subject:"Re\: \[FRnOG\] \[TECH\] Excellent exposé sur les attaques dDoS réflexion\/amplification"

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Garreau, Alexandre

Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
> Très bon travail de Dobbins :
>
> https://app.box.com/s/r7an1moswtc7ce58f8gg
>
> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
> lutte anti-DoS.

Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
nécessitant pas de faire tourner un script javascript privateur et lourd
qui a tendance à faire freezer les navigateurs libres modernes
— néanmoins insuffisamment parallélisés ?


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Youssef Bengelloun-Zahr

+1

Y.



Le 30 mai 2014 13:42, Stephane Bortzmeyer  a écrit :

> Très bon travail de Dobbins :
>
> https://app.box.com/s/r7an1moswtc7ce58f8gg
>
> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
> lutte anti-DoS.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Youssef BENGELLOUN-ZAHR

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Jean-Yves Bisiaux

Salut Stephane,

Oui c'est interessant, mais ces techniques de blocage de requetes DNS sont
tres discutables et pourraient devenir rapidement un outil extraordinaire
pour les hackers.
Par exemple une requete DNS bloquee facilite le cache poisoning. Ou encore
avoir la possibilite de bloquer l'adresse IP (spoofe) d'un serveur racine
ou du DNS d'un ISP est une tres belle opportunite pour mettre la pagaille.

De mon point de vue, la meilleure solution est de ne pas bloquer les
requetes DNS mais d'y repondre.

--
Jean-Yves Bisiaux


Le 30 mai 2014 13:42, Stephane Bortzmeyer  a écrit :

> Très bon travail de Dobbins :
>
> https://app.box.com/s/r7an1moswtc7ce58f8gg
>
> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
> lutte anti-DoS.
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread David Ponzone

Il suffit pas de cliquer en haut à droite sur « Téléchargement » ?
Ok ça demande de supporter 30 secondes de JS.

David


Le 30 mai 2014 à 14:08, Garreau, Alexandre  a écrit :

> Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
>> Très bon travail de Dobbins :
>> 
>> https://app.box.com/s/r7an1moswtc7ce58f8gg
>> 
>> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
>> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
>> lutte anti-DoS.
> 
> Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
> nécessitant pas de faire tourner un script javascript privateur et lourd
> qui a tendance à faire freezer les navigateurs libres modernes
> — néanmoins insuffisamment parallélisés ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Denis Fondras

Pour ceux qui sont allergiques au JS :
wget http://presentations.liopen.fr/reflectionamplificationpublic.pdf



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Garreau, Alexandre

Le 30/05/2014 à 14h24, David Ponzone a écrit :
> Le 30 mai 2014 à 14h08, « Garreau, Alexandre » a écrit :
>> Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
>>> Très bon travail de Dobbins :
>>> 
>>> https://app.box.com/s/r7an1moswtc7ce58f8gg
>>> 
>>> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
>>> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de
>>> la lutte anti-DoS.
>> 
>> Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
>> nécessitant pas de faire tourner un script javascript privateur et
>> lourd qui a tendance à faire freezer les navigateurs libres modernes
>> — néanmoins insuffisamment parallélisés ?
>
> Il suffit pas de cliquer en haut à droite sur « Téléchargement » ?

L’apparition de ce bouton et son fonctionnement requiert l’exécution
d’un javascript privateur et suffisamment lourd pour faire freezer le
seul navigateur décent dont je dispose (Iceweasel, le reste est peu ou
pas acceptable, par sa qualité ou ses abus).

> Ok ça demande de supporter 30 secondes de JS.

T’as eu de la chance, suffisamment peu d’onglets/fenêtres ouvertes,
suffisamment peu de processus lancés, etc. pour que ça ne dure que 30
secondes, moi au bout d’un quart d’heure j’ai abandonné.

Mais tu peux aussi poster l’adresse du PDF que fait télécharger le
bouton « Télécharger » aussi, ça évite deux messages inutiles ;)


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread frnog


Mouais

Avec Iceweasel 26, ça baigne.
C'est sur que si tu utilises encore la version 3.5, avec la sale manie 
qu'ont les techno web de changer tout les 15min, c'est sensiblement plus 
délicat


On 30/05/2014 14:38, Garreau, Alexandre wrote:

Le 30/05/2014 à 14h24, David Ponzone a écrit :

L’apparition de ce bouton et son fonctionnement requiert l’exécution
d’un javascript privateur et suffisamment lourd pour faire freezer le
seul navigateur décent dont je dispose (Iceweasel, le reste est peu ou
pas acceptable, par sa qualité ou ses abus).


Ok ça demande de supporter 30 secondes de JS.


T’as eu de la chance, suffisamment peu d’onglets/fenêtres ouvertes,
suffisamment peu de processus lancés, etc. pour que ça ne dure que 30
secondes, moi au bout d’un quart d’heure j’ai abandonné.

Mais tu peux aussi poster l’adresse du PDF que fait télécharger le
bouton « Télécharger » aussi, ça évite deux messages inutiles ;)




--
"UNIX was not designed to stop its users from doing stupid things, as 
that would also stop them from doing clever things." – Doug Gwyn



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread David Ponzone

Je n’ai effectivement que 12 fenêtres Safari ouvertes et que 37 onglets au 
total dans ces 12 fenêtres. 
Et une quinzaine d’autres applications ouvertes (dont Firefox et Xcode).
Je dois admettre que je dépasse rarement ce niveau donc je ménage probablement 
mon Mac.

Après vérification, je n’ai pas mis 30 secondes, mais 11 secondes pour que la 
page https://app.box.com/s/r7an1moswtc7ce58f8gg s’affiche, pour cliquer sur le 
lien Téléchargement, et pour que le PDF de 7Mo arrive.

Est-ce qu’il serait éventuellement possible que le problème vienne de ton 
PC/Mac ?

Le 30 mai 2014 à 14:38, Garreau, Alexandre  a écrit :

> Le 30/05/2014 à 14h24, David Ponzone a écrit :
>> Le 30 mai 2014 à 14h08, « Garreau, Alexandre » a écrit :
>>> Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
 Très bon travail de Dobbins :
 
 https://app.box.com/s/r7an1moswtc7ce58f8gg
 
 Notez surtout la fin, « que faire » et, encore mieux, le slide « que
 ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de
 la lutte anti-DoS.
>>> 
>>> Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
>>> nécessitant pas de faire tourner un script javascript privateur et
>>> lourd qui a tendance à faire freezer les navigateurs libres modernes
>>> — néanmoins insuffisamment parallélisés ?
>> 
>> Il suffit pas de cliquer en haut à droite sur « Téléchargement » ?
> 
> L’apparition de ce bouton et son fonctionnement requiert l’exécution
> d’un javascript privateur et suffisamment lourd pour faire freezer le
> seul navigateur décent dont je dispose (Iceweasel, le reste est peu ou
> pas acceptable, par sa qualité ou ses abus).
> 
>> Ok ça demande de supporter 30 secondes de JS.
> 
> T’as eu de la chance, suffisamment peu d’onglets/fenêtres ouvertes,
> suffisamment peu de processus lancés, etc. pour que ça ne dure que 30
> secondes, moi au bout d’un quart d’heure j’ai abandonné.
> 
> Mais tu peux aussi poster l’adresse du PDF que fait télécharger le
> bouton « Télécharger » aussi, ça évite deux messages inutiles ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Garreau, Alexandre

Le 30/05/2014 à 14h50, David Ponzone a écrit :
> Le 30/05/2014 à 14h38, « Garreau, Alexandre » a écrit :
>> Le 30/05/2014 à 14h24, David Ponzone a écrit :
>>> Le 30/05/2014 à 14h08, « Garreau, Alexandre » a écrit :
 Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
> Très bon travail de Dobbins :
> 
> https://app.box.com/s/r7an1moswtc7ce58f8gg
> 
> Notez surtout la fin, « que faire » et, encore mieux, le slide
> « que ne PAS faire », qui rassemble beaucoup de c...ies faites au
> nom de la lutte anti-DoS.
 
 Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
 nécessitant pas de faire tourner un script javascript privateur et
 lourd qui a tendance à faire freezer les navigateurs libres
 modernes — néanmoins insuffisamment parallélisés ?
>>> 
>>> Il suffit pas de cliquer en haut à droite sur « Téléchargement » ?
>> 
>> L’apparition de ce bouton et son fonctionnement requiert l’exécution
>> d’un javascript privateur et suffisamment lourd pour faire freezer le
>> seul navigateur décent dont je dispose (Iceweasel, le reste est peu
>> ou pas acceptable, par sa qualité ou ses abus).
>> 
>>> Ok ça demande de supporter 30 secondes de JS.
>> 
>> T’as eu de la chance, suffisamment peu d’onglets/fenêtres ouvertes,
>> suffisamment peu de processus lancés, etc. pour que ça ne dure que 30
>> secondes, moi au bout d’un quart d’heure j’ai abandonné.
>> 
> Je n’ai effectivement que 12 fenêtres Safari ouvertes et que 37
> onglets au total dans ces 12 fenêtres.  Et une quinzaine d’autres
> applications ouvertes (dont Firefox et Xcode).  Je dois admettre que
> je dépasse rarement ce niveau donc je ménage probablement mon Mac.

