Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Stéphane Diacquenod 

Hello,

Que mettez-vous en place chez vous pour éviter les impacts ?
Je pensais notamment à du stormcontrol pour couper les ports 
automatiquement.


Cordialement,
Stéphane

Le 2018-04-24 15:13, Alexis Lameire a écrit :

Hello,
On constate un gros flood en broadcast sur equinix ix, on a du shut 
notre

port vue la saturation.

Ca proviens de l'IP 195.42.145.195

Bonne journée

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Steeve BEAUVAIS - Société Serinya Telecom 
Incident terminé chez Equinix et identifié sur PA6.
C’etait bien une tempete de broadcast.

Cordialemen.

Le mar. 24 avr. 2018 à 18:33, Raphael Maunier  a
écrit :

> Dans ce cas précis oui, mais dire que “ Faut dire que trois NS dans le
> même ASN, c’est pas super malin.”
> C’est en faire une généralité :)
>
> > On 24 Apr 2018, at 18:32, Alarig Le Lay  wrote:
> >
> > On mar. 24 avr. 18:04:37 2018, Raphael Maunier wrote:
> >> Ah  ?
> >> Et si l’AS est en mode ilot genre CDN / Akamai et un anycast pas
> forcément sur tous les nodes :)
> >
> > Vu la latence et les reverses, tous les nœuds sont au même endroit :
> >
> > % for ns in a b c; do mtr -bzwe4 ${ns}.dns.gandi.net; mtr -bzwe6 ${ns}.
> dns.gandi.net; done
> > Start: 2018-04-24T18:26:43+0200
> > HOST: mew.swordarmor.fr
>  Loss%   Snt   Last   Avg  Best  Wrst StDev
> >  1. AS204092 br-ganeti.regis.swordarmor.fr (89.234.186.209)   0.0%
>   100.3   0.3   0.2   0.4   0.0
> >  2. AS204092 nominoe.cogent-rns.grifon.fr (89.234.186.7)  0.0%
>   100.3   0.5   0.3   0.6   0.1
> >  3. AS?????? 100.0
>   100.0   0.0   0.0   0.0   0.0
> >  4. AS198507 185-132-75-34.boamuo.quantic.ninja (185.132.75.34)   0.0%
>   10   11.4  12.8  11.3  24.8   4.2
> >  5. AS???gandi.equinix-ix.fr (195.42.144.8)   0.0%
>   10   15.2  14.6  13.3  15.8   0.8
> >  6. AS29169  te0-0-1-0-core1-lux.lux.gandi.net (217.70.176.102)   0.0%
>   10   28.2  59.2  27.8 331.9  95.8
> >   [MPLS: Lbl 24133 Exp 0 S u TTL 1]
> >  7. AS29169  xe3-x.gdist1-lux.gandi.net (217.70.186.42)   0.0%
>   10   27.8  27.8  27.4  28.6   0.3
> >   [MPLS: Lbl 121 Exp 0 S u TTL 1]
> >  8. AS29169  a.dns.gandi.net (173.246.98.1)   0.0%
>   10   27.3  27.3  27.2  27.5   0.1
> > Start: 2018-04-24T18:27:00+0200
> > HOST: mew.swordarmor.fr
>Loss%   Snt   Last   Avg  Best  Wrst StDev
> >  1. AS204092 br-ganeti.regis.swordarmor.fr (2a00:5884:102:1::1)
>0.0%100.5   0.4   0.3   0.5   0.1
