Intéressant, je ne vois pas du tout de trafic vers Dropbox. Pas vers 162.125.67.0/24 en tout cas. Mais je suis à PA3. Les fuites seraient locales au switch sur lequel on est connecté ? Tu sembles ne rien voir vers Nameshield par exemple alors que j'en vois plein.
Le 15 janv. 2018 à 21:13, GUILLOT Florent a écrit : > Quelques exemples de paquets reçus à tord: > IP-Src:Port-Src -> IP-Dst:Port-Dst > 46.193.16.50:47381 -> 162.125.67.8:443 > 46.193.0.220:53774 -> 162.125.67.4:443 > 46.193.1.211:58506 -> 162.125.67.3:443 > 46.193.138.240:57721 -> 162.125.67.2:80 > 62.193.39.202:37293 -> 162.125.67.3:443 > 62.193.55.31:58364 -> 162.125.67.4:443 > 10.188.247.117 -> 162.125.67.3:443 > 10.192.2.47:50715 -> 162.125.67.3:443 > 31.29.110.231 -> 162.125.67.3:443 > 195.42.144.122:53185 -> 195.42.145.163:179 > 95.141.97.183:8371 -> 162.125.67.8:443 > 176.57.33.239:49682 -> 162.125.67:443 > > La quasi-totalité va chez Dropbox. Et en volume, au nez, ça vient beaucoup de > chez Wifirst. > > Florent > > -----Message d'origine----- > De : David Ponzone [mailto:david.ponz...@gmail.com] > Envoyé : lundi 15 janvier 2018 20:16 > À : GUILLOT Florent <fguil...@fltechno.scc.com> > Cc : frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] Re: Trafic input délirant sur Equinix-IX PA3 > > Tu pourrais vérifier une ou 2 IP destination de ce trafic, tu vérifies dans > tes routes BGP quel est le next-hop sur le LAN Equinix-IX pour ces IP, > histoire de voir si tu trouves les mêmes que moi. > > > Le 15 janv. 2018 à 20:00, GUILLOT Florent a écrit : > >> Nous constatons également ce même soucis sur PA2. >> Aujourd'hui (15/01/18) vers 11h45 nous avons même eu un pic de quasi >> 100Mbits/s de trafic complètement illégitime. >> En temps normal, c'est 10-30 Mbps qui nous arrivent alors qu'ils ne nous >> sont pas destinés... >> La dernière fois que l'on a regardé, il y avait pas mal de trafic dropbox... >> Florent >> >> -----Message d'origine----- >> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la >> part de David Ponzone Envoyé : lundi 15 janvier 2018 19:55 À : Michel >> Py <mic...@arneill-py.sacramento.ca.us> >> Cc : Clément Cavadore <clem...@cavadore.net>; frnog-t...@frnog.org >> Objet : Re: [FRnOG] [TECH] Re: Trafic input délirant sur Equinix-IX >> PA3 >> >> Oui c'est ça. >> Et c'est clairement pas une expiration trop courte, genre 500ms :), car je >> vois des paquet consécutifs avec même IP source/destination. >> Tout ça c'est untagged. >> Sur quelques secondes de sniffing, je vois pas de paquets dans un VLAN >> tagged, donc c'est déjà rassurant pour ceux qui ont un VLAN privé :) >> >> Quelques nexthop qui sont concernés: >> >> nameshield.equinix-ix.fr >> e0-tonton.eqx-pa3.optilian.net >> axialys.equinix-ix.fr >> eqx-ix.net.believe.fr >> dis.equinix-ix.fr >> cnsi.equinix-ix.fr >> >> C'est pas forcément exhaustif puisque fait à la main, mais j'ai l'impression >> que c'est le plus gros du trafic. >> Ca va peut-être faire bouger les choses par ceux dont le trafic est >> partiellement au moins espionnable. >> >> Le 15 janv. 2018 à 19:08, Michel Py a écrit : >> >>> On parle bien d'un problème du genre "unresolved unicast" ou le switch pour >>> somme raison ne connait pas le port pour une ou plusieurs MAC adresses et >>> floode le traffic sur tous les ports comme un broadcast géant ? >>> Tu vois du trafic qui est même pas pour le VLAN dans lequel le port est ? >>> >>> Michel. >>> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> ______________________________________________________________________ >> Ce message contient des informations dont le contenu est susceptible d'etre >> confidentiel. >> Il est destine au(x) destinataire(s) indique(s) exclusivement. >> >> A moins que vous ne fassiez partie de la liste des destinataires, ou que >> vous soyez habilite a recevoir le mail a leur place, il vous est interdit de >> le copier, de l'utiliser ou de devoiler son contenu a un tiers. >> >> Si vous avez recu cet email par erreur, merci de prendre contact avec >> l'emetteur. >> >> Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne >> refletent pas necessairement celles de l'entreprise. >> >> Ce e-mail peut contenir des pieces jointes dont certaines pourraient >> contenir des virus qui pourraient endommager votre systeme informatique. >> >> La compagnie a pris toutes dispositions afin de minimiser ce risque et >> decline toute responsabilite pour toute perte ou dommage resultant >> directement ou indirectement de l'utilisation de cet email ou de son contenu. >> >> Il vous appartient d'effectuer vos propres controles anti-virus avant >> d'ouvrir la ou les pieces jointes. >> ______________________________________________________________________ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > ______________________________________________________________________ > Ce message contient des informations dont le contenu est susceptible d'etre > confidentiel. > Il est destine au(x) destinataire(s) indique(s) exclusivement. > > A moins que vous ne fassiez partie de la liste des destinataires, ou que vous > soyez habilite a recevoir le mail a leur place, il vous est interdit de le > copier, de l'utiliser ou de devoiler son contenu a un tiers. > > Si vous avez recu cet email par erreur, merci de prendre contact avec > l'emetteur. > > Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne > refletent pas necessairement celles de l'entreprise. > > Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir > des virus qui pourraient endommager votre systeme informatique. > > La compagnie a pris toutes dispositions afin de minimiser ce risque et > decline toute responsabilite pour toute perte ou dommage resultant > directement ou indirectement de l'utilisation de cet email ou de son contenu. > > Il vous appartient d'effectuer vos propres controles anti-virus avant > d'ouvrir la ou les pieces jointes. > ______________________________________________________________________ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
