Quelques exemples de paquets reçus à tord: IP-Src:Port-Src -> IP-Dst:Port-Dst 46.193.16.50:47381 -> 162.125.67.8:443 46.193.0.220:53774 -> 162.125.67.4:443 46.193.1.211:58506 -> 162.125.67.3:443 46.193.138.240:57721 -> 162.125.67.2:80 62.193.39.202:37293 -> 162.125.67.3:443 62.193.55.31:58364 -> 162.125.67.4:443 10.188.247.117 -> 162.125.67.3:443 10.192.2.47:50715 -> 162.125.67.3:443 31.29.110.231 -> 162.125.67.3:443 195.42.144.122:53185 -> 195.42.145.163:179 95.141.97.183:8371 -> 162.125.67.8:443 176.57.33.239:49682 -> 162.125.67:443
La quasi-totalité va chez Dropbox. Et en volume, au nez, ça vient beaucoup de chez Wifirst. Florent -----Message d'origine----- De : David Ponzone [mailto:david.ponz...@gmail.com] Envoyé : lundi 15 janvier 2018 20:16 À : GUILLOT Florent <fguil...@fltechno.scc.com> Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Re: Trafic input délirant sur Equinix-IX PA3 Tu pourrais vérifier une ou 2 IP destination de ce trafic, tu vérifies dans tes routes BGP quel est le next-hop sur le LAN Equinix-IX pour ces IP, histoire de voir si tu trouves les mêmes que moi. Le 15 janv. 2018 à 20:00, GUILLOT Florent a écrit : > Nous constatons également ce même soucis sur PA2. > Aujourd'hui (15/01/18) vers 11h45 nous avons même eu un pic de quasi > 100Mbits/s de trafic complètement illégitime. > En temps normal, c'est 10-30 Mbps qui nous arrivent alors qu'ils ne nous sont > pas destinés... > La dernière fois que l'on a regardé, il y avait pas mal de trafic dropbox... > Florent > > -----Message d'origine----- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la > part de David Ponzone Envoyé : lundi 15 janvier 2018 19:55 À : Michel > Py <mic...@arneill-py.sacramento.ca.us> > Cc : Clément Cavadore <clem...@cavadore.net>; frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] Re: Trafic input délirant sur Equinix-IX > PA3 > > Oui c'est ça. > Et c'est clairement pas une expiration trop courte, genre 500ms :), car je > vois des paquet consécutifs avec même IP source/destination. > Tout ça c'est untagged. > Sur quelques secondes de sniffing, je vois pas de paquets dans un VLAN > tagged, donc c'est déjà rassurant pour ceux qui ont un VLAN privé :) > > Quelques nexthop qui sont concernés: > > nameshield.equinix-ix.fr > e0-tonton.eqx-pa3.optilian.net > axialys.equinix-ix.fr > eqx-ix.net.believe.fr > dis.equinix-ix.fr > cnsi.equinix-ix.fr > > C'est pas forcément exhaustif puisque fait à la main, mais j'ai l'impression > que c'est le plus gros du trafic. > Ca va peut-être faire bouger les choses par ceux dont le trafic est > partiellement au moins espionnable. > > Le 15 janv. 2018 à 19:08, Michel Py a écrit : > >> On parle bien d'un problème du genre "unresolved unicast" ou le switch pour >> somme raison ne connait pas le port pour une ou plusieurs MAC adresses et >> floode le traffic sur tous les ports comme un broadcast géant ? >> Tu vois du trafic qui est même pas pour le VLAN dans lequel le port est ? >> >> Michel. >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > ______________________________________________________________________ > Ce message contient des informations dont le contenu est susceptible d'etre > confidentiel. > Il est destine au(x) destinataire(s) indique(s) exclusivement. > > A moins que vous ne fassiez partie de la liste des destinataires, ou que vous > soyez habilite a recevoir le mail a leur place, il vous est interdit de le > copier, de l'utiliser ou de devoiler son contenu a un tiers. > > Si vous avez recu cet email par erreur, merci de prendre contact avec > l'emetteur. > > Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne > refletent pas necessairement celles de l'entreprise. > > Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir > des virus qui pourraient endommager votre systeme informatique. > > La compagnie a pris toutes dispositions afin de minimiser ce risque et > decline toute responsabilite pour toute perte ou dommage resultant > directement ou indirectement de l'utilisation de cet email ou de son contenu. > > Il vous appartient d'effectuer vos propres controles anti-virus avant > d'ouvrir la ou les pieces jointes. > ______________________________________________________________________ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ ______________________________________________________________________ Ce message contient des informations dont le contenu est susceptible d'etre confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement. A moins que vous ne fassiez partie de la liste des destinataires, ou que vous soyez habilite a recevoir le mail a leur place, il vous est interdit de le copier, de l'utiliser ou de devoiler son contenu a un tiers. Si vous avez recu cet email par erreur, merci de prendre contact avec l'emetteur. Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne refletent pas necessairement celles de l'entreprise. Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir des virus qui pourraient endommager votre systeme informatique. La compagnie a pris toutes dispositions afin de minimiser ce risque et decline toute responsabilite pour toute perte ou dommage resultant directement ou indirectement de l'utilisation de cet email ou de son contenu. Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir la ou les pieces jointes. ______________________________________________________________________ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