> >  2. AS204092 budic.cogent-rns.grifon.fr (2a00:5884::6)
>   0.0%100.5   0.6   0.4   0.7   0.1
> >  3. AS1742001:978:2:4e::5:1
>  0.0%101.6   1.8   1.5   2.0   0.1
> >  4. AS174te0-0-2-1.rcr11.rns01.atlas.cogentco.com
> (2001:550:0:1000::9a19:47d) 0.0%101.7   1.7   1.6   1.9
>  0.1
> >  5. AS174te0-2-0-10.agr21.par01.atlas.cogentco.com
> (2001:550:0:1000::9a19:97d)0.0%107.4   7.8   7.4   8.6   0.4
> >  6. AS174te0-0-1-0.rcr11.rhe01.atlas.cogentco.com
> (2001:550:0:1000::9a36:2416)0.0%10   10.6  11.1  10.6  12.9
>  0.7
> >  7. AS174te0-6-0-15.rcr21.lux01.atlas.cogentco.com
> (2001:550:0:1000::9a36:2676)   0.0%10   17.1  17.0  16.7  17.3   0.2
> >  8. AS174be3456.nr51.b038844-0.lux01.atlas.cogentco.com
> (2001:550:0:1000::9a19:c46)   0.0%10   17.5  17.7  17.4  19.6   0.7
> >  9. AS1742001:978:2:4c::11:2
>   0.0%10   22.5  23.0  22.2  24.3   0.8
> > 10. AS29169  xe3-23-dist1-lux-ip6.lux.gandi.net
> (2001:4b98:dc2:1f::cd1:2) 0.0%10   22.0  25.7  22.0
> 57.7  11.2
> > 11. AS29169  a.dns.gandi.net (2604:3400:abca::1)
>   0.0%10   21.6  30.8  21.4  96.4  23.5
> > Start: 2018-04-24T18:27:22+0200
> > HOST: mew.swordarmor.fr
>  Loss%   Snt   Last   Avg  Best  Wrst StDev
> >  1. AS204092 br-ganeti.regis.swordarmor.fr (89.234.186.209)   0.0%
>   100.2   0.3   0.2   0.4   0.1
> >  2. AS204092 nominoe.cogent-rns.grifon.fr (89.234.186.7)  0.0%
>   100.4   0.5   0.3   0.7   0.1
> >  3. AS?????? 100.0
>   100.0   0.0   0.0   0.0   0.0
> >  4. AS198507 185-132-75-34.boamuo.quantic.ninja (185.132.75.34)   0.0%
>   10   11.6  11.5  11.2  11.6   0.1
> >  5. AS???gandi.equinix-ix.fr (195.42.144.8)   0.0%
>   10   13.1  15.0  12.4  17.8   1.9
> >  6. AS29169  te0-0-1-0-core1-lux.lux.gandi.net (217.70.176.102)   0.0%
>   10   28.1  28.7  28.1  33.0   1.5
> >   [MPLS: Lbl 24276 Exp 0 S u TTL 1]
> >  7. AS29169  xe3-x.gdist2-lux.gandi.net (217.70.186.54)   0.0%
>   10   27.4  29.3  27.3  37.5   3.9
> >  8. AS29169  b.dns.gandi.net (213.167.229.1)  0.0%
>   10   27.3  27.6  27.2  29.5   0.7
> > Start: 2018-04-24T18:27:39+0200
> > HOST: mew.swordarmor.fr
>  Loss%   Snt   Last   Avg  Best  Wrst StDev
> >  1. AS204092 br-ganeti.regis.swordarmor.fr (2a00:5884:102:1::1)
>  0.0%100.4   0.4   0.2   0.5   0.1
> >  2. AS204092 budic.cogent-rns.grifon.fr (2a00:5884::6)
> 0.0%100.6   0.5   0.5   0.7   0.1
> >  3. AS198507 rennes-rns01-gw1.routers.quantic-telecom.net
> (2a06:e040:3501:101:2::1) 0.0%100.7   0.7   0.6   0.8   0.1
> >  4. AS198507

