[FRnOG] [TECH] naissance d'un nouveau bloc privé
Bonjour, Pensez à mettre à jour vos filtres, un nouveau bloc est né. NetRange: 100.64.0.0 - 100.127.255.255 CIDR: 100.64.0.0/10 OriginAS: NetName:SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED NetHandle: NET-100-64-0-0-1 Parent: NET-100-0-0-0-0 NetType:IANA Special Use Comment:This block is used as Shared Address Space. Traffic from these addresses does not come from IANA. IANA has simply reserved these numbers in its database and does not use or operate them. We are not the source of activity you may see on logs or in e-mail records. Please refer to http://www.iana.org/abuse/ Comment: Comment:Shared Address Space can only be used in Service Provider networks or on routing equipment that is able to do address translation across router the interfaces when addresses are identical on two different interfaces Comment: Comment:This block was assigned by the IETF in the Best Current Practice document, RFC-weil-shared-transition-space-request-15 which can be found at: Comment: Comment: http://datatracker.ietf.org/doc/draft-weil-shared-transition-space-request/ RegDate:2012-03-13 Updated:2012-03-14 Cordialement, Johan --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] naissance d'un nouveau bloc privé
Le 15/03/12 08:52, fr...@remy-fr.eu a écrit : > Bonjour, > > Pensez à mettre à jour vos filtres, un nouveau bloc est né. > > NetRange: 100.64.0.0 - 100.127.255.255 > CIDR: 100.64.0.0/10 Merci pour l'update. Question : est ce qu'on peut du coup utiliser ce bloc pour des intercos PE-CE hors CGN ou sur un backbone MPLS par exemple ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] naissance d'un nouveau bloc privé
Le 15/03/2012 08:52, fr...@remy-fr.eu a écrit : > Pensez à mettre à jour vos filtres, un nouveau bloc est né. Apparemment le consensus à ce sujet était plutôt approximatif à l'IETF entre les pour et les contre, si bien que l'IESG s'est fendue d'une petite note à inclure dans le RFC (CGN "expedients" vs. v6)... "A number of operators have expressed a need for the special purpose IPv4 address allocation described by this document. During deliberations, the IETF community demonstrated very rough consensus in favor of the allocation. While operational expedients, including the special purpose address allocation described in this document, may help solve a short-term operational problem, the IESG and the IETF remain committed to the deployment of IPv6." http://www.ietf.org/mail-archive/web/ietf/current/msg72019.html Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] naissance d'un nouveau bloc privé
>> Johan REMY a écrit: >> Pensez à mettre à jour vos filtres, un nouveau bloc est né. >> NetRange: 100.64.0.0 - 100.127.255.255 CIDR: 100.64.0.0/10 > Jérôme Nicolle a écrit: > Merci pour l'update. Question : est ce qu'on peut du coup utiliser > ce bloc pour des intercos PE-CE hors CGN ou sur un backbone MPLS > par exemple ? En théorie, non. Ce bloc a été alloué pour faire du CGN et donc éviter les collisions avec l'infra de routage. En pratique, l'IETF n'a pas trop d'illusions et sait ce certains vont s'en servir comme une extension de RFC1918. 4 millions d'adresses IP en plus. Je ne conseille pas de le faire, ceci dit. A moins d'être de la taille de Comcast, faut quant même le faire exprès pour ne pas avoir assez d'adresses avec les 16 millions de 10.0.0.0/8. Comme toutes les adresses privées qui sont partagées, ça marche bien jusqu'au jour ou tu fusionnes deux infras et que tu as une collision qui de te force à renuméroter. Donc AMHA, ne s'en servir que pour donner des adresses aux clients Nattés. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Société présent au Datacenter Cogent Dijon ?