Safari est peut-être mieux parallélise, qu’en sais-je ? Pour moi il
continue à faire partie des navigateur pas décemment acceptables, donc
la question ne se pose pas.

> Après vérification, je n’ai pas mis 30 secondes, mais 11 secondes pour
> que la page https://app.box.com/s/r7an1moswtc7ce58f8gg s’affiche, pour
> cliquer sur le lien Téléchargement, et pour que le PDF de 7Mo arrive.

Bien, bah t’as un navigateur à jour sur tous les points techniques,
aussi bien bon que mauvais (dieu^Wqui diable sait ce que fout Safari ?).

> Est-ce qu’il serait éventuellement possible que le problème vienne de
> ton PC/Mac ?

Mmh… je doutes très fortement que le mauvais fonctionnement d’*un*
logiciel soit dû au matériel. Probablement un problème d’obsolescence de
quelques vieux softs encore sous Sid, des trucs lourds inutiles, etc. Je
ferais le ménage un jour (btw c’est un poil provocateur d’accuser
d’utiliser un Mac quelqu’un qui parle d’abus et décence logicielles).

Le 30/05/2014 à 14h45, fr...@jack.fr.eu.org a écrit :
> Le 30/05/2014 14h38, « Garreau, Alexandre » a écrit :
>> Mais tu peux aussi poster l’adresse du PDF que fait télécharger le
>> bouton « Télécharger » aussi, ça évite deux messages inutiles ;)
>
> Avec Iceweasel 26, ça baigne.

T’as recompilé pour avoir la 26 ? Ou c’est moi qui met pas assez souvent
à jour…

> C'est sur que si tu utilises encore la version 3.5, avec la sale manie
> qu'ont les techno web de changer tout les 15min, c'est sensiblement
> plus délicat

24.5, celle de la dernière fois que j’ai fait une mise-à-jour, sous
Sid. Après le problème vient plutôt de changer de façon irrégulière des
standards complexes quand un simple lien direct et une meilleure
intégration d’application externes suffit.

Le 30/05/2014 à 14h32, Denis Fondras a écrit :
> Pour ceux qui sont allergiques au JS :
> wget http://presentations.liopen.fr/reflectionamplificationpublic.pdf

Et hop le problème ne se pose plus (s/wget http/torify wget https/,
btw). :)


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Jean-Marc Gailis

Salut,
ça fait aussi crasher mon Nigthly, mis à jour chaque nuit, avec les
dernières corrections de bug de Mozilla.


Jean-Marc Gailis

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Radu-Adrian Feurdean

On Fri, May 30, 2014, at 14:20, Jean-Yves Bisiaux wrote:

> Oui c'est interessant, mais ces techniques de blocage de requetes DNS sont
> tres discutables et pourraient devenir rapidement un outil extraordinaire 
> pour les hackers.

Il ne parle jamais de bloquer les requetes DNS au niveau reseau, juste
de ne pas repondre (en tant que resolver) a tout le monde.
Il parle pas non plus de bloquer les requetes vers les serveurs faisant
autorite.

> De mon point de vue, la meilleure solution est de ne pas bloquer les
> requetes DNS mais d'y repondre.

Le probleme etant quand le serveur repond n'importe quoi (X fois plus de
data dans le reponse que dans la requete) a une addresse spoofe.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Bouzemarene, Farid (ATS)

J ai pas de soucis avec IE8 et une petite 20 d onglets Firefox et aussi 
quelques onglets ...
C est quand meme un vieux debat l histoire des browsers ... Qui me rappelle mes 
1eres utilisations de mozilla vers 97-98 et les moqueries de certains sans 
parler de netscape et de fork par ici et par la ...
Sinon il y a toujours lynx pour les mecontents 

Presque sans interet comme debat surtout que c est un assez loin du sujet d 
origine qui pour le coup lui l est .

- Message d'origine -
De : Jean-Marc Gailis [mailto:jeanmarc.gai...@gmail.com]
Envoyé : Friday, May 30, 2014 03:15 PM W. Europe Standard Time
À : frnog-t...@frnog.org 
Objet : Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS 
réflexion/amplification

Salut,
ça fait aussi crasher mon Nigthly, mis à jour chaque nuit, avec les
dernières corrections de bug de Mozilla.


Jean-Marc Gailis

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Radu-Adrian Feurdean

On Fri, May 30, 2014, at 14:09, Youssef Bengelloun-Zahr wrote:
> +1
> 
> Le 30 mai 2014 13:42, Stephane Bortzmeyer  a écrit :
> 
> > Très bon travail de Dobbins :
> >
> > https://app.box.com/s/r7an1moswtc7ce58f8gg
> >
> > Notez surtout la fin, « que faire » et, encore mieux, le slide « que
> > ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
> > lutte anti-DoS.

Pfff encore une fois le discours religieux "Deploy antispoofing at
*all* network edges".
J'ai un certain probleme avec "ALL"; notamment cote "peering edge" et
vers certains types de clients (on ne melange pas mme Michu avec le
fourniseur d'infrastructure qui annonce 100 prefixes a 10 endroits sur 3
continents et qui a a son tour des clients qui a leur tour ont des
clients). 

Je ne suis pas d'accord non plus avec "If you get a reputation as a
spoofing-friendly network, you will be de-peered/de-transited and/or
blocked!"; c'est juste mensonger et intellectuellement malhonnete.

Sinon, le reste est quand-meme tres interessant.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread technicien hahd

On Friday 30 May 2014 13:42:45 Bouzemarene, Farid wrote:
> J ai pas de soucis avec IE8 et une petite 20 d onglets Firefox et aussi
> quelques onglets ... C est quand meme un vieux debat l histoire des
> browsers ... Qui me rappelle mes 1eres utilisations de mozilla vers 97-98
> et les moqueries de certains sans parler de netscape et de fork par ici et
> par la ... Sinon il y a toujours lynx pour les mecontents

On voit bien que ça fait longtemps que tu n'as pas utilisé lynx, car justement 
non les mécontents ne peuvent plus utiliser lynx depuis la mode de faire du 
javascript une nécéssité pour accéder au contenu des pages web. 

les vénérables navigateurs en cli n'ont pas le support du javascript, ni lynx, 
ni w3m, ni netsurf, il y a bien eu links qui s'est essayé au js avant 
d'abandonner en 2007 et elinks qui propose une sorte de support partiel qui 
marche plus ou moins pas.

Le problème ici n'est pas le navigateur mais bien l'usage à outrance du 
javascript et qui presque toujours n'apporte rien à l'usager.

Quand à la question du matériel, je dispose d'un ordi doté d'un core i5, d'un 
ssd dernier cri et de 16Go de RAM en DDR3 et mes navigateurs ont tous le 
javascript désactivé par défaut pour économiser la batterie, ne pas avoir à 
chercher quelle tab parmi les dizaines ouvertes fait ramer l'ordi, protéger ma 
vie privée, éviter les pubs, marketing, animations et autres agacements qui 
viennent se mettre entre moi et le contenu que je veux consulter et j'en passe 
des meilleures.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Guillaume Leclanche

Sinon pour info, l'URL générée par l'hébergeur d'origine qui permet de
télécharger le fichier pdf directement:

https://dl.boxcloud.com/bc/4/86a2d4f14b6a07364cf81b944bec62cf/nc0JJh104Btc3zQI2dE3QgOs6fDoF8WjDxxA7-yOmuH-Z2wPu276OU8M_5IStzpu0K2vp6lL3WutyhDEjfLqwN4t_1xzzYPu2GN2sna88oGWts8EncXF557CEgQ5Z7cKK-CwCJPWfiBW_cY_lEL96IlbxXSr4TOm54uTHvdiZzOBrG145y7OrQTK7MSIH1YhKGIeC4Xv9ajXDVjtEzIgwJJVl_ZjclmpOwL3j4S5IInQaHKf7KwZj3mZ1T0pbuvvTUBsVeOcunLmssG9elsq4ii3TIyOwNXSYTVlOgMZl5INbXC2VInm0K6C2N29TySO1fYwFUTjmsmch7sEs3arDbUTokUqsFklkrY8AgYsYvWTm5TIdZlKrLYt0GOqfD0-dLtW9KIc4CMkV9G8WYXQFEYD1ufYobhhzP2jBXaqmdcPUDtLNUnV7fzhAP-k8WLPRYkj7BZnFt4M_jvNtT4MfYooZbthNrPTvJLURRBmEMgEYXqB5X5TCGQfognIwVZqBRCvDbHJ0y0uTVFFQcYUhTZcHjJefuVx4bWUUGnddozc_MmvdrycU0giLmesWnxdm9-KSHOjh-J-aEnsKFQMO8sY4DkeEFtMEWHMjn1i3xAoD8iAv9ZAnSj1mtYA6slsWoxeLjslWSkrstM9Lja14lt2g9J40l1tjgFNsxDhg1zX9Lf4RVzh35HmenTmxdh0vSYShnq22-WXTHQjQQmHDAmS5gZGs0sMhBGtO1LecO5Ep_d47KSjuF7bPtShhwmPPtc0QJtd6wzC5yPzWiTE1fOL8nmjK_1tqbuiEDM6lGN4kKish4_0M77gHRqfn62xCh883DiFKNFzVc1Vo5GrScoEnLLPgL49aUkGUVvgk0rt4T6BRw../

NB: j'ai testé en changeant de browser et ça marche, mais pas en changeant d'IP.

