ntop/) et qui a pris un coup de bootstrap dans sa css depuis. Il me semble que l'on pouvait lui faire manger du pcap aussi, quand on avait pas la possibilité de le mettre en coupure ou sur un span, mais je ne suis pas sûr. Au pire, il faudra faire un tcpreplay. Je ne sais pas ce que ça donne aujourd'hui ni si ça correspond bien à ton besoin, mais ça m'a rendu des services il y a quelques années. A+ M -- Michel { :github = @leucos, :twitter = @b9m, :gpg = 0X24B35C22 } --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Analyseur de pcap.
Ouais ntop/ntopng fait ça: -f | --traffic-dump-file By default, ntop captures traffic from network interface cards (NICs) or from netFlow/sFlow probes. However, ntop can also read data from a file - typically a tcpdump capture or the output from one of the ntop packet capture options. if you specify -f, ntop will not capture any traffic from NICs during or after the file has been read. net- Flow/sFlow capture - if enabled - would still be active. Ca fait collecteur Netflow aussi. Le 26 nov. 2014 à 19:14, Michel Blanc m...@mbnet.fr a écrit : On 26/11/2014 18:53, Hackcurly wrote: Bonjour à tous, Je ne sais pas si cela a déjà été évoqué ici, mais est-ce que vous connaissez un soft qui permet de réaliser des analyses de pcap avec des beaux graphiques sur : - Code HTTP (404/302 etc etc) - Flags TCP (RST etc) - Temps moyen d'un session tcp - top ip - top application etc... Wireshark permet d'avoir ce genre de chose mais il manque partie beau graphique Et idéalement qui permet d'ajouter une clé privée pour pouvoir déchiffrer du SSL/TLS :)) Gratuit ou payant peu importe, mais qui fonctionne... :)) Salut Yann et la liste, A l'époque il y avait ntop, qui est apparemment devenu ntopng (http://www.ntop.org/products/ntop/) et qui a pris un coup de bootstrap dans sa css depuis. Il me semble que l'on pouvait lui faire manger du pcap aussi, quand on avait pas la possibilité de le mettre en coupure ou sur un span, mais je ne suis pas sûr. Au pire, il faudra faire un tcpreplay. Je ne sais pas ce que ça donne aujourd'hui ni si ça correspond bien à ton besoin, mais ça m'a rendu des services il y a quelques années. A+ M -- Michel { :github = @leucos, :twitter = @b9m, :gpg = 0X24B35C22 } --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Cherche adresse IP trou noir public
Pitié, pas de dinde. Stephane Bortzmeyer a écrit : Alors, voilà, je cherche une adresse IP qui soit un « trou noir public », c'est-à-dire qu'on puisse lui envoyer le trafic qu'on veut, tout disparaitra. Ta demande est courante, pas nouvelle, et sans solution (lire plus bas). Je sais le faire sur mon réseau, merci, Comme tout le monde. mais je me demandais si cela existait déjà quelque part, par exemple en anycasté (un AS 112 en IP ?) Pas public. Nombre d'ASes (:P) d'une certaine taille ont un /24 attrape-merdasse qui change souvent, ceci-dit. Le but est de déléguer des noms de domaine à des serveurs de noms publics mais qui ne répondent pas (supprimer le nom de domaine est moins efficace, pour des raisons de durée de vie dans le cache). Un trou d'évier, quoi. Cà parait logique : vu que ton business c'est DNS, tu veux un trou noir pour ton truc. Ta demande n'est pas spéciale, tout le monde en veut un pour des raisons similaires. Attention, c'est bien pour les envoyer comme référence à des tiers donc cela doit marcher depuis tout l'Internet. C'est bien pour çà que ca n'existe pas, et en écrivant ceci je lis ce qui est plus bas, et je ferai un copier-coller. Je pensais utiliser des adresses non routées comme 198.18.0.0/15 ou 203.0.113.0/24 mais ce n'est pas leur sémantique normale. Même si tu vendais ton âme au diable et que tu, après avoir bu trop de Stroh, décidais de faire le contraire de ce que