[FRnOG] Generateur de trafic

[Cedric Polomack]

Bonjour,

J'aimerai savoir si certain d'entre vous utilise des générateur de
trafic. J'ai en effet besoin de tester des équipements réseaux et
firewalls et aimerai donc simuler du trafic internet dans un
environnement de lab. J'ai déjà trouvé D-ITG (Distributed Internet
Traffic Generator) en connaitriez vous d'autres ?//

/Cédric ///

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : [FRnOG] Generateur de trafic

[marc celier]

Re: Re : [FRnOG] Generateur de trafic

[Raphael Mazelier]

Oui Iperf pour des besoins basiques est parfait, sinon en soft plus 
complet (et payant) qui permet de mesurer tout il y a LanTrafficMonitor.


Le 07/08/2009 10:24, marc celier a écrit :


essaye IPERF


http://iperf.sourceforge.net/




- Message d'origine -

De : Cedric Polomack

Envoyés : 07.08.09 08:43

À : Liste FRnoG

Objet : [FRnOG] Generateur de trafic

Bonjour,

J'aimerai savoir si certain d'entre vous utilise des générateur de
trafic. J'ai en effet besoin de tester des équipements réseaux et
firewalls et aimerai donc simuler du trafic internet dans un
environnement de lab. J'ai déjà trouvé D-ITG (Distributed Internet
Traffic Generator) en connaitriez vous d'autres ?//

/Cédric ///

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG] Generateur de trafic

[eberkut]

Le 7 août 09 à 10:24, marc celier a écrit :


essaye IPERF

http://iperf.sourceforge.net/



- Message d'origine -
De : Cedric Polomack
Envoyés : 07.08.09 08:43
À : Liste FRnoG
Objet : [FRnOG] Generateur de trafic

Bonjour,

J'aimerai savoir si certain d'entre vous utilise des générateur de
trafic. J'ai en effet besoin de tester des équipements réseaux et
firewalls et aimerai donc simuler du trafic internet dans un
environnement de lab. J'ai déjà trouvé D-ITG (Distributed Internet
Traffic Generator) en connaitriez vous d'autres ?//

/Cédric ///

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Traditionnellement, iperf a un léger biais en faveur de Linux.

http://archive.ncsa.illinois.edu/lists/iperf-users/aug07/msg00013.html
http://arwen.ics.muni.cz/~hopet/FreeBSD/7.0-netperf/

Ca a dû être au moins en partie corrigé mais on sait jamais.

Netperf est censé faire un peu plus attention maintenir des  
performances égales quelque soit la plate-forme :

http://www.netperf.org/netperf/NetperfPage.html

Il y a un qui a l'air assez complet et intéressant mais que je n'ai  
pas encore eu l'occasion de tester : http://gull.sourceforge.net/


Il y a aussi un truc qui peut être intéressant c'est d'utiliser des  
générateurs qui implémentent TCP/IP en userland pour bien distinguer  
quand on teste une pile en rx ou en tx.


Sinon ces outils c'est bien quand on veut tester les performances  
d'une application en particulière dont on connait parfaitement les  
caractéristiques de trafic. Quand on veut juste une idée générale de  
performance, par exemple en forwarding par rapport à du trafic type  
(genre imix), je ne connais pas de générateur de trafic autre que les  
équipements très chers comme Ixia ou Agilent.


Cordialement,

--
Vincent Morel---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG] Generateur de trafic

[Cedric Polomack]

J'avais effectivement pas vu ce lien. Merci ;-)



Hélia Pouyllau a écrit :
> Sur le site de D-ITG ... http://www.grid.unina.it/software/ITG/link.php
>
> 2009/8/7 marc celier mailto:marc.cel...@gmx.fr>>
>
> essaye IPERF
>
>
> http://iperf.sourceforge.net/
>
>
>
>> - Message d'origine -
>>
>> De : Cedric Polomack
>>
>> Envoyés : 07.08.09 08:43
>>
>> À : Liste FRnoG
>>
>> Objet : [FRnOG] Generateur de trafic
>>
>>  
>>
>> Bonjour,
>>
>> J'aimerai savoir si certain d'entre vous utilise des générateur de
>> trafic. J'ai en effet besoin de tester des équipements réseaux et
>> firewalls et aimerai donc simuler du trafic internet dans un
>> environnement de lab. J'ai déjà trouvé D-ITG (Distributed Internet
>> Traffic Generator) en connaitriez vous d'autres ?//
>>
>> /Cédric ///
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>  
>
>
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG] Generateur de trafic

[Cedric Polomack]