Bonjour, Par hasard, Personne ne serait sur Dijon, proche du datacenter cogent et aurait en stock un bloc 19" de 8 prises électriques classiques et qui pourrait nous le vendre avec install sur site ? Truc bête mais bon .. Cordialement Jerome SCHEVINGT --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] Re: [FRnOG] [TECH] naissance d'un nouveau bloc privé
Le Thu, Mar 15, 2012 at 09:05:50AM -0700, Michel Py [mic...@arneill-py.sacramento.ca.us] a écrit: > Je ne conseille pas de le faire, ceci dit. A moins d'être de la taille > de Comcast, faut quant même le faire exprès pour ne pas avoir assez > d'adresses avec les 16 millions de 10.0.0.0/8. Orange, entre 9 et 10 millions de clients "haut débit", qu'on peut considérer comme étant en triple-play (c'est plus simple pour la démonstration). Ne serait-ce qu'une ip pour la VoIP et une pour la ToIP, 10/8 ne leur suffit pas. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Requetes DNS depuis la chine
Salut, Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand nombre de requetes depuis la chine. Autant avoir des requetes depuis la chine est normal, autant le nombre et le type de requetes est assez etrange. Depuis decembre donc notre trafic DNS a fortement augmente sur la plage 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs a partir d'une IP pendant quelques minutes, puis un autre rush a partir d'une autre ip. Pour prendre un exemple, l'ip 121.12.172.233 a effectue aujourd'hui pres de 7 requetes en 10 minutes sur uniquement une vingtaine de domaines (soit entre 1500 et 3000 fois la meme requete par domaine). D'ailleurs, les ips chinoises trustent le top 50 sur nos DNSs depuis le mois de decembre. A priori je ne suis pas le seul (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). Comme l'ip change tout le temps et que je ne peux pas bloquer la chine (meme si l'envie me demange), je me retrouve a devoir laisser le trafic se faire. Ca n'impacte de toute facon pas le service plus que ca. Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous avez pris des mesures ou vous laissez faire aussi ? Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Requetes DNS depuis la chine
On Thu, Mar 15, 2012 at 05:05:32PM +, Christophe HUBERT wrote: Salut, > Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand > nombre de requetes depuis la chine. Autant avoir des requetes depuis > la chine est normal, autant le nombre et le type de requetes est assez > etrange. > > Depuis decembre donc notre trafic DNS a fortement augmente sur la > plage 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs > a partir d'une IP pendant quelques minutes, puis un autre rush a > partir d'une autre ip. Pour prendre un exemple, l'ip 121.12.172.233 a > effectue aujourd'hui pres de 7 requetes en 10 minutes sur > uniquement une vingtaine de domaines (soit entre 1500 et 3000 fois la > meme requete par domaine). D'ailleurs, les ips chinoises trustent le > top 50 sur nos DNSs depuis le mois de decembre. A priori je ne suis > pas le seul > (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). > Comme l'ip change tout le temps et que je ne peux pas bloquer la chine > (meme si l'envie me demange), je me retrouve a devoir laisser le > trafic se faire. Ca n'impacte de toute facon pas le service plus que > ca. > > Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous > avez pris des mesures ou vous laissez faire aussi ? > J'ai remarqué sensiblement la même chose sur les DNS de bookmyname tous les jours entre 4h et 16h (paris) . C'est très probablement une attaque par amplification avec uniquement des requêtes ANY qui renvoient un volume bien plus important (au moins SOA + 2 NS + éventuellement MX, A, TXT) que la question. Les IP sources sont très probablement usurpées. tcpdump -v montrait un ttl non constant la dernière fois que j'ai regardé, mais je n'ai pas fait de stats dessus. Contrairement, aux attaques DNS par amplification sur des serveurs récursifs imprudemment ouverts, il n'y a rien à faire sur des serveurs faisant autorité pour les zones utilisées. Plus un serveur gère de zones, plus le volume doit être important et l'attaque ne semble pas focalisée sur quelques domaines. Pour la maso qui utilisent DNSSEC, l'amplification doit être bien plus violente. À noter, que je n'ai pas remarqué d'ipv6 lors de ces attaques. Passer tous les serveurs DNS en ipv6 seulement serait peut-être une solution ... Lolo -- Laurent Frigault --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Requetes DNS depuis la chine