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Raphael Maunier 
Dans ce cas précis oui, mais dire que “ Faut dire que trois NS dans le même 
ASN, c’est pas super malin.” 
C’est en faire une généralité :)

> On 24 Apr 2018, at 18:32, Alarig Le Lay  wrote:
> 
> On mar. 24 avr. 18:04:37 2018, Raphael Maunier wrote:
>> Ah  ?
>> Et si l’AS est en mode ilot genre CDN / Akamai et un anycast pas forcément 
>> sur tous les nodes :)
> 
> Vu la latence et les reverses, tous les nœuds sont au même endroit :
> 
> % for ns in a b c; do mtr -bzwe4 ${ns}.dns.gandi.net; mtr -bzwe6 
> ${ns}.dns.gandi.net; done
> Start: 2018-04-24T18:26:43+0200
> HOST: mew.swordarmor.fr   Loss%   Snt 
>   Last   Avg  Best  Wrst StDev
>  1. AS204092 br-ganeti.regis.swordarmor.fr (89.234.186.209)   0.0%10  
>   0.3   0.3   0.2   0.4   0.0
>  2. AS204092 nominoe.cogent-rns.grifon.fr (89.234.186.7)  0.0%10  
>   0.3   0.5   0.3   0.6   0.1
>  3. AS?????? 100.010  
>   0.0   0.0   0.0   0.0   0.0
>  4. AS198507 185-132-75-34.boamuo.quantic.ninja (185.132.75.34)   0.0%10  
>  11.4  12.8  11.3  24.8   4.2
>  5. AS???gandi.equinix-ix.fr (195.42.144.8)   0.0%10  
>  15.2  14.6  13.3  15.8   0.8
>  6. AS29169  te0-0-1-0-core1-lux.lux.gandi.net (217.70.176.102)   0.0%10  
>  28.2  59.2  27.8 331.9  95.8
>   [MPLS: Lbl 24133 Exp 0 S u TTL 1]
>  7. AS29169  xe3-x.gdist1-lux.gandi.net (217.70.186.42)   0.0%10  
>  27.8  27.8  27.4  28.6   0.3
>   [MPLS: Lbl 121 Exp 0 S u TTL 1]
>  8. AS29169  a.dns.gandi.net (173.246.98.1)   0.0%10  
>  27.3  27.3  27.2  27.5   0.1
> Start: 2018-04-24T18:27:00+0200
> HOST: mew.swordarmor.fr   
> Loss%   Snt   Last   Avg  Best  Wrst StDev
>  1. AS204092 br-ganeti.regis.swordarmor.fr (2a00:5884:102:1::1)   
> 0.0%100.5   0.4   0.3   0.5   0.1
>  2. AS204092 budic.cogent-rns.grifon.fr (2a00:5884::6)
> 0.0%100.5   0.6   0.4   0.7   0.1
>  3. AS1742001:978:2:4e::5:1   
> 0.0%101.6   1.8   1.5   2.0   0.1
>  4. AS174te0-0-2-1.rcr11.rns01.atlas.cogentco.com 
> (2001:550:0:1000::9a19:47d) 0.0%101.7   1.7   1.6   1.9   0.1
>  5. AS174te0-2-0-10.agr21.par01.atlas.cogentco.com 
> (2001:550:0:1000::9a19:97d)0.0%107.4   7.8   7.4   8.6   0.4
>  6. AS174te0-0-1-0.rcr11.rhe01.atlas.cogentco.com 
> (2001:550:0:1000::9a36:2416)0.0%10   10.6  11.1  10.6  12.9   0.7
>  7. AS174te0-6-0-15.rcr21.lux01.atlas.cogentco.com 
> (2001:550:0:1000::9a36:2676)   0.0%10   17.1  17.0  16.7  17.3   0.2
>  8. AS174be3456.nr51.b038844-0.lux01.atlas.cogentco.com 
> (2001:550:0:1000::9a19:c46)   0.0%10   17.5  17.7  17.4  19.6   0.7
>  9. AS1742001:978:2:4c::11:2  
> 0.0%10   22.5  23.0  22.2  24.3   0.8
> 10. AS29169  xe3-23-dist1-lux-ip6.lux.gandi.net (2001:4b98:dc2:1f::cd1:2) 
> 0.0%10   22.0  25.7  22.0  57.7  11.2
> 11. AS29169  a.dns.gandi.net (2604:3400:abca::1)  
> 0.0%10   21.6  30.8  21.4  96.4  23.5
> Start: 2018-04-24T18:27:22+0200
> HOST: mew.swordarmor.fr   Loss%   Snt 
>   Last   Avg  Best  Wrst StDev
>  1. AS204092 br-ganeti.regis.swordarmor.fr (89.234.186.209)   0.0%10  
>   0.2   0.3   0.2   0.4   0.1
>  2. AS204092 nominoe.cogent-rns.grifon.fr (89.234.186.7)  0.0%10  
>   0.4   0.5   0.3   0.7   0.1
>  3. AS?????? 100.010  
>   0.0   0.0   0.0   0.0   0.0
>  4. AS198507 185-132-75-34.boamuo.quantic.ninja (185.132.75.34)   0.0%10  
>  11.6  11.5  11.2  11.6   0.1
>  5. AS???gandi.equinix-ix.fr (195.42.144.8)   0.0%10  
>  13.1  15.0  12.4  17.8   1.9
>  6. AS29169  te0-0-1-0-core1-lux.lux.gandi.net (217.70.176.102)   0.0%10  
>  28.1  28.7  28.1  33.0   1.5
>   [MPLS: Lbl 24276 Exp 0 S u TTL 1]
>  7. AS29169  xe3-x.gdist2-lux.gandi.net (217.70.186.54)   0.0%10  
>  27.4  29.3  27.3  37.5   3.9
>  8. AS29169  b.dns.gandi.net (213.167.229.1)  0.0%10  
>  27.3  27.6  27.2  29.5   0.7
> Start: 2018-04-24T18:27:39+0200
> HOST: mew.swordarmor.fr   
>   Loss%   Snt   Last   Avg  Best  Wrst StDev
>  1. AS204092 br-ganeti.regis.swordarmor.fr (2a00:5884:102:1::1)   
>   0.0%100.4   0.4   0.2   0.5   0.1
>  2. AS204092 budic.cogent-rns.grifon.fr (2a00:5884::6)
>   0.0%100.6   0.5   0.5   0.7   0.1
>  3. AS198507 rennes-rns01-gw1.routers.quantic-telecom.net 
> (2a06:e040:3501:101:2::1)