Bonjour,
Merci je vais tester ça.
Cédric



marc celier a écrit :
>
> essaye IPERF
>
>
> http://iperf.sourceforge.net/
>
>
>
>> - Message d'origine -
>>
>> De : Cedric Polomack
>>
>> Envoyés : 07.08.09 08:43
>>
>> À : Liste FRnoG
>>
>> Objet : [FRnOG] Generateur de trafic
>>
>>  
>>
>> Bonjour,
>>
>> J'aimerai savoir si certain d'entre vous utilise des générateur de
>> trafic. J'ai en effet besoin de tester des équipements réseaux et
>> firewalls et aimerai donc simuler du trafic internet dans un
>> environnement de lab. J'ai déjà trouvé D-ITG (Distributed Internet
>> Traffic Generator) en connaitriez vous d'autres ?//
>>
>> /Cédric ///
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>  
>
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : [FRnOG] Generateur de trafic

[Hélia Pouyllau]

Sur le site de D-ITG ... http://www.grid.unina.it/software/ITG/link.php

2009/8/7 marc celier 

> essaye IPERF
>
>
> http://iperf.sourceforge.net/
>
>
>
> - Message d'origine -
>
> De : Cedric Polomack
>
> Envoyés : 07.08.09 08:43
>
> À : Liste FRnoG
>
> Objet : [FRnOG] Generateur de trafic
>
>
> Bonjour,
>
> J'aimerai savoir si certain d'entre vous utilise des générateur de
> trafic. J'ai en effet besoin de tester des équipements réseaux et
> firewalls et aimerai donc simuler du trafic internet dans un
> environnement de lab. J'ai déjà trouvé D-ITG (Distributed Internet
> Traffic Generator) en connaitriez vous d'autres ?//
>
> /Cédric ///
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
>
>

Re: Re : [FRnOG] Generateur de trafic

[Nicolas MICHEL]

Pour tester les perfs de ton reseau, tu peux utiliser iperf ou jperf  
(GUI)
. pour générer du traffic et tester des fw, il y a scapy qui s'appuie  
sûr python.


Voilà ;)



Envoyé de mon iPhone

Le 7 août 09 à 10:52, Cedric Polomack  a écrit :


J'avais effectivement pas vu ce lien. Merci ;-)



Hélia Pouyllau a écrit :

Sur le site de D-ITG ... http://www.grid.unina.it/software/ITG/link.php

2009/8/7 marc celier mailto:marc.cel...@gmx.fr>>

   essaye IPERF


   http://iperf.sourceforge.net/




   - Message d'origine -

   De : Cedric Polomack

   Envoyés : 07.08.09 08:43

   À : Liste FRnoG

   Objet : [FRnOG] Generateur de trafic



   Bonjour,

   J'aimerai savoir si certain d'entre vous utilise des générate 
ur de
   trafic. J'ai en effet besoin de tester des équipements réseau 
x et

   firewalls et aimerai donc simuler du trafic internet dans un
   environnement de lab. J'ai déjà trouvé D-ITG (Distributed Int 
ernet

   Traffic Generator) en connaitriez vous d'autres ?//

   /Cédric ///

   ---
   Liste de diffusion du FRnOG
   http://www.frnog.org/







---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[Guénolé Saurel]

Le Thu, Aug 06, 2009 at 06:06:14PM +0200, Jérémy Martin racontait :
> Par contre, Facebook a été indispo 
> pendant près d'1 heure cet après midi, 

OMG !
J'espère qu'il n'y a pas eu trop de victimes...

-- 
 Quand l'infini... l'autre commence.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[David Amiel]

Le Jeu 6 août 2009 17:58, Jérémy Martin a écrit :
> Bonjour,
>
> Une attaque massive de type DDOS a été enregistré depuis 15h (heure
> française) sur Twitter qui a été rendu totalement ko.
> Facebook est également très lent ainsi que quelques gros portails ou
> sites bancaires depuis la même heure.
>
> Attaque DDOS orchestrée

est-ce que l'on sait ce qu'utilise Twitter (ou les autres gros sites) pour
se défendre contre ce genre d'attaques ?

Cela fait quelque temps que je n'ai pas mis mon nez dans ce qui se fait
côté IDS/IPS, mais les attaques de ce genre me paraissent difficiles à
contrer

David



> Cordialement,
> Jérémy Martin
> Responsable Technique Freeheberg.com
>
> Mail : j.mar...@freeheberg.com
> Web : http://www.freeheberg.com
>
>
> __
> FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
> PHP + Mysql + Espace 2 à 20 Go
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[marc celier]

Re: [FRnOG] Attaques contre Twitter & Facebook

[Nico]

Pendant ces indisponibilités twitter-facebook, la productivité n'a jamais
été aussi grande  ^^



On 07/08/09 14:47, "Guénolé Saurel"  wrote:

> Le Thu, Aug 06, 2009 at 06:06:14PM +0200, Jérémy Martin racontait :
>> Par contre, Facebook a été indispo
>> pendant près d'1 heure cet après midi,
> 
> OMG !
> J'espère qu'il n'y a pas eu trop de victimes...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[Jipe]

marc celier a écrit :
> 
> 
> un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des
> millions de connexions qui arrivent en meme temps comment dissocier les
> connexions legitimes des connexions "illegitimes", peut etre en
> s'appuyant sur le nombre de connexion provenant d'une adresse IP
> particuliere, mais lorsque l'attaque est repartie depuis des milliers de
> postes infectes, que faire. a ce niveau seule une operation concerte
> entre les operateur pourrait y venir a bout


Quelqu'un de la liste a t-il connaissance de ce genre d'opérations entre
opérateurs afin de bloquer le trafic avant qu'il atteigne sa cible, ou au
moins un SLA avec son FAI ou l'opérateur internet de son hébergeur ?