As-tu moyen d'appliquer du traffic shaping d'une quelconque sorte ? Y'a-t-il des requêtes suspectes, ou un pattern reconnaissable ? Le 16/03/2012 01:05, Christophe HUBERT a écrit : Salut, Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand nombre de requetes depuis la chine. Autant avoir des requetes depuis la chine est normal, autant le nombre et le type de requetes est assez etrange. Depuis decembre donc notre trafic DNS a fortement augmente sur la plage 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs a partir d'une IP pendant quelques minutes, puis un autre rush a partir d'une autre ip. Pour prendre un exemple, l'ip 121.12.172.233 a effectue aujourd'hui pres de 7 requetes en 10 minutes sur uniquement une vingtaine de domaines (soit entre 1500 et 3000 fois la meme requete par domaine). D'ailleurs, les ips chinoises trustent le top 50 sur nos DNSs depuis le mois de decembre. A priori je ne suis pas le seul (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). Comme l'ip change tout le temps et que je ne peux pas bloquer la chine (meme si l'envie me demange), je me retrouve a devoir laisser le trafic se faire. Ca n'impacte de toute facon pas le service plus que ca. Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous avez pris des mesures ou vous laissez faire aussi ? Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] naissance d'un nouveau bloc privé
> Dominique Rousseau a écrit: > Orange, entre 9 et 10 millions de clients "haut débit", qu'on > peut considérer comme étant en triple-play (c'est plus simple > pour la démonstration). Ne serait-ce qu'une ip pour la VoIP > et une pour la ToIP, 10/8 ne leur suffit pas. Certes non, mais que faire ? Pour les FAI de cette taille, il y a 4 solutions (en théorie) 1. Utiliser ce qui s'appelait dans le temps la "Class E" : 240.0.0.0/4 256 millions d'adresses, pas mal. Mais, cette route est semée d'embûches et ce n'est pas étonnant que personne n'ait essayé de déployer. A noter, 256 millions d'adresses c'est pas mal, mais ce n'est même pas suffisant en Chine ou en Inde, si on est prudent. Comme c'est sur tech je m'abstiens de troller les embûches. 2. NAT 464 3. Multiples instances de 10.0.0.0/8 4. Multiples instances de 100.64.0.0/10 En y regardant de plus près, l'option 3 n'est pas terrible. Oui, l'espace est 4 fois plus grand que l'option 4, mais on s'en sert déjà, donc en fait ce nouveau bloc privé est une bénédiction: à tant qu'avoir plusieurs instances du même préfixe pour faire du CGN, autant utiliser 100.64.0.0/10, tout beau tout nouveau le monsieur, pas de conflits. Donc, mettez vos filtres à jour. De la même façon que la machinbox de Claude Michu arrive configurée par défault avec 192.168.0.0/24 ou 192.168.1.0/24, votre prochaine machinbox CGN à €100K de chez Mr crisco ou Mr olive va arriver configurée par défaut avec 100.64.0.0. Pas demain matin, mais d'ici 2-3 ans ? Qui Qui parie un bouchon de Stroh ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Requetes DNS depuis la chine
Il n'y a rien de veritablement suspect outre la récurrence. Et on parle de requete DNS, donc de quelques centaines de kb/s. C'est d'ailleurs ce qui est etonnant si c'est une attaque. Pour que cela puisse avoir un impact sur le service, il faudrait sans doute multiplier par 50 ou 100 le nombre de requetes, et encore. La c'est juste suffisant pour que cela soit visible au niveau des statistiques Je veux bien tout passer en ipv6 mais vu que l'on a que 3% de requetes dns en IPV6, ca risque de pas trop passer :) Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Benjamin BILLON Envoyé : vendredi 16 mars 2012 01:06 À : 'frnog-t...@frnog.org' Objet : Re: [FRnOG] [TECH] Requetes DNS depuis la chine As-tu moyen d'appliquer du traffic shaping d'une quelconque sorte ? Y'a-t-il des requêtes suspectes, ou un pattern reconnaissable ? Le 16/03/2012 01:05, Christophe HUBERT a écrit : > Salut, > > Depuis decembre a peu pres, nos serveurs DNS recoivent un tres grand nombre > de requetes depuis la chine. Autant avoir des requetes depuis la chine est > normal, autant le nombre et le type de requetes est assez etrange. > > Depuis decembre donc notre trafic DNS a fortement augmente sur la plage > 4h-18h. Au niveau des requetes, on se retrouve a avoir des rushs a partir > d'une IP pendant quelques minutes, puis un autre rush a partir d'une autre > ip. Pour prendre un exemple, l'ip 121.12.172.233 a effectue aujourd'hui pres > de 7 requetes en 10 minutes sur uniquement une vingtaine de domaines > (soit entre 1500 et 3000 fois la meme requete par domaine). D'ailleurs, les > ips chinoises trustent le top 50 sur nos DNSs depuis le mois de decembre. > A priori je ne suis pas le seul > (http://dyn.com/active-incident-notification-recent-chinanetany-query-floods/). > Comme l'ip change tout le temps et que je ne peux pas bloquer la chine (meme > si l'envie me demange), je me retrouve a devoir laisser le trafic se faire. > Ca n'impacte de toute facon pas le service plus que ca. > > Est-ce que quelqu'un d'autre subit ce type d'evenement ? Si oui, vous avez > pris des mesures ou vous laissez faire aussi ? > > Christophe > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
