>>>> Michel Py a écrit : >>>> Ca serait intéressant de comparer ces chiffres avec le volume de trafic >>>> IPv4/IPv6 pour le même réseau. >>>> Tu bloques quoi, quand tu bloques IPv6 ? un /64, l'adresse elle-même ?
>>> Uniquement l'adresse. >> C'est là où est le danger. Potentiellement, chaque hôte IPv6 peut avoir 2^64 >> adresses; si je me rappelle >> bien l'origine de ça c'était la vie privée, en changeant d'adresse tout le >> temps sur le papier il y >> avait une possibilité d'améliorer les choses. J'y crois pas vraiment, mais >> c'est possible : les 64 bits >> de droite sont disponibles pour chaque machine. Il faut donc s'attendre à ce >> que ça arrive; >> contrairement à ce que certains disent, les malfaisants ne sont pas >> forcément cons et historiquement >> très doués à trouver les failles d'un système. C'est donc relativement >> facile de faire planter ton >> système, en le saturant avant un nombre d'adresses qu'il ne peut pas >> digérer. Quand tu détectes une >> attaque en provenance d'une IPv6, il faut dès le départ bloquer au minimum >> le /64 correspondant. >> Si je devine correctement, c'est une des craintes que Laurent devait avoir >> dans son billet original. > C'est effectivement une possibilité. > En IPv4, on remarque souvent des multiples IP du même /24 qui "attaque" en > même temps plusieurs cibles. Il y a plusieurs des confrères qui font de l'agrégation avec des seuils : s'il y a plus de x /32 adresses blacklistées dans un /y, on enlève les x adresses individuelles et au lieu on annonce /y. Ca réduit la taille du feed, et quand un subnet devient pourri au-delà d'un certain point, c'est probablement la chose à faire. Avec IPv6, vu que maintenant on donne un /56 à Claude Michu, ce n'est qu'une question de temps pour que les merdiciels comprennent la taille de l'espace adressable qu'ils ont et commencent à sourcer sur la plage entière dans le but de saturer fail2ban et autres. J'ai bien peur qu'il soit rapidement nécessaire de passer à /56 comme blocage. > Vincent Habchi a écrit : > Au passage, ceci est déjà prévu et disponible dans blacklistd: > man blacklistd.conf > [...] > The name field, is the name of the packet filter rule to be used. If the > name starts with a “-”, > then the default rulename is prepended to the given name. If the name > contains a “/”, the remaining > portion of the name is interpreted as the mask to be applied to the address > specified in the rule, > causing a single rule violation to block the entire subnet for the configured > prefix. C'est un peu brutal (pas de seuil configurable), mais c'est en effet l'idée. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