-- 
Jipe
---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Attaques contre Twitter & Facebook

[[WHD-RS] Benjamin SCHILZ]

Bonjour,

marc celier a écrit :
> un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des
> millions de connexions qui arrivent en meme temps comment dissocier les
> connexions legitimes des connexions "illegitimes", peut etre en
> s'appuyant sur le nombre de connexion provenant d'une adresse IP
> particuliere, mais lorsque l'attaque est repartie depuis des milliers de
> postes infectes, que faire. a ce niveau seule une operation concerte
> entre les operateur pourrait y venir a bout


Et ce genre de produits : http://www.cisco.com/en/US/products/ps5888/ 
Mis à part le prix qui doit être assez prohibitif quelqu'un a une idée de ce 
que ça donne en situation réelle ?

Bonne journée,

Benjamin SCHILZ
WHD-RS SARL

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[David Amiel]

c'est l'objet de ma question :)
on est d'accord qu'une approche classique (ACL, QOS ou autre) est
inopérante pour ce genre de problème.
Pourtant il doit bien y avoir des solutions qui fonctionnent, je n'ose pas
croire que les gros sites tiennent le coup juste en ayant des tuyaux (et
serveurs) suffisamment dimensionnés pour absorber l'onde de choc.

Il y a 2 ans j'avais eu une présentation de la société Beeware qui avait
greffé un réseau de neurones ( artificiels ;) ) à un pare-feu pour qu'il
puisse détecter de façon autonome les attaques. L'approche me paraissait
intéressante mais je n'avais pas eu le temps d'essayer le produit en
situation réelle. Du coup je me demandais si cette technique avait fait
ses preuves ?

Ou alors un peu dans le même style l'approche pare-feu + moteur de
corrélation pourrait être une autre approche.

David Amiel




> Le Ven 7 août 2009 15:12, marc celier a écrit :
un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des
millions de connexions qui arrivent en meme temps comment dissocier les
connexions legitimes des connexions "illegitimes", peut etre en s'appuyant
sur le nombre de connexion provenant d'une adresse IP particuliere, mais
lorsque l'attaque est repartie depuis des milliers de postes infectes, que
faire. a ce niveau seule une operation concerte entre les operateur
pourrait y venir a bout

> - Original Message -
>
> From: David Amiel
>
> Sent: 08/07/09 02:05 pm
>
> To: Liste FRnoG
>
> Subject: Re: [FRnOG] Attaques contre Twitter & Facebook
>
>
> Le Jeu 6 août 2009 17:58, Jérémy Martin a écrit :
> > Bonjour,
> >
> > Une attaque massive de type DDOS a été enregistré depuis 15h (heure
> > française) sur Twitter qui a été rendu totalement ko.
> > Facebook est également très lent ainsi que quelques gros portails ou
> > sites bancaires depuis la même heure.
> >
> > Attaque DDOS orchestrée
>
> est-ce que l'on sait ce qu'utilise Twitter (ou les autres gros sites) pour
> se défendre contre ce genre d'attaques ?
>
> Cela fait quelque temps que je n'ai pas mis mon nez dans ce qui se fait
> côté IDS/IPS, mais les attaques de ce genre me paraissent difficiles à
> contrer
>
> David
>
>
>
> > Cordialement,
> > Jérémy Martin
> > Responsable Technique Freeheberg.com
> >
> > Mail : j.mar...@freeheberg.com
> > Web : http://www.freeheberg.com
> >
> >
> > __
> > FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
> > PHP + Mysql + Espace 2 à 20 Go
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
> >
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/








---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Collecte IPADSL SFR/Neuf

[daren ferreira]

Bonjour,

Je suis à la recherche de contacts chez SFR pour de la collecte ADSL, pas de la 
revente.

Tous mes contacts ont disparu, et impossible d'obtenir le moindre contact 
adéquat pour ce genre de demande...

Je précise que je ne cherche pas à revendre des SFR/Neuf box mais juste de la 
collecte de trafic ADSL.


Merci d'avance !

Daren

_
Partagez vos souvenirs sur le Web avec les personnes de votre choix.
http://www.microsoft.com/northafrica/windows/windowslive/products/photos-share.aspx?tab=1

Re: [FRnOG] Attaques contre Twitter & Facebook

[Fabien Delmotte]

Il y a des load balancer qui permettent de vérifier le SYN, SYN/ACK,  
ACK avant d'autoriser la connexion sur un serveur réel. Cela peut  
résoudre une partie de la problématique.