Guillaume

Le 30 mai 2014 08:32, Denis Fondras  a écrit :
> Pour ceux qui sont allergiques au JS :
> wget http://presentations.liopen.fr/reflectionamplificationpublic.pdf
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Dominique Rousseau

Le Fri, May 30, 2014 at 03:56:12PM +0200, Radu-Adrian Feurdean 
[fr...@radu-adrian.feurdean.net] a écrit:
> Pfff encore une fois le discours religieux "Deploy antispoofing at
> *all* network edges".
> J'ai un certain probleme avec "ALL"; notamment cote "peering edge" et
> vers certains types de clients (on ne melange pas mme Michu avec le
> fourniseur d'infrastructure qui annonce 100 prefixes a 10 endroits sur 3
> continents et qui a a son tour des clients qui a leur tour ont des
> clients). 

C'est plus complique, mais surement pas infaisable.
C'est, il me semble, une pratique courante, de filtrer les prefixes
qu'on recoit sur une session BGP d'un client. Il "suffit" d'utiliser la
meme info pour alimenter le dispositif de filtrage.
Ou alors chaque acteur filtre a la bordure la plus exterieure, et ton
fournisseur d'infrastructure leur fait confiance. (et coupe si y'a du
spoof qui passe)

-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Nicolas Strina


On 30 May 2014, at 16:55, Dominique Rousseau  wrote:

> Le Fri, May 30, 2014 at 03:56:12PM +0200, Radu-Adrian Feurdean 
> [fr...@radu-adrian.feurdean.net] a écrit:
>> Pfff encore une fois le discours religieux "Deploy antispoofing at
>> *all* network edges".
>> J'ai un certain probleme avec "ALL"; notamment cote "peering edge" et
>> vers certains types de clients (on ne melange pas mme Michu avec le
>> fourniseur d'infrastructure qui annonce 100 prefixes a 10 endroits sur 3
>> continents et qui a a son tour des clients qui a leur tour ont des
>> clients). 
> 
> C'est plus complique, mais surement pas infaisable.
> C'est, il me semble, une pratique courante, de filtrer les prefixes
> qu'on recoit sur une session BGP d'un client. Il "suffit" d'utiliser la
> meme info pour alimenter le dispositif de filtrage.
> Ou alors chaque acteur filtre a la bordure la plus exterieure, et ton
> fournisseur d'infrastructure leur fait confiance. (et coupe si y'a du
> spoof qui passe)

Heuu filtrage RFC1918 ? Bogons ? C’est un peu la base à mon sens surtout sur de 
l’edge opérateur. Si tu filtres ce qu’il faut pourquoi encore virer des choses 
côté client ? Si tu es propres sur tes annonces ..
Après le filtrage côté client -> Chez nous c’est DB RIPE toutes les nuits et 
filtering sur les objets route etc .. Donc en gros si rien -> pas de routes. Si 
le client fait son travail -> défiltrage etc .. Bref ça devrait exister partout.
Ca éviterai de voir des soucis … Pour ce qui est de faire confiance .. Pas trop 
non :)

A+

> 
> -- 
> Dominique Rousseau 
> Neuronnexion, Prestataire Internet & Intranet
> 21 rue Frédéric Petit - 8 Amiens
> tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 

--
Nicolas STRINA

Jaguar Network Switzerland
Boulevard Georges Favon, 19
CH - 1024 Genève

Leading Your Performance

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11  
Fax : +33 4 88 00 65 25

URL: 
Support 24+7 : supp...@jaguar-network.ch



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Dominique Rousseau

Le Fri, May 30, 2014 at 05:01:44PM +0100, Nicolas Strina 
[nicolas.str...@jaguar-network.com] a écrit:
[...]
> > C'est plus complique, mais surement pas infaisable.
> > C'est, il me semble, une pratique courante, de filtrer les prefixes
> > qu'on recoit sur une session BGP d'un client. Il "suffit" d'utiliser la
> > meme info pour alimenter le dispositif de filtrage.
> > Ou alors chaque acteur filtre a la bordure la plus exterieure, et ton
> > fournisseur d'infrastructure leur fait confiance. (et coupe si y'a du
> > spoof qui passe)
> 
> Heuu filtrage RFC1918 ? 

Non, BCP38
(ie, pas laisser sortir du traf avec une ip source qui n'est pas de ton
reseau)


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Nicolas Strina


On 30 May 2014, at 17:08, Dominique Rousseau  wrote:

> Le Fri, May 30, 2014 at 05:01:44PM +0100, Nicolas Strina 
> [nicolas.str...@jaguar-network.com] a écrit:
> [...]
>>> C'est plus complique, mais surement pas infaisable.
>>> C'est, il me semble, une pratique courante, de filtrer les prefixes
>>> qu'on recoit sur une session BGP d'un client. Il "suffit" d'utiliser la
>>> meme info pour alimenter le dispositif de filtrage.
>>> Ou alors chaque acteur filtre a la bordure la plus exterieure, et ton
>>> fournisseur d'infrastructure leur fait confiance. (et coupe si y'a du
>>> spoof qui passe)
>> 
>> Heuu filtrage RFC1918 ? 
> 
> Non, BCP38
> (ie, pas laisser sortir du traf avec une ip source qui n'est pas de ton
> reseau)

Oui tu peux inclure BCP 38. Mais c’est la combinaison de bien des choses. On 
est sur ce mode la. Quand tu as du client BGP tu te dois de contrôler .. Mais 
finalement peu de gens le font vraiment.
Je parle in et out de ton network. Si tu sais filtrer en out tu sais le faire 
en in également. Question de temps et de volonté.

A+

> 
> 
> -- 
> Dominique Rousseau 
> Neuronnexion, Prestataire Internet & Intranet
> 21 rue Frédéric Petit - 8 Amiens
> tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 

--
Nicolas STRINA

Jaguar Network Switzerland
Boulevard Georges Favon, 19
CH - 1024 Genève

Leading Your Performance

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11  
Fax : +33 4 88 00 65 25

URL: 
Support 24+7 : supp...@jaguar-network.ch



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Radu-Adrian Feurdean

On Fri, May 30, 2014, at 18:08, Dominique Rousseau wrote:
> Non, BCP38
> (ie, pas laisser sortir du traf avec une ip source qui n'est pas de ton 
> reseau)

Tu as parfaitement raison, quand il s'agit de TON reseau (enfin, celui
sur lequel tu as l'autorite).
Par contre faut arreter de trop deconner avec le traffic d'un client
autonome. Soit tu (toi, ton NOC, ton/tes stagiaire(s), ...) est capable
d'appliquer un filtre "custom" en temps et en heure, soit tu te limites
au "strict minimum" (RFC1918 & co) soit tu laisse carement tomber (dans
quel cas tu vas etre traite de "mauvais"). Et une fois le filtre
"custom" applique, il ne revient pas a sa forme "par default" apres un
week-end.
... alors sur un lien de peering, j'ai certainement mes meilleures
activites que maintenir pour chaque peer des ACL 10 fois plus grandes
que la liste de prefixes reelement annonces, en plus avec un risque de
me faire de-peerer parce-que je fache un de ses clients. Le strict
minimum ca suffit.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Radu-Adrian Feurdean

On Fri, May 30, 2014, at 18:01, Nicolas Strina wrote:

> Heuu filtrage RFC1918 ? Bogons ? C’est un peu la base à mon sens surtout

Pour le RFC1918 (et consorts) oui, ok.
Pour les bogons, hmmm. 128.0.0.0/16 anyone ? si tout ton staff sait
que le bogons, ca se met a jour - ok, sinon - priere de s'abstenir.

> Après le filtrage côté client -> Chez nous c’est DB RIPE toutes les nuits
> et filtering sur les objets route etc .. Donc en gros si rien -> pas de
> routes. Si le client fait son travail -> défiltrage etc .. Bref ça
> devrait exister partout.

Filtrer les routes et filtrer le traffic en fonction de la source n'est
pas le meme chose.
Il y a des cas legitimes pour envoyer du trafic avec une source pour
laquelle tu ne peux pas annoncer "proprement" une route. 
J'ai ete personellement tres content de pouvoir le faire pendant 2 ans
en travaillant avec 6 transitaires differents (1 x petit, 1 x moyen et 4
x grands).