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Alarig Le Lay 
On mar. 24 avr. 18:04:37 2018, Raphael Maunier wrote:
> Ah  ?
> Et si l’AS est en mode ilot genre CDN / Akamai et un anycast pas forcément 
> sur tous les nodes :)

Vu la latence et les reverses, tous les nœuds sont au même endroit :

% for ns in a b c; do mtr -bzwe4 ${ns}.dns.gandi.net; mtr -bzwe6 
${ns}.dns.gandi.net; done
Start: 2018-04-24T18:26:43+0200
HOST: mew.swordarmor.fr   Loss%   Snt   
Last   Avg  Best  Wrst StDev
  1. AS204092 br-ganeti.regis.swordarmor.fr (89.234.186.209)   0.0%10   
 0.3   0.3   0.2   0.4   0.0
  2. AS204092 nominoe.cogent-rns.grifon.fr (89.234.186.7)  0.0%10   
 0.3   0.5   0.3   0.6   0.1
  3. AS?????? 100.010   
 0.0   0.0   0.0   0.0   0.0
  4. AS198507 185-132-75-34.boamuo.quantic.ninja (185.132.75.34)   0.0%10   
11.4  12.8  11.3  24.8   4.2
  5. AS???gandi.equinix-ix.fr (195.42.144.8)   0.0%10   
15.2  14.6  13.3  15.8   0.8
  6. AS29169  te0-0-1-0-core1-lux.lux.gandi.net (217.70.176.102)   0.0%10   
28.2  59.2  27.8 331.9  95.8
   [MPLS: Lbl 24133 Exp 0 S u TTL 1]
  7. AS29169  xe3-x.gdist1-lux.gandi.net (217.70.186.42)   0.0%10   
27.8  27.8  27.4  28.6   0.3
   [MPLS: Lbl 121 Exp 0 S u TTL 1]
  8. AS29169  a.dns.gandi.net (173.246.98.1)   0.0%10   
27.3  27.3  27.2  27.5   0.1
Start: 2018-04-24T18:27:00+0200
HOST: mew.swordarmor.fr 
  Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. AS204092 br-ganeti.regis.swordarmor.fr (2a00:5884:102:1::1)
   0.0%100.5   0.4   0.3   0.5   0.1
  2. AS204092 budic.cogent-rns.grifon.fr (2a00:5884::6) 
   0.0%100.5   0.6   0.4   0.7   0.1
  3. AS1742001:978:2:4e::5:1
   0.0%101.6   1.8   1.5   2.0   0.1
  4. AS174te0-0-2-1.rcr11.rns01.atlas.cogentco.com 
(2001:550:0:1000::9a19:47d) 0.0%101.7   1.7   1.6   1.9   0.1
  5. AS174te0-2-0-10.agr21.par01.atlas.cogentco.com 
(2001:550:0:1000::9a19:97d)0.0%107.4   7.8   7.4   8.6   0.4
  6. AS174te0-0-1-0.rcr11.rhe01.atlas.cogentco.com 
(2001:550:0:1000::9a36:2416)0.0%10   10.6  11.1  10.6  12.9   0.7
  7. AS174te0-6-0-15.rcr21.lux01.atlas.cogentco.com 
(2001:550:0:1000::9a36:2676)   0.0%10   17.1  17.0  16.7  17.3   0.2
  8. AS174be3456.nr51.b038844-0.lux01.atlas.cogentco.com 
(2001:550:0:1000::9a19:c46)   0.0%10   17.5  17.7  17.4  19.6   0.7
  9. AS1742001:978:2:4c::11:2   
   0.0%10   22.5  23.0  22.2  24.3   0.8
 10. AS29169  xe3-23-dist1-lux-ip6.lux.gandi.net (2001:4b98:dc2:1f::cd1:2)  
   0.0%10   22.0  25.7  22.0  57.7  11.2
 11. AS29169  a.dns.gandi.net (2604:3400:abca::1)   
   0.0%10   21.6  30.8  21.4  96.4  23.5
Start: 2018-04-24T18:27:22+0200
HOST: mew.swordarmor.fr   Loss%   Snt   
Last   Avg  Best  Wrst StDev
  1. AS204092 br-ganeti.regis.swordarmor.fr (89.234.186.209)   0.0%10   
 0.2   0.3   0.2   0.4   0.1
  2. AS204092 nominoe.cogent-rns.grifon.fr (89.234.186.7)  0.0%10   
 0.4   0.5   0.3   0.7   0.1
  3. AS?????? 100.010   
 0.0   0.0   0.0   0.0   0.0
  4. AS198507 185-132-75-34.boamuo.quantic.ninja (185.132.75.34)   0.0%10   
11.6  11.5  11.2  11.6   0.1
  5. AS???gandi.equinix-ix.fr (195.42.144.8)   0.0%10   
13.1  15.0  12.4  17.8   1.9
  6. AS29169  te0-0-1-0-core1-lux.lux.gandi.net (217.70.176.102)   0.0%10   
28.1  28.7  28.1  33.0   1.5
   [MPLS: Lbl 24276 Exp 0 S u TTL 1]
  7. AS29169  xe3-x.gdist2-lux.gandi.net (217.70.186.54)   0.0%10   
27.4  29.3  27.3  37.5   3.9
  8. AS29169  b.dns.gandi.net (213.167.229.1)  0.0%10   
27.3  27.6  27.2  29.5   0.7
Start: 2018-04-24T18:27:39+0200
HOST: mew.swordarmor.fr 
Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. AS204092 br-ganeti.regis.swordarmor.fr (2a00:5884:102:1::1)
 0.0%100.4   0.4   0.2   0.5   0.1
  2. AS204092 budic.cogent-rns.grifon.fr (2a00:5884::6) 
 0.0%100.6   0.5   0.5   0.7   0.1
  3. AS198507 rennes-rns01-gw1.routers.quantic-telecom.net 
(2a06:e040:3501:101:2::1) 0.0%100.7   0.7   0.6   0.8   0.1
  4. AS198507 paris-th2-gw1.routers.quantic-telecom.net 
(2a06:e040:0:7501:1350:aa:0:1)   0.0%10   11.7  11.6  11.5  11.8   0.1
  5. AS???10gigabitethernet-2-2.par2.he.net (2001:7f8:43::6939:1)   
 0.0%10  149.0  40.9  11.6 149.0  41.6
  6. AS???gandi.par.franceix.net