Fabien

Le 7 août 09 à 16:15, David Amiel a écrit :




c'est l'objet de ma question :)
on est d'accord qu'une approche classique (ACL, QOS ou autre) est
inopérante pour ce genre de problème.
Pourtant il doit bien y avoir des solutions qui fonctionnent, je  
n'ose pas
croire que les gros sites tiennent le coup juste en ayant des tuyaux  
(et

serveurs) suffisamment dimensionnés pour absorber l'onde de choc.

Il y a 2 ans j'avais eu une présentation de la société Beeware qui  
avait
greffé un réseau de neurones ( artificiels ;) ) à un pare-feu pour  
qu'il
puisse détecter de façon autonome les attaques. L'approche me  
paraissait

intéressante mais je n'avais pas eu le temps d'essayer le produit en
situation réelle. Du coup je me demandais si cette technique avait  
fait

ses preuves ?

Ou alors un peu dans le même style l'approche pare-feu + moteur de
corrélation pourrait être une autre approche.

David Amiel





Le Ven 7 août 2009 15:12, marc celier a écrit :
un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a  
des
millions de connexions qui arrivent en meme temps comment dissocier  
les
connexions legitimes des connexions "illegitimes", peut etre en  
s'appuyant
sur le nombre de connexion provenant d'une adresse IP particuliere,  
mais
lorsque l'attaque est repartie depuis des milliers de postes  
infectes, que

faire. a ce niveau seule une operation concerte entre les operateur
pourrait y venir a bout


- Original Message -

From: David Amiel

Sent: 08/07/09 02:05 pm

To: Liste FRnoG

Subject: Re: [FRnOG] Attaques contre Twitter & Facebook


Le Jeu 6 août 2009 17:58, Jérémy Martin a écrit :

Bonjour,

Une attaque massive de type DDOS a été enregistré depuis 15h (heure
française) sur Twitter qui a été rendu totalement ko.
Facebook est également très lent ainsi que quelques gros portails ou
sites bancaires depuis la même heure.

Attaque DDOS orchestrée


est-ce que l'on sait ce qu'utilise Twitter (ou les autres gros  
sites) pour

se défendre contre ce genre d'attaques ?

Cela fait quelque temps que je n'ai pas mis mon nez dans ce qui se  
fait
côté IDS/IPS, mais les attaques de ce genre me paraissent  
difficiles à

contrer

David




Cordialement,
Jérémy Martin
Responsable Technique Freeheberg.com

Mail : j.mar...@freeheberg.com
Web : http://www.freeheberg.com


__
FreeHeberg.com : Osez l'hébergement gratuit de qualité  
professionnelle !

PHP + Mysql + Espace 2 à 20 Go

---
Liste de diffusion du FRnOG
http://www.frnog.org/






---
Liste de diffusion du FRnOG
http://www.frnog.org/









---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Collecte IPADSL SFR/Neuf

[Raphael Mazelier]

Effectivement nous avons nous aussi beaucoup de mal a joindre qui ce 
soit chez neuf pour faire évoluer nos différentes collectes.

Si tu trouves des contacts je suis preneur.

Le 07/08/2009 16:43, daren ferreira a écrit :

Bonjour,

Je suis à la recherche de contacts chez SFR pour de la collecte ADSL, 
pas de la revente.


Tous mes contacts ont disparu, et impossible d'obtenir le moindre 
contact adéquat pour ce genre de demande...


Je précise que je ne cherche pas à revendre des SFR/Neuf box mais 
juste de la collecte de trafic ADSL.



Merci d'avance !

Daren


Partagez vos souvenirs sur le Web avec les personnes de votre choix 
les personnes de votre choix. 

RE: [FRnOG] Attaques contre Twitter & Facebook

[cra]

Bonjour.

Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer les tuyaux, 
mais a aussi pour but de saturer les capacités de processing de équipements en 
frontal, en particulier les Firewalls.

Une solution envisageable est de mettre avant le Firewall un équipement dont le 
seul travail sera de fonctionner en tant que proxy TCP transparent.
Le but est de ne pas forwarder de SYN vers le Firewall, d'envoyer un SYN ACK au 
client et de ne forwarder l'ensemble que lorsque le ACK final arrive.
Par conséquent, les équipements du reste du réseaux ne doivent plus traiter que 
les sessions "légitimes".

L'équipement en frontal doit donc être conçus pour encaisser la charge sur ce 
simple type de travail.

Une telle solution a déjà été mise en place pour protéger des Firewall Lucent 
Brick subissant régulièrement des attaques, au moyen de répartiteur de charges 
Foundry ServerIron utilisés uniquement en mode SYN-Proxy.

Cette solution avait a priori porté ses fruits.
Elle a été installé par un autre membre de cette mailing list. Je lui laisse 
donc le soins d'apporter détails et retours (ou corrections si jamais je me 
suis trompé quelque part).

Cordialement

Côme

PS : Fabien, n'aurais-tu pas pu attendre 30 minutes pour poster ?

