Mais filtre tout le rfc1918 ( sauf le légitime) en entrée du 6500! David Ponzone
> Le 24 juil. 2015 à 16:25, jehan procaccia INT <jehan.procac...@int-evry.fr> a > écrit : > > Le 24/07/2015 15:32, Nicolas Strina a écrit : >>>> On 24 juil. 2015, at 14:04, Clement Cavadore <clem...@cavadore.net> wrote: >>>> >>>> Re, >>>> >>>> On Fri, 2015-07-24 at 14:58 +0200, jehan procaccia INT wrote: >>>> apres analyse pcap du trafic incriminé, extrait : >>>> des milliers de paquets avec le Flag S (Sync) cf : >>>> (...) >>>> >>>> http://albanianwizard.org/how-to-read-tcpdump-output-tcpdump-advanced-use.albanianwizard >>>> montre qu'il s'agit vraisemblablement d'un SynFlood attack >>>> >>>> je me lance alors dans l'espoir d'intercepter ça avec les outils >>>> cisco >>>> http://www.sans.org/security-resources/idfaq/syn_flood.php >>>> http://ccie-or-null.net/tag/cisco-tcp-intercept/ >>>> http://www.ciscopress.com/articles/article.asp?p=345618&seqNum=3 >>>> >>>> Helas, sur mon 6500E pas de commande ip tcp intercept :-( ! >>>> ça sort d'où cette commande ? n'est pas disponible par défaut ? >>> Probablement disponible sur une autre plateforme que les 6k5. >>> >>> Non, mais plus sérieusement, tu devrais poser sur ton ASR une ACL >>> ingress sur l'interface vers ton réseau interne, n'autorisant que les >>> subnets IP qu'elle est supposée recevoir, à savoir les réseaux publics >>> passant par ce routeur. Et du coup, tu peux te passer de ton ACL egress. >> Sinon voir avec ton upstream ? Ca me parait une bonne solution si tu as des >> soucis aussi important et aussi longtemps .. >> Le transitaire doit aussi assurer la “sécurité” des clients dans une moindre >> mesure .. > > Le probleme est que je suis l'upstream ! voici un aperçu ASCII du schema > reseau: > > Source Synflood <=> Autonomous system (au sens politique/domain de vlans) > Etudiants (4500) <=> Mon Core 6509E <=> Mon ASR <=> MAN-Evry <=> Renater <=> > Internet > > j'aimerai bien intercepter le Synflood au plus tot (amont) sur mon 6509E . > je suis surpris que le 6500 (le "couteau suisse" cisco ) ne gere pas le ip > tcp intercept tel que définit ici et là : > http://www.sans.org/security-resources/idfaq/syn_flood.php > http://ccie-or-null.net/tag/cisco-tcp-intercept/ > http://www.ciscopress.com/articles/article.asp?p=345618&seqNum=3 > sinon, peut-etre une autre commande ? y-a-t-il un correspondant Cisco dans la > salle ? > > Merci . --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
