Pas de soucis pour redistribuer les IP. Ce ne sont que des /32 (IPv4) /128 (IPv6). Environ 54 000 IP se sont fait "flashé" sur les derniers 15 jours. Seul 9 500 IPv4 et 650 IPv6 (environ) sont vraiment bannis à un instant T. Pour la communauté, je peux mettre ce que tu souhaites, pas de soucis. Je te réponds en OFF pour la suite. Pour les autres, si ça intérésse, pas de soucis pour monter une session BGP sur nos RS. J'ajoute qu'on surveille autant des Honeypot que des "vrais" services en prod. Pas seulement du http/https, mais aussi du SIP/SMTP/Pop3/Imap4/Rdp/SMB/VNC etc. On a un seuil de sensibilité différent en fonction des services et on tracke les tentatives sur des longues périodes. Bref, on a un outil fait "in-housse" pas mal flexible qui s'adapte à tous les services.
Rémy -----Original Message----- From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> On Behalf Of Michel Py Sent: mercredi, 15 avril 2020 20:00 To: Duchet Rémy <r...@duchet.eu>; frnog@frnog.org Subject: RE: [FRnOG] [TECH] Attaque SIP et SIPS > Rémy Duchet a écrit : > Comme nous avons des sondes sur plein de services différents, la > "liste" évolue sans arrêt. Du coup, je ne me vois pas faire un fichier (je > l'aurais fait avec Git) et des milliers de commits par jour. > Donc, je veux bien les annoncer via BGP, ça me semble plus simple et > utilisable comme cela. C'est la manière propre de faire çà. Je te contacte en privé pour les détails BGP. Est-ce que tu m'autorises à redistribuer tes préfixes ? >> Daniel a écrit : >> Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que >> l'on va retrouver en grande partie les mêmes adresses. Une mise à jour >> hebdomadaire voire bi-mensuelle me parait suffisante. Je ne suis pas d'accord, la vitesse de réaction est primordiale. Si j'ai le feed BGP de Rémy, une seconde après que le bachibouzouk l'attaque c'est dans mon trou noir aussi, donc viendu le l'attends déjà. > Rémy Duchet : > En fait, si. Je suis convaincu que plus de 60% des attaques ne viennent > jamais des même IP. > Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, > dès qu'elle a été détecté / bannis). Dans notre automatisation, nous > avons justement prévu le cas des attaques d'IP dynamique, pour ne pas > pénaliser la personne qui va hériter d'une IP qui a été bannis. Je plussoie. J'ai vu dans bien des cas que le PC contaminé par un merdiciel va être rebooté, et la machinbox aussi, parce que Claude Michu se rend compte que quelque chose ne tourne pas rond. Des fois, l'adresse de la machinbox change, et c'est pas glop pour celui qui en hérite si c'est banni pour l'éternité. Ton système, c'est 100 fois mieux que les sources en fichier texte dont je me sers. > Je pense qu'il faudrait faire quelque chose de plus centralisé, avec > de la redondance, et la capacité d'accueillir du monde. Cà m'avais traversé l'esprit aussi. > J'avais déjà vu ce que tu avais fait, et ça me semble déjà énorme > comme job. Qu'est-ce que tu as envisagé comme amélioration future, hormis des > listes supplémentaires ? Il y a 2 améliorations que je voulais faire avant de piquer le code de Jeremy, c'est : 1. Une communauté spécifique par liste, en plus de 65532:666. Ca permettrait à ceux qui prennent le feed de mettre un deny dans leur route-map pour ignorer les listes dont ils ne veulent pas. 2. Un fetch intelligent : au lieu faire un wget toutes les x minutes, lire uniquement l'en-tête du fichier et ne faire que wget que si il a changer. Cà permettrait d'augmenter la fréquence et d'économiser de la bande passante. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