Pour faire rapide: tu fais du content, tu as un ancien bloc PA alloue
par un de tes anciens fournisseurs. Tu as sur ce bloc des services qui
prennent un temps fou a faire changer d'IP : des VPN, des services dont
tu controles pas le DNS voire carrement des services codes en dur chez
tes partenaires (ou pire encore, clients). Tu est depuis devenu LIR, tu
as un AS et ton propre PA, mais ni la volonte ni les moyens de maintenir
2 reseaux ou des configurations qui causent plus de problemes qe ce
qu'ils resoudent. La migration va finir par se faire, mais un nombre
reduit de services prennent un temps fou pour etre migres. Pendant ce
temps, ca serait pas mal de reccuperer le trafic entrant pour ces
services "legacy" sur le lien "legacy" (souvent a prix d'or, dont tout
le monde attend l'expiration des 36 mois d'engagement), tout en sortant
le trafic correspondant par l'endroit ou tout le traffic sort ... oups -
c'est ton nouveau upstream qui droppe ton trafic s'il n'y a pas un objet
"route" bien renseigne dans la RIPE DB :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-31 Thread Nicolas Strina


On 30 May 2014, at 21:33, Radu-Adrian Feurdean  
wrote:

> On Fri, May 30, 2014, at 18:01, Nicolas Strina wrote:
> 
>> Heuu filtrage RFC1918 ? Bogons ? C’est un peu la base à mon sens surtout
> 
> Pour le RFC1918 (et consorts) oui, ok.
> Pour les bogons, hmmm. 128.0.0.0/16 anyone ? si tout ton staff sait
> que le bogons, ca se met a jour - ok, sinon - priere de s'abstenir.
> 
>> Après le filtrage côté client -> Chez nous c’est DB RIPE toutes les nuits
>> et filtering sur les objets route etc .. Donc en gros si rien -> pas de
>> routes. Si le client fait son travail -> défiltrage etc .. Bref ça
>> devrait exister partout.
> 
> Filtrer les routes et filtrer le traffic en fonction de la source n'est
> pas le meme chose.
> Il y a des cas legitimes pour envoyer du trafic avec une source pour
> laquelle tu ne peux pas annoncer "proprement" une route. 
> J'ai ete personellement tres content de pouvoir le faire pendant 2 ans
> en travaillant avec 6 transitaires differents (1 x petit, 1 x moyen et 4
> x grands).

Question de discussion entre client et opérateur. Il y a toujours un moyen 
technique de faire les choses intelligemment.
C’est tout la le soucis. Souvent il n’y a pas d’accompagnement donc on fait 
tout et n’importe quoi. Après ce n’est pas à l’opérateur de porter l’infra du 
client.
Le client doit également respecter les best practices. Donc éducation etc .. 
C’est ce qui manque cruellement à mon avis. Au delas de l’aspect technique.

> 
> Pour faire rapide: tu fais du content, tu as un ancien bloc PA alloue
> par un de tes anciens fournisseurs. Tu as sur ce bloc des services qui
> prennent un temps fou a faire changer d'IP : des VPN, des services dont
> tu controles pas le DNS voire carrement des services codes en dur chez
> tes partenaires (ou pire encore, clients). Tu est depuis devenu LIR, tu
> as un AS et ton propre PA, mais ni la volonte ni les moyens de maintenir
> 2 reseaux ou des configurations qui causent plus de problemes qe ce
> qu'ils resoudent. La migration va finir par se faire, mais un nombre
> reduit de services prennent un temps fou pour etre migres. Pendant ce
> temps, ca serait pas mal de reccuperer le trafic entrant pour ces
> services "legacy" sur le lien "legacy" (souvent a prix d'or, dont tout
> le monde attend l'expiration des 36 mois d'engagement), tout en sortant
> le trafic correspondant par l'endroit ou tout le traffic sort ... oups -
> c'est ton nouveau upstream qui droppe ton trafic s'il n'y a pas un objet
> "route" bien renseigne dans la RIPE DB :)

Tu as deux choix:

- Demander à ton ancien opérateur de faire l’objet (jamais eu de refus)
- Accepter certaines exceptions après vérification du droit d’utilisation du PA

C’est le rôle d’un opérateur de vérifier certaines choses et surtout d’essayer 
d’accompagner son client (dans la limite du raisonnable bien entendu).

A+


> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 

--
Nicolas STRINA

Jaguar Network Switzerland
Boulevard Georges Favon, 19
CH - 1024 Genève

Leading Your Performance

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11  
Fax : +33 4 88 00 65 25

URL: 
Support 24+7 : supp...@jaguar-network.ch



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-06-05 Thread frnog

Le 2014-05-31 10:40, Nicolas Strina a écrit : 

> On 30 May 2014, at 21:33, Radu-Adrian Feurdean 
>  wrote: 
> 
> On Fri, May 30, 2014, at 18:01, Nicolas Strina wrote:
> 
> Heuu filtrage RFC1918 ? Bogons ? C'est un peu la base à mon sens surtout 
> Pour le RFC1918 (et consorts) oui, ok.
> Pour les bogons, hmmm. 128.0.0.0/16 anyone ? si tout ton staff sait
> que le bogons, ca se met a jour - ok, sinon - priere de s'abstenir.
> 
> Après le filtrage côté client -> Chez nous c'est DB RIPE toutes les nuits
> et filtering sur les objets route etc .. Donc en gros si rien -> pas de
> routes. Si le client fait son travail -> défiltrage etc .. Bref ça
> devrait exister partout. 
> Filtrer les routes et filtrer le traffic en fonction de la source n'est
> pas le meme chose.
> Il y a des cas legitimes pour envoyer du trafic avec une source pour
> laquelle tu ne peux pas annoncer "proprement" une route. 
> J'ai ete personellement tres content de pouvoir le faire pendant 2 ans
> en travaillant avec 6 transitaires differents (1 x petit, 1 x moyen et 4
> x grands).

Question de discussion entre client et opérateur. Il y a toujours un
moyen technique de faire les choses intelligemment. 
C'est tout la le soucis. Souvent il n'y a pas d'accompagnement donc on
fait tout et n'importe quoi. Après ce n'est pas à l'opérateur de porter
l'infra du client. 
Le client doit également respecter les best practices. Donc éducation
etc .. C'est ce qui manque cruellement à mon avis. Au delas de l'aspect
technique. 

> Pour faire rapide: tu fais du content, tu as un ancien bloc PA alloue
> par un de tes anciens fournisseurs. Tu as sur ce bloc des services qui
> prennent un temps fou a faire changer d'IP : des VPN, des services dont
> tu controles pas le DNS voire carrement des services codes en dur chez
> tes partenaires (ou pire encore, clients). Tu est depuis devenu LIR, tu
> as un AS et ton propre PA, mais ni la volonte ni les moyens de maintenir
> 2 reseaux ou des configurations qui causent plus de problemes qe ce
> qu'ils resoudent. La migration va finir par se faire, mais un nombre
> reduit de services prennent un temps fou pour etre migres. Pendant ce
> temps, ca serait pas mal de reccuperer le trafic entrant pour ces
> services "legacy" sur le lien "legacy" (souvent a prix d'or, dont tout
> le monde attend l'expiration des 36 mois d'engagement), tout en sortant
> le trafic correspondant par l'endroit ou tout le traffic sort ... oups -
> c'est ton nouveau upstream qui droppe ton trafic s'il n'y a pas un objet

> "route" bien renseigne dans la RIPE DB :)

J'ai comme une idée de déjà-vu...

Question : Normalement, l'ancien fournisseur est sensé avoir renseigné
l'objet route du PA avec l'ASN comme origine dans la RIPE-DB à partir du
moment ou tu as eu un ASN et que tu as annoncé ta PA legacy ? Du coup,
tant que tu ne résilies pas ton service "legacy", l'objet existe et doit
être pris en compte par les autres upstream qui s'appuie sur la RIPE DB
?

L'intérêt du filtre sur l'objet route en DB, c'est aussi la prise en
compte automatique d'un nouveau bloc ou d'un changement (préfixe plus
grand ou plus petit) par tes transitaires quand tu es AS final, sans
avoir besoin de les contacter chacun et de faire des demandes pas du
tout automatisées, ce qui donne plus d'autonomie pour gérer l'annonce
des ressources sur lesquels on a autorité. Je ne prône pas le
tout-automatisé mais quand je vois le temps que ça prend à certain
ISP... 

> Tu as deux choix:
> 
> - Demander à ton ancien opérateur de faire l'objet (jamais eu de refus) 
> - Accepter certaines exceptions après vérification du droit d'utilisation du 
> PA 
> 
> C'est le rôle d'un opérateur de vérifier certaines choses et surtout 
> d'essayer d'accompagner son client (dans la limite du raisonnable bien 
> entendu).

Sauf si le service de fourniture du bloc PA est packagé avec la
fourniture du lien (souvent le cas) :

Si tu résilies le lien, tu résilies ce qui te lies contractuellement au
bloc PA, du coup aucune légitimité pour demander à ton ancien opérateur
de créer l'objet route correspondant.
Après qui tente rien n'a rien... mais c'est risqué de compter dessus.

-- 
Damien LECCIA

-- 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Garreau, Alexandre

Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
> Très bon travail de Dobbins :
>
> https://app.box.com/s/r7an1moswtc7ce58f8gg
>
> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
> lutte anti-DoS.

Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
nécessitant pas de faire tourner un script javascript privateur et lourd
qui a tendance à faire freezer les navigateurs libres modernes
— néanmoins insuffisamment parallélisés ?


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Youssef Bengelloun-Zahr

+1

Y.



Le 30 mai 2014 13:42, Stephane Bortzmeyer  a écrit :

> Très bon travail de Dobbins :
>
> https://app.box.com/s/r7an1moswtc7ce58f8gg
>
> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
> lutte anti-DoS.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Youssef BENGELLOUN-ZAHR

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Jean-Yves Bisiaux

Salut Stephane,

Oui c'est interessant, mais ces techniques de blocage de requetes DNS sont
tres discutables et pourraient devenir rapidement un outil extraordinaire
pour les hackers.
Par exemple une requete DNS bloquee facilite le cache poisoning. Ou encore
avoir la possibilite de bloquer l'adresse IP (spoofe) d'un serveur racine
ou du DNS d'un ISP est une tres belle opportunite pour mettre la pagaille.

De mon point de vue, la meilleure solution est de ne pas bloquer les
requetes DNS mais d'y repondre.

--
Jean-Yves Bisiaux


Le 30 mai 2014 13:42, Stephane Bortzmeyer  a écrit :

> Très bon travail de Dobbins :
>
> https://app.box.com/s/r7an1moswtc7ce58f8gg
>
> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
> lutte anti-DoS.
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread David Ponzone

Il suffit pas de cliquer en haut à droite sur « Téléchargement » ?
Ok ça demande de supporter 30 secondes de JS.

David


Le 30 mai 2014 à 14:08, Garreau, Alexandre  a écrit :

> Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
>> Très bon travail de Dobbins :
>> 
>> https://app.box.com/s/r7an1moswtc7ce58f8gg
>> 
>> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
>> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
>> lutte anti-DoS.
> 
> Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
> nécessitant pas de faire tourner un script javascript privateur et lourd
> qui a tendance à faire freezer les navigateurs libres modernes
> — néanmoins insuffisamment parallélisés ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Denis Fondras

Pour ceux qui sont allergiques au JS :
wget http://presentations.liopen.fr/reflectionamplificationpublic.pdf



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Garreau, Alexandre

Le 30/05/2014 à 14h24, David Ponzone a écrit :
> Le 30 mai 2014 à 14h08, « Garreau, Alexandre » a écrit :
>> Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
>>> Très bon travail de Dobbins :
>>> 
>>> https://app.box.com/s/r7an1moswtc7ce58f8gg
>>> 
>>> Notez surtout la fin, « que faire » et, encore mieux, le slide « que
>>> ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de
>>> la lutte anti-DoS.
>> 
>> Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
>> nécessitant pas de faire tourner un script javascript privateur et
>> lourd qui a tendance à faire freezer les navigateurs libres modernes
>> — néanmoins insuffisamment parallélisés ?
>
> Il suffit pas de cliquer en haut à droite sur « Téléchargement » ?

L’apparition de ce bouton et son fonctionnement requiert l’exécution
d’un javascript privateur et suffisamment lourd pour faire freezer le
seul navigateur décent dont je dispose (Iceweasel, le reste est peu ou
pas acceptable, par sa qualité ou ses abus).

> Ok ça demande de supporter 30 secondes de JS.

T’as eu de la chance, suffisamment peu d’onglets/fenêtres ouvertes,
suffisamment peu de processus lancés, etc. pour que ça ne dure que 30
secondes, moi au bout d’un quart d’heure j’ai abandonné.

Mais tu peux aussi poster l’adresse du PDF que fait télécharger le
bouton « Télécharger » aussi, ça évite deux messages inutiles ;)


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread frnog


Mouais

Avec Iceweasel 26, ça baigne.
C'est sur que si tu utilises encore la version 3.5, avec la sale manie 
qu'ont les techno web de changer tout les 15min, c'est sensiblement plus 
délicat


On 30/05/2014 14:38, Garreau, Alexandre wrote:

Le 30/05/2014 à 14h24, David Ponzone a écrit :

L’apparition de ce bouton et son fonctionnement requiert l’exécution
d’un javascript privateur et suffisamment lourd pour faire freezer le
seul navigateur décent dont je dispose (Iceweasel, le reste est peu ou
pas acceptable, par sa qualité ou ses abus).


Ok ça demande de supporter 30 secondes de JS.


T’as eu de la chance, suffisamment peu d’onglets/fenêtres ouvertes,
suffisamment peu de processus lancés, etc. pour que ça ne dure que 30
secondes, moi au bout d’un quart d’heure j’ai abandonné.

Mais tu peux aussi poster l’adresse du PDF que fait télécharger le
bouton « Télécharger » aussi, ça évite deux messages inutiles ;)




--
"UNIX was not designed to stop its users from doing stupid things, as 
that would also stop them from doing clever things." – Doug Gwyn



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread David Ponzone

Je n’ai effectivement que 12 fenêtres Safari ouvertes et que 37 onglets au 
total dans ces 12 fenêtres. 
Et une quinzaine d’autres applications ouvertes (dont Firefox et Xcode).
Je dois admettre que je dépasse rarement ce niveau donc je ménage probablement 
mon Mac.

Après vérification, je n’ai pas mis 30 secondes, mais 11 secondes pour que la 
page https://app.box.com/s/r7an1moswtc7ce58f8gg s’affiche, pour cliquer sur le 
lien Téléchargement, et pour que le PDF de 7Mo arrive.

Est-ce qu’il serait éventuellement possible que le problème vienne de ton 
PC/Mac ?

Le 30 mai 2014 à 14:38, Garreau, Alexandre  a écrit :

> Le 30/05/2014 à 14h24, David Ponzone a écrit :
>> Le 30 mai 2014 à 14h08, « Garreau, Alexandre » a écrit :
>>> Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
 Très bon travail de Dobbins :
 
 https://app.box.com/s/r7an1moswtc7ce58f8gg
 
 Notez surtout la fin, « que faire » et, encore mieux, le slide « que
 ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de
 la lutte anti-DoS.
>>> 
>>> Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
>>> nécessitant pas de faire tourner un script javascript privateur et
>>> lourd qui a tendance à faire freezer les navigateurs libres modernes
>>> — néanmoins insuffisamment parallélisés ?
>> 
>> Il suffit pas de cliquer en haut à droite sur « Téléchargement » ?
> 
> L’apparition de ce bouton et son fonctionnement requiert l’exécution
> d’un javascript privateur et suffisamment lourd pour faire freezer le
> seul navigateur décent dont je dispose (Iceweasel, le reste est peu ou
> pas acceptable, par sa qualité ou ses abus).
> 
>> Ok ça demande de supporter 30 secondes de JS.
> 
> T’as eu de la chance, suffisamment peu d’onglets/fenêtres ouvertes,
> suffisamment peu de processus lancés, etc. pour que ça ne dure que 30
> secondes, moi au bout d’un quart d’heure j’ai abandonné.
> 
> Mais tu peux aussi poster l’adresse du PDF que fait télécharger le
> bouton « Télécharger » aussi, ça évite deux messages inutiles ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Garreau, Alexandre

Le 30/05/2014 à 14h50, David Ponzone a écrit :
> Le 30/05/2014 à 14h38, « Garreau, Alexandre » a écrit :
>> Le 30/05/2014 à 14h24, David Ponzone a écrit :
>>> Le 30/05/2014 à 14h08, « Garreau, Alexandre » a écrit :
 Le 30/05/2014 à 13h42, Stephane Bortzmeyer a écrit :
> Très bon travail de Dobbins :
> 
> https://app.box.com/s/r7an1moswtc7ce58f8gg
> 
> Notez surtout la fin, « que faire » et, encore mieux, le slide
> « que ne PAS faire », qui rassemble beaucoup de c...ies faites au
> nom de la lutte anti-DoS.
 
 Bonjour, serait-il possible d’avoir un lien direct vers le PDF ne
 nécessitant pas de faire tourner un script javascript privateur et
 lourd qui a tendance à faire freezer les navigateurs libres
 modernes — néanmoins insuffisamment parallélisés ?
>>> 
>>> Il suffit pas de cliquer en haut à droite sur « Téléchargement » ?
>> 
>> L’apparition de ce bouton et son fonctionnement requiert l’exécution
>> d’un javascript privateur et suffisamment lourd pour faire freezer le
>> seul navigateur décent dont je dispose (Iceweasel, le reste est peu
>> ou pas acceptable, par sa qualité ou ses abus).
>> 
>>> Ok ça demande de supporter 30 secondes de JS.
>> 
>> T’as eu de la chance, suffisamment peu d’onglets/fenêtres ouvertes,
>> suffisamment peu de processus lancés, etc. pour que ça ne dure que 30
>> secondes, moi au bout d’un quart d’heure j’ai abandonné.
>> 
> Je n’ai effectivement que 12 fenêtres Safari ouvertes et que 37
> onglets au total dans ces 12 fenêtres.  Et une quinzaine d’autres
> applications ouvertes (dont Firefox et Xcode).  Je dois admettre que
> je dépasse rarement ce niveau donc je ménage probablement mon Mac.