-- 
*** C.Rahmani - SNAISO Communications - http://www.snaiso.com/
*** Tél : +33.1.4146.1570 - Fax : +33.1.4190.0509 - email : c...@snaiso.com
*** 141, Avenue de Verdun, 92130 Issy-les-Moulineaux, France

-Original Message-
From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of David 
Amiel
Sent: vendredi 7 août 2009 16:15
To: Liste FRnoG
Subject: Re: [FRnOG] Attaques contre Twitter & Facebook



c'est l'objet de ma question :)
on est d'accord qu'une approche classique (ACL, QOS ou autre) est
inopérante pour ce genre de problème.
Pourtant il doit bien y avoir des solutions qui fonctionnent, je n'ose pas
croire que les gros sites tiennent le coup juste en ayant des tuyaux (et
serveurs) suffisamment dimensionnés pour absorber l'onde de choc.

Il y a 2 ans j'avais eu une présentation de la société Beeware qui avait
greffé un réseau de neurones ( artificiels ;) ) à un pare-feu pour qu'il
puisse détecter de façon autonome les attaques. L'approche me paraissait
intéressante mais je n'avais pas eu le temps d'essayer le produit en
situation réelle. Du coup je me demandais si cette technique avait fait
ses preuves ?

Ou alors un peu dans le même style l'approche pare-feu + moteur de
corrélation pourrait être une autre approche.

David Amiel




> Le Ven 7 août 2009 15:12, marc celier a écrit :
un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des
millions de connexions qui arrivent en meme temps comment dissocier les
connexions legitimes des connexions "illegitimes", peut etre en s'appuyant
sur le nombre de connexion provenant d'une adresse IP particuliere, mais
lorsque l'attaque est repartie depuis des milliers de postes infectes, que
faire. a ce niveau seule une operation concerte entre les operateur
pourrait y venir a bout

> - Original Message -
>
> From: David Amiel
>
> Sent: 08/07/09 02:05 pm
>
> To: Liste FRnoG
>
> Subject: Re: [FRnOG] Attaques contre Twitter & Facebook
>
>
> Le Jeu 6 août 2009 17:58, Jérémy Martin a écrit :
> > Bonjour,
> >
> > Une attaque massive de type DDOS a été enregistré depuis 15h (heure
> > française) sur Twitter qui a été rendu totalement ko.
> > Facebook est également très lent ainsi que quelques gros portails ou
> > sites bancaires depuis la même heure.
> >
> > Attaque DDOS orchestrée
>
> est-ce que l'on sait ce qu'utilise Twitter (ou les autres gros sites) pour
> se défendre contre ce genre d'attaques ?
>
> Cela fait quelque temps que je n'ai pas mis mon nez dans ce qui se fait
> côté IDS/IPS, mais les attaques de ce genre me paraissent difficiles à
> contrer
>
> David
>
>
>
> > Cordialement,
> > Jérémy Martin
> > Responsable Technique Freeheberg.com
> >
> > Mail : j.mar...@freeheberg.com
> > Web : http://www.freeheberg.com
> >
> >
> > __
> > FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
> > PHP + Mysql + Espace 2 à 20 Go
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
> >
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/








---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[Jérôme Nicolle]

Le 7 août 2009 16:15, David Amiel a écrit :
>
>
> c'est l'objet de ma question :)
> on est d'accord qu'une approche classique (ACL, QOS ou autre) est
> inopérante pour ce genre de problème.
> Pourtant il doit bien y avoir des solutions qui fonctionnent, je n'ose pas
> croire que les gros sites tiennent le coup juste en ayant des tuyaux (et
> serveurs) suffisamment dimensionnés pour absorber l'onde de choc.

Ca parait évident, mais il semble bon de le rappeler : plus le DDoS
est ressemblant avec un trafic "normal", c'est à dire des requêtes et
séries de requêtes susceptibles d'être celles d'une utilisation
normale du service, moins il est possible de détecter l'anomalie.

Donc plus on cherchera à détecter les flots de requêtes anormales,
plus celles ci se feront discrètes mais tout aussi efficaces. La
course à l'armement peut faire claquer des millions en IPS/IDS, le
contournement est toujours trop simple pour que ça tienne bien
longtemps face à quelqu'un de résolu.

> Il y a 2 ans j'avais eu une présentation de la société Beeware qui avait
> greffé un réseau de neurones ( artificiels ;) ) à un pare-feu pour qu'il
> puisse détecter de façon autonome les attaques. L'approche me paraissait
> intéressante mais je n'avais pas eu le temps d'essayer le produit en
> situation réelle. Du coup je me demandais si cette technique avait fait
> ses preuves ?

FOUTAISES !

Réseaux de neurones, IA, c'est tout juste bon pour le marketing.
Reconnaître par quelque astuce algorithmique que ce soit des motifs de
requêtes qui se répètent trop pour être légitimes, ça ne marchera de
toute façon qu'un temps, et cet équipement en particulier suffira a
parer à des attaques simples et aveugles, jamais à de l'artillerie
lourde intelligemment conçue.