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Steeve BEAUVAIS - Société Serinya Telecom 
Je confirme.
J'ai 2 DNS qui requêtent les root servers et les résolutions DNS
enregistrées chez Gandi ont été impactées.

Cordialement,

[image:
http://www.serinyatelecom.fr/signatures/signature-steeve-beauvais-serinya-telecom.jpg]




Le 24 avril 2018 à 17:33, David Ponzone  a écrit :

> J’ai eu des problèmes de résolution avec Gandi au même moment, qu’un
> d’autre confirme ?
>
> David Ponzone
>
>
>
> > Le 24 avr. 2018 à 11:13, Julien Escario  a
> écrit :
> >
> >> Le 24/04/2018 à 16:57, Jérôme Nicolle a écrit :
> >>
> >>
> >>> Le 24/04/2018 à 16:37, Jérôme Nicolle a écrit :
> >>> On a une idée du temps que cette saleté tient sur pile ?
> >>
> >> Pas si longtemps que ça, c'est fini.
> >
> > Le temps de changer les piles peut être ?
> > 
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet David Ponzone 
J’ai eu des problèmes de résolution avec Gandi au même moment, qu’un d’autre 
confirme ?

David Ponzone



> Le 24 avr. 2018 à 11:13, Julien Escario  a écrit :
> 
>> Le 24/04/2018 à 16:57, Jérôme Nicolle a écrit :
>> 
>> 
>>> Le 24/04/2018 à 16:37, Jérôme Nicolle a écrit :
>>> On a une idée du temps que cette saleté tient sur pile ?
>> 
>> Pas si longtemps que ça, c'est fini.
> 
> Le temps de changer les piles peut être ?
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Julien Escario 
Le 24/04/2018 à 16:57, Jérôme Nicolle a écrit :
> 
> 
> Le 24/04/2018 à 16:37, Jérôme Nicolle a écrit :
>> On a une idée du temps que cette saleté tient sur pile ?
> 
> Pas si longtemps que ça, c'est fini.