Safari est peut-être mieux parallélise, qu’en sais-je ? Pour moi il
continue à faire partie des navigateur pas décemment acceptables, donc
la question ne se pose pas.

> Après vérification, je n’ai pas mis 30 secondes, mais 11 secondes pour
> que la page https://app.box.com/s/r7an1moswtc7ce58f8gg s’affiche, pour
> cliquer sur le lien Téléchargement, et pour que le PDF de 7Mo arrive.

Bien, bah t’as un navigateur à jour sur tous les points techniques,
aussi bien bon que mauvais (dieu^Wqui diable sait ce que fout Safari ?).

> Est-ce qu’il serait éventuellement possible que le problème vienne de
> ton PC/Mac ?

Mmh… je doutes très fortement que le mauvais fonctionnement d’*un*
logiciel soit dû au matériel. Probablement un problème d’obsolescence de
quelques vieux softs encore sous Sid, des trucs lourds inutiles, etc. Je
ferais le ménage un jour (btw c’est un poil provocateur d’accuser
d’utiliser un Mac quelqu’un qui parle d’abus et décence logicielles).

Le 30/05/2014 à 14h45, fr...@jack.fr.eu.org a écrit :
> Le 30/05/2014 14h38, « Garreau, Alexandre » a écrit :
>> Mais tu peux aussi poster l’adresse du PDF que fait télécharger le
>> bouton « Télécharger » aussi, ça évite deux messages inutiles ;)
>
> Avec Iceweasel 26, ça baigne.

T’as recompilé pour avoir la 26 ? Ou c’est moi qui met pas assez souvent
à jour…

> C'est sur que si tu utilises encore la version 3.5, avec la sale manie
> qu'ont les techno web de changer tout les 15min, c'est sensiblement
> plus délicat

24.5, celle de la dernière fois que j’ai fait une mise-à-jour, sous
Sid. Après le problème vient plutôt de changer de façon irrégulière des
standards complexes quand un simple lien direct et une meilleure
intégration d’application externes suffit.

Le 30/05/2014 à 14h32, Denis Fondras a écrit :
> Pour ceux qui sont allergiques au JS :
> wget http://presentations.liopen.fr/reflectionamplificationpublic.pdf

Et hop le problème ne se pose plus (s/wget http/torify wget https/,
btw). :)


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Jean-Marc Gailis

Salut,
ça fait aussi crasher mon Nigthly, mis à jour chaque nuit, avec les
dernières corrections de bug de Mozilla.


Jean-Marc Gailis

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Radu-Adrian Feurdean

On Fri, May 30, 2014, at 14:20, Jean-Yves Bisiaux wrote:

> Oui c'est interessant, mais ces techniques de blocage de requetes DNS sont
> tres discutables et pourraient devenir rapidement un outil extraordinaire 
> pour les hackers.

Il ne parle jamais de bloquer les requetes DNS au niveau reseau, juste
de ne pas repondre (en tant que resolver) a tout le monde.
Il parle pas non plus de bloquer les requetes vers les serveurs faisant
autorite.

> De mon point de vue, la meilleure solution est de ne pas bloquer les
> requetes DNS mais d'y repondre.

Le probleme etant quand le serveur repond n'importe quoi (X fois plus de
data dans le reponse que dans la requete) a une addresse spoofe.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Bouzemarene, Farid (ATS)

J ai pas de soucis avec IE8 et une petite 20 d onglets Firefox et aussi 
quelques onglets ...
C est quand meme un vieux debat l histoire des browsers ... Qui me rappelle mes 
1eres utilisations de mozilla vers 97-98 et les moqueries de certains sans 
parler de netscape et de fork par ici et par la ...
Sinon il y a toujours lynx pour les mecontents 

Presque sans interet comme debat surtout que c est un assez loin du sujet d 
origine qui pour le coup lui l est .

- Message d'origine -
De : Jean-Marc Gailis [mailto:jeanmarc.gai...@gmail.com]
Envoyé : Friday, May 30, 2014 03:15 PM W. Europe Standard Time
À : frnog-t...@frnog.org 
Objet : Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS 
réflexion/amplification

Salut,
ça fait aussi crasher mon Nigthly, mis à jour chaque nuit, avec les
dernières corrections de bug de Mozilla.


Jean-Marc Gailis

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Radu-Adrian Feurdean

On Fri, May 30, 2014, at 14:09, Youssef Bengelloun-Zahr wrote:
> +1
> 
> Le 30 mai 2014 13:42, Stephane Bortzmeyer  a écrit :
> 
> > Très bon travail de Dobbins :
> >
> > https://app.box.com/s/r7an1moswtc7ce58f8gg
> >
> > Notez surtout la fin, « que faire » et, encore mieux, le slide « que
> > ne PAS faire », qui rassemble beaucoup de c...ies faites au nom de la
> > lutte anti-DoS.

Pfff encore une fois le discours religieux "Deploy antispoofing at
*all* network edges".
J'ai un certain probleme avec "ALL"; notamment cote "peering edge" et
vers certains types de clients (on ne melange pas mme Michu avec le
fourniseur d'infrastructure qui annonce 100 prefixes a 10 endroits sur 3
continents et qui a a son tour des clients qui a leur tour ont des
clients). 

Je ne suis pas d'accord non plus avec "If you get a reputation as a
spoofing-friendly network, you will be de-peered/de-transited and/or
blocked!"; c'est juste mensonger et intellectuellement malhonnete.

Sinon, le reste est quand-meme tres interessant.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread technicien hahd

On Friday 30 May 2014 13:42:45 Bouzemarene, Farid wrote:
> J ai pas de soucis avec IE8 et une petite 20 d onglets Firefox et aussi
> quelques onglets ... C est quand meme un vieux debat l histoire des
> browsers ... Qui me rappelle mes 1eres utilisations de mozilla vers 97-98
> et les moqueries de certains sans parler de netscape et de fork par ici et
> par la ... Sinon il y a toujours lynx pour les mecontents

On voit bien que ça fait longtemps que tu n'as pas utilisé lynx, car justement 
non les mécontents ne peuvent plus utiliser lynx depuis la mode de faire du 
javascript une nécéssité pour accéder au contenu des pages web. 

les vénérables navigateurs en cli n'ont pas le support du javascript, ni lynx, 
ni w3m, ni netsurf, il y a bien eu links qui s'est essayé au js avant 
d'abandonner en 2007 et elinks qui propose une sorte de support partiel qui 
marche plus ou moins pas.

Le problème ici n'est pas le navigateur mais bien l'usage à outrance du 
javascript et qui presque toujours n'apporte rien à l'usager.

Quand à la question du matériel, je dispose d'un ordi doté d'un core i5, d'un 
ssd dernier cri et de 16Go de RAM en DDR3 et mes navigateurs ont tous le 
javascript désactivé par défaut pour économiser la batterie, ne pas avoir à 
chercher quelle tab parmi les dizaines ouvertes fait ramer l'ordi, protéger ma 
vie privée, éviter les pubs, marketing, animations et autres agacements qui 
viennent se mettre entre moi et le contenu que je veux consulter et j'en passe 
des meilleures.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Guillaume Leclanche

Sinon pour info, l'URL générée par l'hébergeur d'origine qui permet de
télécharger le fichier pdf directement:

https://dl.boxcloud.com/bc/4/86a2d4f14b6a07364cf81b944bec62cf/nc0JJh104Btc3zQI2dE3QgOs6fDoF8WjDxxA7-yOmuH-Z2wPu276OU8M_5IStzpu0K2vp6lL3WutyhDEjfLqwN4t_1xzzYPu2GN2sna88oGWts8EncXF557CEgQ5Z7cKK-CwCJPWfiBW_cY_lEL96IlbxXSr4TOm54uTHvdiZzOBrG145y7OrQTK7MSIH1YhKGIeC4Xv9ajXDVjtEzIgwJJVl_ZjclmpOwL3j4S5IInQaHKf7KwZj3mZ1T0pbuvvTUBsVeOcunLmssG9elsq4ii3TIyOwNXSYTVlOgMZl5INbXC2VInm0K6C2N29TySO1fYwFUTjmsmch7sEs3arDbUTokUqsFklkrY8AgYsYvWTm5TIdZlKrLYt0GOqfD0-dLtW9KIc4CMkV9G8WYXQFEYD1ufYobhhzP2jBXaqmdcPUDtLNUnV7fzhAP-k8WLPRYkj7BZnFt4M_jvNtT4MfYooZbthNrPTvJLURRBmEMgEYXqB5X5TCGQfognIwVZqBRCvDbHJ0y0uTVFFQcYUhTZcHjJefuVx4bWUUGnddozc_MmvdrycU0giLmesWnxdm9-KSHOjh-J-aEnsKFQMO8sY4DkeEFtMEWHMjn1i3xAoD8iAv9ZAnSj1mtYA6slsWoxeLjslWSkrstM9Lja14lt2g9J40l1tjgFNsxDhg1zX9Lf4RVzh35HmenTmxdh0vSYShnq22-WXTHQjQQmHDAmS5gZGs0sMhBGtO1LecO5Ep_d47KSjuF7bPtShhwmPPtc0QJtd6wzC5yPzWiTE1fOL8nmjK_1tqbuiEDM6lGN4kKish4_0M77gHRqfn62xCh883DiFKNFzVc1Vo5GrScoEnLLPgL49aUkGUVvgk0rt4T6BRw../

NB: j'ai testé en changeant de browser et ça marche, mais pas en changeant d'IP.