> Ou alors un peu dans le même style l'approche pare-feu + moteur de
> corrélation pourrait être une autre approche.
>
> David Amiel
>

En fait, intercaler de l'intéligence sur le réseau en amont des
serveurs, ça ne sert tout simplement à rien, ça pourra toujours finir
par être trompé, et ce serait avantageusement remplacé par une
approche pragmatique et intelligente d'optimisation du serveur
d'application.

Considérer une telle attaque comme un sinistre, et prévoir un PCA qui
va augmenter ponctuellement la capacité de la plate-forme, tout en
utilisant une architecture logicielle qui permette de suivre la
croissance de performances (tpm) proportionnellement à la taille des
grappes en service, c'est possible, et finalement pas si complexe
quand l'applicatif est bien maîtrisé.

Détecter les requêtes anormales, ou les flux de telles requêtes, ça ne
se fera jamais aussi bien que par l'application elle même. Un IDS ne
connaît pas les spécificité du service, il va travailler en aveugle.
Implémenter par contre un mécanisme similaire à la détection de fraude
qui repérera et isolera les comportements utilisateurs anormaux
(enchaînement de pages trop rapide ou non logique par exemple), c'est
une approche suffisante et bien plus pertinente !

Ca demande par contre de se poser et de réfléchir un peu à ce qu'on
fait... Payer whatmille USD ne suffira pas à régler le problème.


-- 
Jérôme Nicolle
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Collecte IPADSL SFR/Neuf

[Clement Cavadore]

Bonjour,

Chez SFR, généralement, ils sont fermés pour de nouveaux clients
collecte. A moins que vous ayiez plusieurs (dizaine de?) milliers de
lignes à leur proposer, à court terme.

Tournez-vous plutôt vers ceux qui seraient capables de vous revendre de
la collecte, si cela n'est pas une réelle contrainte pour vous. Je sais
que Nerim fait ce genre de prestations (en tout cas, je l'ai pour ma
société, et cela fonctionne parfaitement). 

La realm des logins serait par contre de la forme @quelquechose.nerim,
et ce n'est à ma connaissance pas possible de faire autrement.

On Fri, 2009-08-07 at 16:45 +0200, Raphael Mazelier wrote:
> Effectivement nous avons nous aussi beaucoup de mal a joindre qui ce
> soit chez neuf pour faire évoluer nos différentes collectes.
> Si tu trouves des contacts je suis preneur.
> 
> Le 07/08/2009 16:43, daren ferreira a écrit : 
> > Bonjour,
> > 
> > Je suis à la recherche de contacts chez SFR pour de la collecte
> > ADSL, pas de la revente.
> > 
> > Tous mes contacts ont disparu, et impossible d'obtenir le moindre
> > contact adéquat pour ce genre de demande...
> > 
> > Je précise que je ne cherche pas à revendre des SFR/Neuf box mais
> > juste de la collecte de trafic ADSL.
> > 
> > 
> > Merci d'avance !
> > 
> > Daren
> > 
> > 
> > 
> > Partagez vos souvenirs sur le Web avec les personnes de votre choix
> > les personnes de votre choix.
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Collecte IPADSL SFR/Neuf

[marc celier]

Re: [FRnOG] Collecte IPADSL SFR/Neuf

[marc celier]

Re: [FRnOG] Collecte IPADSL SFR/Neuf

[mr.tux]

Bonjour,
Voir : http://christian.caleca.free.fr/adsl/dans_la_pratique.htm

--
Cordialement,
mr.tux


marc celier a écrit :


pardonnez moi d'etre un ignard, mais c'est quoi une collecte ADSL ???


- Original Message -

From: Clement Cavadore

Sent: 08/07/09 03:57 pm

To: Raphael Mazelier

Subject: Re: [FRnOG] Collecte IPADSL SFR/Neuf

 


Bonjour,

Chez SFR, généralement, ils sont fermés pour de nouveaux clients
collecte. A moins que vous ayiez plusieurs (dizaine de?) milliers de
lignes à leur proposer, à court terme.

Tournez-vous plutôt vers ceux qui seraient capables de vous revendre de
la collecte, si cela n'est pas une réelle contrainte pour vous. Je sais
que Nerim fait ce genre de prestations (en tout cas, je l'ai pour ma
société, et cela fonctionne parfaitement).

La realm des logins serait par contre de la forme @quelquechose.nerim,
et ce n'est à ma connaissance pas possible de faire autrement.