Le temps de changer les piles peut être ?
<>

signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet clement 

Le 2018-04-24 16:19, Steeve BEAUVAIS - Société Serinya Telecom a écrit :

Lut,

Il suffit que ce soit du broadcast et ça explique le faite de toujours
recevoir du traffic sur le port du commut même si la subif du routeur 
est

shuté.
On reste sur du L2.


d'après les traces que j'ai ce n'était pas du broadcast mais bien de 
l'unicast, de 00:80:16:91:0f:6e vers 00:80:16:91:0f:1e (IP en unicast 
aussi, 195.42.145.195 vers .196). Par contre je ne recevais "que" 400 
Mbps de flood (sur port Gbps) donc avec une limite quelque part.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Jérôme Nicolle 


Le 24/04/2018 à 16:37, Jérôme Nicolle a écrit :
> On a une idée du temps que cette saleté tient sur pile ?

Pas si longtemps que ça, c'est fini.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Pierre LANCASTRE 
Hello

Il n'y a pas de rate-limit sur le BUM sur Eq-IX, voir sur les IX en général
? Je pose la question "innocemment", je pensais que ç était "mandatory"
pour des setup L2 de ce type.

++

---
Pierre Lancastre
Ingénieur Réseaux et Sécurité
*-* SENSS - AS59798 *-*
+33 7 64 07 26 11


Le mar. 24 avr. 2018 à 16:38, Jérôme Nicolle  a écrit :

> Plop,
>
> Le 24/04/2018 à 15:24, Cédric Bornecque a écrit :
> > L'adresse MAC  était celle d'un analyseur de protocole Wandel &
> Goltermann :
> > Ethernet II, Src: WandelAn_91:0f:6e (00:80:16:91:0f:6e), Dst:
> WandelAn_91:0f:1e (00:80:16:91:0f:1e)
>
> On a une idée du temps que cette saleté tient sur pile ?
>
> @+
>
> --
> Jérôme Nicolle
> 06 19 31 27 14
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Clement Cavadore 
On Tue, 2018-04-24 at 15:44 +0200, Julien Escario wrote:
> Vous me confirmez que je n'ai pas d'autre solution que de demander à
> mon revendeur de couper le port de son côté ?
> Ou alors de shutter le port physique de mon côté et perdre mes autres
> IX par la même occasion ?

En effet, tu n'as que ces deux alternatives...

Clément



signature.asc
Description: This is a digitally signed message part

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Jérôme Nicolle 
Plop,

Le 24/04/2018 à 15:24, Cédric Bornecque a écrit :
> L'adresse MAC  était celle d'un analyseur de protocole Wandel & Goltermann :
> Ethernet II, Src: WandelAn_91:0f:6e (00:80:16:91:0f:6e), Dst: 
> WandelAn_91:0f:1e (00:80:16:91:0f:1e)

On a une idée du temps que cette saleté tient sur pile ?

@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Clement Cavadore 
La classe... :-)

Ca sature les 1G... de mon côté j'ai désactivé:
https://twitter.com/HivaneNetwork/status/988786496965668864

Clément

On Tue, 2018-04-24 at 13:50 +, Julien OHAYON wrote:
> Même sans IP on reçoit 1Gb/s de traf sur le port.
> 
> Julien
> 
> 
> De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Vincent 
> PAGES <vinc...@edx-net.fr>
> Envoyé : mardi 24 avril 2018 15:47
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [ALERT] Flood sur equinix IX
> 
> J'ai eu la même discussion il y a qqs instants, le problème est que même
> si vous n'êtes pas saturés, il y a un risque que vous envoyez du trafic
> à des membres en 1Gbit qui ont laissé leurs sessions ouvertes sur les RS
> par exemple :)
> 
> Le 24/04/2018 à 15:36, Maxence Rousseau a écrit :
> > Le 24/04/2018 à 15:25, Julien Escario a écrit :
> >> Même chose ici, saturation du port ...
> >
> >
> > 1G de flood sur port 10G donc pas d'impact chez nous, je suppose que
> > l'extrémité est en 1G (et que vous êtes en 1G)
> >
> >
> 
> 
> --
> PAGES Vincent
> - Responsable EDX Network
> 
> http://www.edx-net.fr
> 97 ter rue du dauphiné
> 69003 Lyon
> 
> +33 6 28 22 91 13
> 
> PGP: B71D609C
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Steeve BEAUVAIS - Société Serinya Telecom 
Lut,

Il suffit que ce soit du broadcast et ça explique le faite de toujours
recevoir du traffic sur le port du commut même si la subif du routeur est
shuté.
On reste sur du L2.