Guillaume

Le 30 mai 2014 08:32, Denis Fondras  a écrit :
> Pour ceux qui sont allergiques au JS :
> wget http://presentations.liopen.fr/reflectionamplificationpublic.pdf
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Dominique Rousseau

Le Fri, May 30, 2014 at 03:56:12PM +0200, Radu-Adrian Feurdean 
[fr...@radu-adrian.feurdean.net] a écrit:
> Pfff encore une fois le discours religieux "Deploy antispoofing at
> *all* network edges".
> J'ai un certain probleme avec "ALL"; notamment cote "peering edge" et
> vers certains types de clients (on ne melange pas mme Michu avec le
> fourniseur d'infrastructure qui annonce 100 prefixes a 10 endroits sur 3
> continents et qui a a son tour des clients qui a leur tour ont des
> clients). 

C'est plus complique, mais surement pas infaisable.
C'est, il me semble, une pratique courante, de filtrer les prefixes
qu'on recoit sur une session BGP d'un client. Il "suffit" d'utiliser la
meme info pour alimenter le dispositif de filtrage.
Ou alors chaque acteur filtre a la bordure la plus exterieure, et ton
fournisseur d'infrastructure leur fait confiance. (et coupe si y'a du
spoof qui passe)

-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Nicolas Strina


On 30 May 2014, at 16:55, Dominique Rousseau  wrote:

> Le Fri, May 30, 2014 at 03:56:12PM +0200, Radu-Adrian Feurdean 
> [fr...@radu-adrian.feurdean.net] a écrit:
>> Pfff encore une fois le discours religieux "Deploy antispoofing at
>> *all* network edges".
>> J'ai un certain probleme avec "ALL"; notamment cote "peering edge" et
>> vers certains types de clients (on ne melange pas mme Michu avec le
>> fourniseur d'infrastructure qui annonce 100 prefixes a 10 endroits sur 3
>> continents et qui a a son tour des clients qui a leur tour ont des
>> clients). 
> 
> C'est plus complique, mais surement pas infaisable.
> C'est, il me semble, une pratique courante, de filtrer les prefixes
> qu'on recoit sur une session BGP d'un client. Il "suffit" d'utiliser la
> meme info pour alimenter le dispositif de filtrage.
> Ou alors chaque acteur filtre a la bordure la plus exterieure, et ton
> fournisseur d'infrastructure leur fait confiance. (et coupe si y'a du
> spoof qui passe)

Heuu filtrage RFC1918 ? Bogons ? C’est un peu la base à mon sens surtout sur de 
l’edge opérateur. Si tu filtres ce qu’il faut pourquoi encore virer des choses 
côté client ? Si tu es propres sur tes annonces ..
Après le filtrage côté client -> Chez nous c’est DB RIPE toutes les nuits et 
filtering sur les objets route etc .. Donc en gros si rien -> pas de routes. Si 
le client fait son travail -> défiltrage etc .. Bref ça devrait exister partout.
Ca éviterai de voir des soucis … Pour ce qui est de faire confiance .. Pas trop 
non :)

A+

> 
> -- 
> Dominique Rousseau 
> Neuronnexion, Prestataire Internet & Intranet
> 21 rue Frédéric Petit - 8 Amiens
> tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 

--
Nicolas STRINA

Jaguar Network Switzerland
Boulevard Georges Favon, 19
CH - 1024 Genève

Leading Your Performance

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11  
Fax : +33 4 88 00 65 25

URL: 
Support 24+7 : supp...@jaguar-network.ch



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Dominique Rousseau

Le Fri, May 30, 2014 at 05:01:44PM +0100, Nicolas Strina 
[nicolas.str...@jaguar-network.com] a écrit:
[...]
> > C'est plus complique, mais surement pas infaisable.
> > C'est, il me semble, une pratique courante, de filtrer les prefixes
> > qu'on recoit sur une session BGP d'un client. Il "suffit" d'utiliser la
> > meme info pour alimenter le dispositif de filtrage.
> > Ou alors chaque acteur filtre a la bordure la plus exterieure, et ton
> > fournisseur d'infrastructure leur fait confiance. (et coupe si y'a du
> > spoof qui passe)
> 
> Heuu filtrage RFC1918 ? 

Non, BCP38
(ie, pas laisser sortir du traf avec une ip source qui n'est pas de ton
reseau)


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Nicolas Strina


On 30 May 2014, at 17:08, Dominique Rousseau  wrote:

> Le Fri, May 30, 2014 at 05:01:44PM +0100, Nicolas Strina 
> [nicolas.str...@jaguar-network.com] a écrit:
> [...]
>>> C'est plus complique, mais surement pas infaisable.
>>> C'est, il me semble, une pratique courante, de filtrer les prefixes
>>> qu'on recoit sur une session BGP d'un client. Il "suffit" d'utiliser la
>>> meme info pour alimenter le dispositif de filtrage.
>>> Ou alors chaque acteur filtre a la bordure la plus exterieure, et ton
>>> fournisseur d'infrastructure leur fait confiance. (et coupe si y'a du
>>> spoof qui passe)
>> 
>> Heuu filtrage RFC1918 ? 
> 
> Non, BCP38
> (ie, pas laisser sortir du traf avec une ip source qui n'est pas de ton
> reseau)

Oui tu peux inclure BCP 38. Mais c’est la combinaison de bien des choses. On 
est sur ce mode la. Quand tu as du client BGP tu te dois de contrôler .. Mais 
finalement peu de gens le font vraiment.
Je parle in et out de ton network. Si tu sais filtrer en out tu sais le faire 
en in également. Question de temps et de volonté.

A+

> 
> 
> -- 
> Dominique Rousseau 
> Neuronnexion, Prestataire Internet & Intranet
> 21 rue Frédéric Petit - 8 Amiens
> tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 

--
Nicolas STRINA

Jaguar Network Switzerland
Boulevard Georges Favon, 19
CH - 1024 Genève

Leading Your Performance

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11  
Fax : +33 4 88 00 65 25

URL: 
Support 24+7 : supp...@jaguar-network.ch



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Radu-Adrian Feurdean

On Fri, May 30, 2014, at 18:08, Dominique Rousseau wrote:
> Non, BCP38
> (ie, pas laisser sortir du traf avec une ip source qui n'est pas de ton 
> reseau)

Tu as parfaitement raison, quand il s'agit de TON reseau (enfin, celui
sur lequel tu as l'autorite).
Par contre faut arreter de trop deconner avec le traffic d'un client
autonome. Soit tu (toi, ton NOC, ton/tes stagiaire(s), ...) est capable
d'appliquer un filtre "custom" en temps et en heure, soit tu te limites
au "strict minimum" (RFC1918 & co) soit tu laisse carement tomber (dans
quel cas tu vas etre traite de "mauvais"). Et une fois le filtre
"custom" applique, il ne revient pas a sa forme "par default" apres un
week-end.
... alors sur un lien de peering, j'ai certainement mes meilleures
activites que maintenir pour chaque peer des ACL 10 fois plus grandes
que la liste de prefixes reelement annonces, en plus avec un risque de
me faire de-peerer parce-que je fache un de ses clients. Le strict
minimum ca suffit.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-30 Thread Radu-Adrian Feurdean

On Fri, May 30, 2014, at 18:01, Nicolas Strina wrote:

> Heuu filtrage RFC1918 ? Bogons ? C’est un peu la base à mon sens surtout

Pour le RFC1918 (et consorts) oui, ok.
Pour les bogons, hmmm. 128.0.0.0/16 anyone ? si tout ton staff sait
que le bogons, ca se met a jour - ok, sinon - priere de s'abstenir.

> Après le filtrage côté client -> Chez nous c’est DB RIPE toutes les nuits
> et filtering sur les objets route etc .. Donc en gros si rien -> pas de
> routes. Si le client fait son travail -> défiltrage etc .. Bref ça
> devrait exister partout.

Filtrer les routes et filtrer le traffic en fonction de la source n'est
pas le meme chose.
Il y a des cas legitimes pour envoyer du trafic avec une source pour
laquelle tu ne peux pas annoncer "proprement" une route. 
J'ai ete personellement tres content de pouvoir le faire pendant 2 ans
en travaillant avec 6 transitaires differents (1 x petit, 1 x moyen et 4
x grands).