On Fri, 2009-08-07 at 16:45 +0200, Raphael Mazelier wrote:
> Effectivement nous avons nous aussi beaucoup de mal a joindre qui ce
> soit chez neuf pour faire évoluer nos différentes collectes.
> Si tu trouves des contacts je suis preneur.
>
> Le 07/08/2009 16:43, daren ferreira a écrit :
> > Bonjour,
> >
> > Je suis à la recherche de contacts chez SFR pour de la collecte
> > ADSL, pas de la revente.
> >
> > Tous mes contacts ont disparu, et impossible d'obtenir le moindre
> > contact adéquat pour ce genre de demande...
> >
> > Je précise que je ne cherche pas à revendre des SFR/Neuf box mais
> > juste de la collecte de trafic ADSL.
> >
> >
> > Merci d'avance !
> >
> > Daren
> >
> >
> > 
> > Partagez vos souvenirs sur le Web avec les personnes de votre choix
> > les personnes de votre choix.
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


 






---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Collecte IPADSL SFR/Neuf

[Mathieu Goessens]

Bonjour,

http://lmgtfy.com/?q=collecte+ADSL

De rien :)

Mathieu

marc celier wrote:


pardonnez moi d'etre un ignard, mais c'est quoi une collecte ADSL ???


- Original Message -

From: Clement Cavadore

Sent: 08/07/09 03:57 pm

To: Raphael Mazelier

Subject: Re: [FRnOG] Collecte IPADSL SFR/Neuf

 


Bonjour,

Chez SFR, généralement, ils sont fermés pour de nouveaux clients
collecte. A moins que vous ayiez plusieurs (dizaine de?) milliers de
lignes à leur proposer, à court terme.

Tournez-vous plutôt vers ceux qui seraient capables de vous revendre de
la collecte, si cela n'est pas une réelle contrainte pour vous. Je sais
que Nerim fait ce genre de prestations (en tout cas, je l'ai pour ma
société, et cela fonctionne parfaitement).

La realm des logins serait par contre de la forme @quelquechose.nerim,
et ce n'est à ma connaissance pas possible de faire autrement.

On Fri, 2009-08-07 at 16:45 +0200, Raphael Mazelier wrote:
> Effectivement nous avons nous aussi beaucoup de mal a joindre qui ce
> soit chez neuf pour faire évoluer nos différentes collectes.
> Si tu trouves des contacts je suis preneur.
>
> Le 07/08/2009 16:43, daren ferreira a écrit :
> > Bonjour,
> >
> > Je suis à la recherche de contacts chez SFR pour de la collecte
> > ADSL, pas de la revente.
> >
> > Tous mes contacts ont disparu, et impossible d'obtenir le moindre
> > contact adéquat pour ce genre de demande...
> >
> > Je précise que je ne cherche pas à revendre des SFR/Neuf box mais
> > juste de la collecte de trafic ADSL.
> >
> >
> > Merci d'avance !
> >
> > Daren
> >
> >
> > 
> > Partagez vos souvenirs sur le Web avec les personnes de votre choix
> > les personnes de votre choix.
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


 

Re: [FRnOG] Attaques contre Twitter & Facebook

[Jérôme Nicolle]

D'après 
http://www.infos-du-net.com/actualite/15848-attaques-piratage-blogueur.html#xtor=RSS-20
, et les déclarations de Max Kelly (RSI Facebook), il s'agit d'une
attaque ciblée contre un bloggueur géorgien, directement lié au
conflit en cours là bas.

Si la motivation est d'ordre politique, et que l'attaque relève de la
guerre électronique, pensez vous vraiment que des IDS quels qu'ils
soient suffiront à arrêter ce genre d'attaques ?!?

Ce que je constate surtout c'est une fois de plus la dangerosité de la
centralisation des services. Il a suffit d'un utilisateur ciblé sur
ces plate-formes pour qu'elles s'écroulent. Si ce genre de pratique
venait à se généraliser, pensez vous que les facebook, twitter &co.
puissent être disponibles de temps en temps ?

Je pense qu'il va y avoir un sacré travail de sécurisation chez eux,
au niveau applicatif, et que les cibles potentielles de ce genre
d'attaques auraient intérêt à ne pas faire confiance à ce genre de
services, pour qui il sera toujours plus simple de supprimer des
comptes "à risque" que de sécuriser correctement leurs plate-formes.

--
Jérôme Nicolle
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[Thomas Mangin]

Jipe,

Quelqu'un de la liste a t-il connaissance de ce genre d'opérations  
entre
opérateurs afin de bloquer le trafic avant qu'il atteigne sa cible,  
ou au

moins un SLA avec son FAI ou l'opérateur internet de son hébergeur ?


J'ai connaissance d'une liste sur invitation pour les IRT d'ASN.
Comme il faut que 2/3 personnes deja sur la liste valide ta demande  
d'entree, demande au gens que tu connais si tu penses que tu devrais y  
etre.


Thomas---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Attaques contre Twitter & Facebook

[Sidney Boumendil]

2009/8/7 Fabien Delmotte 

> Il y a des load balancer qui permettent de vérifier le SYN, SYN/ACK, ACK
> avant d'autoriser la connexion sur un serveur réel. Cela peut résoudre une
> partie de la problématique.


Malheureusement, non. Les botnets génèrent du trafic parfaitement légitime
ie 3 way hand check qui sera accepté par un load balancer ou un firewall
puis une requête sur un service. En UDP c'est encore plus simple bien sur.