Cordialement,

[image:
http://www.serinyatelecom.fr/signatures/signature-steeve-beauvais-serinya-telecom.jpg]




Le 24 avril 2018 à 16:11, Julien Escario  a
écrit :

> Le 24/04/2018 à 15:47, Vincent PAGES a écrit :
> > J'ai eu la même discussion il y a qqs instants, le problème est que même
> > si vous n'êtes pas saturés, il y a un risque que vous envoyez du trafic
> > à des membres en 1Gbit qui ont laissé leurs sessions ouvertes sur les RS
> > par exemple :)
>
> Alors là, je ne vois pas trop comment : le trafic est à destination d'une
> autre
> IP donc c'est simplement discardé en entrée de l'interface du routeur non ?
>
> Julien
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Julien Escario 
Le 24/04/2018 à 15:47, Vincent PAGES a écrit :
> J'ai eu la même discussion il y a qqs instants, le problème est que même
> si vous n'êtes pas saturés, il y a un risque que vous envoyez du trafic
> à des membres en 1Gbit qui ont laissé leurs sessions ouvertes sur les RS
> par exemple :)

Alors là, je ne vois pas trop comment : le trafic est à destination d'une autre
IP donc c'est simplement discardé en entrée de l'interface du routeur non ?

Julien
<>

signature.asc
Description: OpenPGP digital signature

RE: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Julien OHAYON 
Même sans IP on reçoit 1Gb/s de traf sur le port.

Julien


De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Vincent 
PAGES <vinc...@edx-net.fr>
Envoyé : mardi 24 avril 2018 15:47
À : frnog@frnog.org
Objet : Re: [FRnOG] [ALERT] Flood sur equinix IX

J'ai eu la même discussion il y a qqs instants, le problème est que même
si vous n'êtes pas saturés, il y a un risque que vous envoyez du trafic
à des membres en 1Gbit qui ont laissé leurs sessions ouvertes sur les RS
par exemple :)

Le 24/04/2018 à 15:36, Maxence Rousseau a écrit :
> Le 24/04/2018 à 15:25, Julien Escario a écrit :
>> Même chose ici, saturation du port ...
>
>
> 1G de flood sur port 10G donc pas d'impact chez nous, je suppose que
> l'extrémité est en 1G (et que vous êtes en 1G)
>
>


--
PAGES Vincent
- Responsable EDX Network

http://www.edx-net.fr
97 ter rue du dauphiné
69003 Lyon

+33 6 28 22 91 13

PGP: B71D609C


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Vincent PAGES 
J'ai eu la même discussion il y a qqs instants, le problème est que même
si vous n'êtes pas saturés, il y a un risque que vous envoyez du trafic
à des membres en 1Gbit qui ont laissé leurs sessions ouvertes sur les RS
par exemple :)

Le 24/04/2018 à 15:36, Maxence Rousseau a écrit :
> Le 24/04/2018 à 15:25, Julien Escario a écrit :
>> Même chose ici, saturation du port ...
> 
> 
> 1G de flood sur port 10G donc pas d'impact chez nous, je suppose que
> l'extrémité est en 1G (et que vous êtes en 1G)
> 
> 


-- 
PAGES Vincent
- Responsable EDX Network

http://www.edx-net.fr
97 ter rue du dauphiné
69003 Lyon

+33 6 28 22 91 13

PGP: B71D609C


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Maxence Rousseau 

Le 24/04/2018 à 15:25, Julien Escario a écrit :

Même chose ici, saturation du port ...



1G de flood sur port 10G donc pas d'impact chez nous, je suppose que 
l'extrémité est en 1G (et que vous êtes en 1G)



--
Maxence Rousseau
mrouss...@ate.info
ATE - Avenir télématique
http://www.ate.info
+33(0)3.28.800.300


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Julien Escario 
Hello,
Même chose ici, saturation du port ...

IP protocol 254 ? WTF ? C'est un test ?