nombre de RFC disent et d'essayer d'annoncer un de ces préfixes sur l'Internet, ça ne marcherait pas. Pourquoi : tout ce qui est désigné comme special use va rapidement faire part des bogons et autres détritus. La bonne nouvelle : beaucoup de gens vont les bloquer. La mauvaise nouvelle : les mêmes gens qui bloquent le trafic vont aussi ignorer ton préfixe; donc tu perdrais ton temps à essayer de l'annoncer. Même sur mon modeste routeur à la maison, je ne les prendrais pas. c1841-michel#sh ip rou 198.18.0.0 Routing entry for 198.18.0.0/15, supernet Known via bgp 65532, distance 20, metric 0 Tag 65332, type external Last update from 192.0.2.1 1w0d ago Routing Descriptor Blocks: * 192.0.2.1, from x.x.x.x, 1w0d ago Route metric is 0, traffic share count is 1 AS Hops 1 Route tag 65332 MPLS label: none c1841-michel#sh ip rou 203.0.113.0 Routing entry for 203.0.113.0/24 Known via bgp 65532, distance 20, metric 0 Tag 65332, type external Last update from 192.0.2.1 1w0d ago Routing Descriptor Blocks: * 192.0.2.1, from x.x.x.x, 1w0d ago Route metric is 0, traffic share count is 1 AS Hops 1 Route tag 65332 MPLS label: none Pour les puristes, à noter : Last update from 192.0.2.1 1w0d ago c1841-michel#sh run ip route 192.0.2.1 255.255.255.255 Null0 name BLACKHOLE Appât à troll : est-ce qu'il aurait fallu à la place faire : ip route 192.0.2.0 255.255.255.0 Null0 name BLACKHOLE ? Cà ce discute. c1841-michel#sh ip bgp 198.18.0.0/15 BGP routing table entry for 198.18.0.0/15, version 2543 Paths: (2 available, best #1, table default, not advertised to EBGP peer) Not advertised to any peer 65332 192.0.2.1 from x.x.x.x (x.x.x.x) Origin IGP, localpref 100, valid, external, best Community: 65332:888 no-export 65332 192.0.2.1 from y.y.y.y (192.168.z.z) Origin IGP, localpref 100, valid, external Community: 65332:888 no-export c1841-michel#sh ip bgp 203.0.113.0/24 BGP routing table entry for 203.0.113.0/24, version 2874 Paths: (2 available, best #1, table default, not advertised to EBGP peer) Not advertised to any peer 65332 192.0.2.1 from x.x.x.x (x.x.x.x) Origin IGP, localpref 100, valid, external, best Community: 65332:888 no-export 65332 192.0.2.1 from y.y.y.y (192.168.z.z) Origin IGP, localpref 100, valid, external Community: 65332:888 no-export c1841-michel#sh ip bgp 192.0.2.1/24 BGP routing table entry for 192.0.2.0/24, version 710 Paths: (2 available, best #1, table default, not advertised to EBGP peer) Not advertised to any peer 65332 192.0.2.1 from x.x.x.x (x.x.x.x) Origin IGP, localpref 100, valid, external, best Community: 65332:888 no-export 65332 192.0.2.1 from y.y.y.y (192.168.z.z) Origin IGP, localpref 100, valid, external Community: 65332:888 no-export Attention, c'est bien pour les envoyer comme référence à des tiers donc cela doit marcher depuis tout l'Internet. Ce que tu veux, c'est que tout le monde prenne ta patate chaude pour toi. Annoncer un trou noir, c'est un paratonnerre à emmerdes, ce qui est une des deux raisons profondes (l'autre étant le coût de la bande passante) pour lesquelles personne ne le fait. À ma connaissance, il n'y a pas d'adresse IPv4 prévue pour faire des puits / éviers / trous noirs. CQFD. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Hello, - Original Message - From: Stephane Bortzmeyer bortzme...@nic.fr To: frnog-m...@frnog.org Sent: Wednesday, November 26, 2014 10:18 AM Subject: [FRnOG] [MISC] C'est nous qu'on est les meilleurs http://www.vanityfair.fr/actualites/france/articles/rani-assaf-l-associe-fantome-de-xavier-niel/16660 « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » Ben.. si on lit bien 2 -3 ligne lus haut, c'était dans le milieu des années 2000, depuis l'adjectif a pu shifter :-) SBU --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/