Et puisque les load balancers, firewalls et autres ids/ips sont des
équipements stateful, ils présentent une limitation en terme de sessions
simultanées qu'ils peuvent traiter (maintien d'un état des sessions TCP et
pseudo sessions UDP). Dans le cas d'un ddos de cet ampleur cette valeur est
largement dépassée, ils deviennent donc l'élément dimensionnant (après ça
sera le nombre de PPS que tes switchs et routeurs vont supporter).

Re: [FRnOG] Attaques contre Twitter & Facebook

[Fabien Delmotte]

Effectivement si le botnet est capable de faire le 3 handshake .  
problème
Les Load Balancer que j'ai testé sont efficaces sur des TCP SYN, même  
sous forte charge, le hardware est dédié (FPGA principalement). A ma  
connaissance (qui est limitée) les FW et les IDS ne sont pas taillés  
pour ce travail très voir trop spécifique.


Fabien

Le 7 août 09 à 17:51, Sidney Boumendil a écrit :


2009/8/7 Fabien Delmotte 
Il y a des load balancer qui permettent de vérifier le SYN, SYN/ACK,  
ACK avant d'autoriser la connexion sur un serveur réel. Cela peut  
résoudre une partie de la problématique.


Malheureusement, non. Les botnets génèrent du trafic parfaitement  
légitime ie 3 way hand check qui sera accepté par un load balancer  
ou un firewall puis une requête sur un service. En UDP c'est encore  
plus simple bien sur.


Et puisque les load balancers, firewalls et autres ids/ips sont des  
équipements stateful, ils présentent une limitation en terme de  
sessions simultanées qu'ils peuvent traiter (maintien d'un état des  
sessions TCP et pseudo sessions UDP). Dans le cas d'un ddos de cet  
ampleur cette valeur est largement dépassée, ils deviennent donc  
l'élément dimensionnant (après ça sera le nombre de PPS que tes  
switchs et routeurs vont supporter).

[FRnOG] Des DNS menteurs chez SFR

[Romain LE DISEZ]

Bonjour à tous,

je viens de m'apercevoir que SFR/Neuf est en train de déployer des "DNS
menteurs" [1]. Ma 9Box récupère ces deux serveurs DNS :
 - 86.64.145.140
 - 84.103.237.140

Le second se comporte normalement mais le premier :

$ dig -t A un.domaine.bidon @86.64.145.140

; <<>> DiG 9.5.1-P3-RedHat-9.5.1-3.P3.fc10 <<>> -t A un.domaine.bidon
@86.64.145.140
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25894
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;un.domaine.bidon.  IN  A

;; ANSWER SECTION:
un.domaine.bidon.   86400   IN  A   206.222.226.18

;; Query time: 56 msec
;; SERVER: 86.64.145.140#53(86.64.145.140)
;; WHEN: Sat Aug  8 00:05:39 2009
;; MSG SIZE  rcvd: 50



Concrètement, cela redirige vers http://sfr.recherche.aol.fr avec le
message "La page Web que vous recherchez est introuvable." et un
formulaire de recherche AOL/SFR pré-rempli.


Y a t-il quelqu'un de SFR pour nous expliquer ce qui se passe ?

@+

[1] http://www.bortzmeyer.org/dns-menteur.html

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] WANTED: DIVOP SFR/NEUF

[support]

Bonjour

Je recherche activement la DIVOP chez SFR.. il y a t'il encore une de 
vivante dans un coin ?


Vous remerciant par avance.

Bruno Cavros

SKIWEBCENTER
Tel : +33 3 21 15 15 98 Fax : +33 3 21 15 15 99
www.skiwebcenter.com i...@skiwebcenter.com 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Des DNS menteurs chez SFR

[Michel Py]

> Romain LE DISEZ a écrit:
> je viens de m'apercevoir que SFR/Neuf est en train de
> déployer des "DNS menteurs"

Attention à ne pas confondre "DNS menteur" et "joker" [1]
Si je comprends correctement l'exemple que tu donnes avec "un.domaine.bidon", 
ça veut dire que 86.64.145.140 est un "joker". Pour que ça soit un "DNS 
menteur", il faudrait faire la même requête avec "un.domaine.bidon.google.com", 
par exemple.


Je ne supporte ni l'un ni l'autre, mais je suis néanmoins d'accord avec 
l'excellente page de Stéphane que tu citais toi-même: [1]

> À tout point de vue, les jokers dans un domaine, quoique
> une mauvaise idée, sont donc "moins graves". Néanmoins,
> il est normal de ne pas les déployer


A moins que ce soit le troll du vendredi, attention à ne pas tomber dans le 
sensationnalisme à 2 balles qui consiste à annoncer sur cette liste ce qui se 
fait depuis 2003.
Comme d'ab, si je raconte des conneries, merci de me corriger.

Michel.

[1] http://www.bortzmeyer.org/dns-menteur.html
---
Liste de diffusion du FRnOG
http://www.frnog.org/