Pour faire rapide: tu fais du content, tu as un ancien bloc PA alloue
par un de tes anciens fournisseurs. Tu as sur ce bloc des services qui
prennent un temps fou a faire changer d'IP : des VPN, des services dont
tu controles pas le DNS voire carrement des services codes en dur chez
tes partenaires (ou pire encore, clients). Tu est depuis devenu LIR, tu
as un AS et ton propre PA, mais ni la volonte ni les moyens de maintenir
2 reseaux ou des configurations qui causent plus de problemes qe ce
qu'ils resoudent. La migration va finir par se faire, mais un nombre
reduit de services prennent un temps fou pour etre migres. Pendant ce
temps, ca serait pas mal de reccuperer le trafic entrant pour ces
services "legacy" sur le lien "legacy" (souvent a prix d'or, dont tout
le monde attend l'expiration des 36 mois d'engagement), tout en sortant
le trafic correspondant par l'endroit ou tout le traffic sort ... oups -
c'est ton nouveau upstream qui droppe ton trafic s'il n'y a pas un objet
"route" bien renseigne dans la RIPE DB :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-05-31 Thread Nicolas Strina


On 30 May 2014, at 21:33, Radu-Adrian Feurdean  
wrote:

> On Fri, May 30, 2014, at 18:01, Nicolas Strina wrote:
> 
>> Heuu filtrage RFC1918 ? Bogons ? C’est un peu la base à mon sens surtout
> 
> Pour le RFC1918 (et consorts) oui, ok.
> Pour les bogons, hmmm. 128.0.0.0/16 anyone ? si tout ton staff sait
> que le bogons, ca se met a jour - ok, sinon - priere de s'abstenir.
> 
>> Après le filtrage côté client -> Chez nous c’est DB RIPE toutes les nuits
>> et filtering sur les objets route etc .. Donc en gros si rien -> pas de
>> routes. Si le client fait son travail -> défiltrage etc .. Bref ça
>> devrait exister partout.
> 
> Filtrer les routes et filtrer le traffic en fonction de la source n'est
> pas le meme chose.
> Il y a des cas legitimes pour envoyer du trafic avec une source pour
> laquelle tu ne peux pas annoncer "proprement" une route. 
> J'ai ete personellement tres content de pouvoir le faire pendant 2 ans
> en travaillant avec 6 transitaires differents (1 x petit, 1 x moyen et 4
> x grands).

Question de discussion entre client et opérateur. Il y a toujours un moyen 
technique de faire les choses intelligemment.
C’est tout la le soucis. Souvent il n’y a pas d’accompagnement donc on fait 
tout et n’importe quoi. Après ce n’est pas à l’opérateur de porter l’infra du 
client.
Le client doit également respecter les best practices. Donc éducation etc .. 
C’est ce qui manque cruellement à mon avis. Au delas de l’aspect technique.

> 
> Pour faire rapide: tu fais du content, tu as un ancien bloc PA alloue
> par un de tes anciens fournisseurs. Tu as sur ce bloc des services qui
> prennent un temps fou a faire changer d'IP : des VPN, des services dont
> tu controles pas le DNS voire carrement des services codes en dur chez
> tes partenaires (ou pire encore, clients). Tu est depuis devenu LIR, tu
> as un AS et ton propre PA, mais ni la volonte ni les moyens de maintenir
> 2 reseaux ou des configurations qui causent plus de problemes qe ce
> qu'ils resoudent. La migration va finir par se faire, mais un nombre
> reduit de services prennent un temps fou pour etre migres. Pendant ce
> temps, ca serait pas mal de reccuperer le trafic entrant pour ces
> services "legacy" sur le lien "legacy" (souvent a prix d'or, dont tout
> le monde attend l'expiration des 36 mois d'engagement), tout en sortant
> le trafic correspondant par l'endroit ou tout le traffic sort ... oups -
> c'est ton nouveau upstream qui droppe ton trafic s'il n'y a pas un objet
> "route" bien renseigne dans la RIPE DB :)

Tu as deux choix:

- Demander à ton ancien opérateur de faire l’objet (jamais eu de refus)
- Accepter certaines exceptions après vérification du droit d’utilisation du PA

C’est le rôle d’un opérateur de vérifier certaines choses et surtout d’essayer 
d’accompagner son client (dans la limite du raisonnable bien entendu).

A+


> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 

--
Nicolas STRINA

Jaguar Network Switzerland
Boulevard Georges Favon, 19
CH - 1024 Genève

Leading Your Performance

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11  
Fax : +33 4 88 00 65 25

URL: 
Support 24+7 : supp...@jaguar-network.ch



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [TECH] Excellent exposé sur les attaques dDoS réflexion/amplification

2014-06-05 Thread frnog

Le 2014-05-31 10:40, Nicolas Strina a écrit : 

> On 30 May 2014, at 21:33, Radu-Adrian Feurdean 
>  wrote: 
> 
> On Fri, May 30, 2014, at 18:01, Nicolas Strina wrote:
> 
> Heuu filtrage RFC1918 ? Bogons ? C'est un peu la base à mon sens surtout 
> Pour le RFC1918 (et consorts) oui, ok.
> Pour les bogons, hmmm. 128.0.0.0/16 anyone ? si tout ton staff sait
> que le bogons, ca se met a jour - ok, sinon - priere de s'abstenir.
> 
> Après le filtrage côté client -> Chez nous c'est DB RIPE toutes les nuits
> et filtering sur les objets route etc .. Donc en gros si rien -> pas de
> routes. Si le client fait son travail -> défiltrage etc .. Bref ça
> devrait exister partout. 
> Filtrer les routes et filtrer le traffic en fonction de la source n'est
> pas le meme chose.
> Il y a des cas legitimes pour envoyer du trafic avec une source pour
> laquelle tu ne peux pas annoncer "proprement" une route. 
> J'ai ete personellement tres content de pouvoir le faire pendant 2 ans
> en travaillant avec 6 transitaires differents (1 x petit, 1 x moyen et 4
> x grands).

Question de discussion entre client et opérateur. Il y a toujours un
moyen technique de faire les choses intelligemment. 
C'est tout la le soucis. Souvent il n'y a pas d'accompagnement donc on
fait tout et n'importe quoi. Après ce n'est pas à l'opérateur de porter
l'infra du client. 
Le client doit également respecter les best practices. Donc éducation
etc .. C'est ce qui manque cruellement à mon avis. Au delas de l'aspect
technique. 

> Pour faire rapide: tu fais du content, tu as un ancien bloc PA alloue
> par un de tes anciens fournisseurs. Tu as sur ce bloc des services qui
> prennent un temps fou a faire changer d'IP : des VPN, des services dont
> tu controles pas le DNS voire carrement des services codes en dur chez
> tes partenaires (ou pire encore, clients). Tu est depuis devenu LIR, tu
> as un AS et ton propre PA, mais ni la volonte ni les moyens de maintenir
> 2 reseaux ou des configurations qui causent plus de problemes qe ce
> qu'ils resoudent. La migration va finir par se faire, mais un nombre
> reduit de services prennent un temps fou pour etre migres. Pendant ce
> temps, ca serait pas mal de reccuperer le trafic entrant pour ces
> services "legacy" sur le lien "legacy" (souvent a prix d'or, dont tout
> le monde attend l'expiration des 36 mois d'engagement), tout en sortant
> le trafic correspondant par l'endroit ou tout le traffic sort ... oups -
> c'est ton nouveau upstream qui droppe ton trafic s'il n'y a pas un objet

> "route" bien renseigne dans la RIPE DB :)

J'ai comme une idée de déjà-vu...

Question : Normalement, l'ancien fournisseur est sensé avoir renseigné
l'objet route du PA avec l'ASN comme origine dans la RIPE-DB à partir du
moment ou tu as eu un ASN et que tu as annoncé ta PA legacy ? Du coup,
tant que tu ne résilies pas ton service "legacy", l'objet existe et doit
être pris en compte par les autres upstream qui s'appuie sur la RIPE DB
?

L'intérêt du filtre sur l'objet route en DB, c'est aussi la prise en
compte automatique d'un nouveau bloc ou d'un changement (préfixe plus
grand ou plus petit) par tes transitaires quand tu es AS final, sans
avoir besoin de les contacter chacun et de faire des demandes pas du
tout automatisées, ce qui donne plus d'autonomie pour gérer l'annonce
des ressources sur lesquels on a autorité. Je ne prône pas le
tout-automatisé mais quand je vois le temps que ça prend à certain
ISP... 

> Tu as deux choix:
> 
> - Demander à ton ancien opérateur de faire l'objet (jamais eu de refus) 
> - Accepter certaines exceptions après vérification du droit d'utilisation du 
> PA 
> 
> C'est le rôle d'un opérateur de vérifier certaines choses et surtout 
> d'essayer d'accompagner son client (dans la limite du raisonnable bien 
> entendu).

Sauf si le service de fourniture du bloc PA est packagé avec la
fourniture du lien (souvent le cas) :

Si tu résilies le lien, tu résilies ce qui te lies contractuellement au
bloc PA, du coup aucune légitimité pour demander à ton ancien opérateur
de créer l'objet route correspondant.
Après qui tente rien n'a rien... mais c'est risqué de compter dessus.

-- 
Damien LECCIA

-- 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

46 matches

Mail list logo