Julien

Le 24/04/2018 à 15:15, Vincent PAGES a écrit :
> Hello,
> 
> Je confirme j'ai ouvert un ticket à l'instant.
> 
> On a ca dans notre netflow:
> dst host 195.42.145.195
> Date first seen  Duration Proto  Src IP Addr:Port
> Dst IP Addr:Port   PacketsBytes Flows
> 2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
> 195.42.145.195:0 40966.2 M 1
> 2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
> 195.42.145.195:0 40966.2 M 1
> 2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
> 195.42.145.195:0 40966.2 M 1
> 2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
> 195.42.145.195:0 40966.2 M 1
> 
> On vient de couper le port de peering de notre coté en attendant.
> 
> Si qqn a des infos :)
> 
> Le 24/04/2018 à 15:13, Alexis Lameire a écrit :
>> Hello,
>> On constate un gros flood en broadcast sur equinix ix, on a du shut notre
>> port vue la saturation.
>>
>> Ca proviens de l'IP 195.42.145.195
>>
>> Bonne journée
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> 
> 
<>

signature.asc
Description: OpenPGP digital signature

RE: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet BLANCPAIN Nicolas 
Même problème
j'ai également du broadcast du 192.168.92.127 ?!

Nicolas

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Vincent PAGES
Envoyé : mardi 24 avril 2018 15:15
À : frnog@frnog.org
Objet : Re: [FRnOG] [ALERT] Flood sur equinix IX

Hello,

Je confirme j'ai ouvert un ticket à l'instant.

On a ca dans notre netflow:
dst host 195.42.145.195
Date first seen  Duration Proto  Src IP Addr:Port
Dst IP Addr:Port   PacketsBytes Flows
2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
195.42.145.195:0 40966.2 M 1
2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
195.42.145.195:0 40966.2 M 1
2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
195.42.145.195:0 40966.2 M 1
2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
195.42.145.195:0 40966.2 M 1

On vient de couper le port de peering de notre coté en attendant.

Si qqn a des infos :)

Le 24/04/2018 à 15:13, Alexis Lameire a écrit :
> Hello,
> On constate un gros flood en broadcast sur equinix ix, on a du shut 
> notre port vue la saturation.
> 
> Ca proviens de l'IP 195.42.145.195
> 
> Bonne journée
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


--
PAGES Vincent
- Responsable EDX Network

http://webdefence.global.blackspider.com/urlwrap/?q=AXicY2FnqLNnYOgMZ2Aoyqk0NEjRKy4q08tNzMxJzs8rKcrP0UvOz2UoN_Z3cTcMLzYwNjYzMGDIy0zOz0ks1kvKScxLLkjMzHMoyEzOSC0Bq80oKSmw0tcvLy_XS02p0M0DCqcVMTAwKDkwMAAAXCwiKQ
97 ter rue du dauphiné
69003 Lyon

+33 6 28 22 91 13

PGP: B71D609C


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Cédric Bornecque 
Bonjour,

Nous aussi en provenance de la même adresse IP. Port également coupé pour 
supprimer le flood.

L'adresse MAC  était celle d'un analyseur de protocole Wandel & Goltermann :
Ethernet II, Src: WandelAn_91:0f:6e (00:80:16:91:0f:6e), Dst: WandelAn_91:0f:1e 
(00:80:16:91:0f:1e)

Nous essayons d'avoir Equinix pour une explication.

Bonne journée.

Cédric Bornecque
W3TEL

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Alexis 
Lameire
Envoyé : mardi 24 avril 2018 15:13
À : frnog-al...@frnog.org
Objet : [FRnOG] [ALERT] Flood sur equinix IX

Hello,
On constate un gros flood en broadcast sur equinix ix, on a du shut notre port 
vue la saturation.

Ca proviens de l'IP 195.42.145.195

Bonne journée

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Flood sur equinix IX

2018-04-24 Par sujet Vincent PAGES 
Hello,

Je confirme j'ai ouvert un ticket à l'instant.

On a ca dans notre netflow:
dst host 195.42.145.195
Date first seen  Duration Proto  Src IP Addr:Port
Dst IP Addr:Port   PacketsBytes Flows
2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
195.42.145.195:0 40966.2 M 1
2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
195.42.145.195:0 40966.2 M 1
2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
195.42.145.195:0 40966.2 M 1
2018-04-24 14:30:00.086 0.000 254 195.42.145.196:0 ->
195.42.145.195:0 40966.2 M 1

On vient de couper le port de peering de notre coté en attendant.

Si qqn a des infos :)

Le 24/04/2018 à 15:13, Alexis Lameire a écrit :
> Hello,
> On constate un gros flood en broadcast sur equinix ix, on a du shut notre
> port vue la saturation.
> 
> Ca proviens de l'IP 195.42.145.195
> 
> Bonne journée
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


-- 
PAGES Vincent
- Responsable EDX Network

http://www.edx-net.fr
97 ter rue du dauphiné
69003 Lyon

+33 6 28 22 91 13

PGP: B71D609C


---
Liste de diffusion du FRnOG
http://www.frnog.org/