On 02-11-10 21:02, Sławek Lipowski wrote:
> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>
> W kierunku naszych serwerów www, właśnie z AC-Xa, z różnych sieci
> (potwierdzone przez NOC), wygląda na to, że także ze styku z PLIXem
> (sądząc na podstawie MAC adresu), dociera sporo ruchu z takiej adresacji.
>
> Czy to jest norma?

To jest norma. Internet jest pełen tego, niestety.

--
Grzegorz Janoszka

do góry

W dniu 02.11.2010 23:07, Grzegorz Janoszka pisze:
> On 02-11-10 21:02, Sławek Lipowski wrote:
>> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
>> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>>
>> W kierunku naszych serwerów www, właśnie z AC-Xa, z różnych sieci
>> (potwierdzone przez NOC), wygląda na to, że także ze styku z PLIXem
>> (sądząc na podstawie MAC adresu), dociera sporo ruchu z takiej adresacji.
>>
>> Czy to jest norma?
>
> To jest norma. Internet jest pełen tego, niestety.
>

A to, że w prawie 100% są to wyłącznie pakiety z ustawionymi flagami FIN
i ACK też jest normalne?

Jak to wygląda z Twojego doświadczenia?

--
Sławomir Lipowski

do góry

On 2010-11-02 23:16, Sławek Lipowski wrote:

> A to, że w prawie 100% są to wyłącznie pakiety z ustawionymi flagami FIN i
> ACK też jest normalne?
> Jak to wygląda z Twojego doświadczenia?

Mówiłem o tym na CONFidence kiedyś a potem na bodaj Cisco Expo -
daje się czasem nawet nawiązać sesję do serwerka stojącego z
taką adresacją, czasem coś ściągnąć, czasem dostaniesz nieproszony
ruch w Twoją stronę, po zgłoszeniu zwykle problem znika - czasem
"na zawsze", czasem "na chwilę". To zależy gdzie był błąd, czy
przecieka sieć operatora czy styku z Internetem i jak realizowana
jest separacja (MPLSem czy ręcznie).

Jeśli dostajesz tego faktycznie tyle że Ci się 'firewalle męczą'
to jest coś nie tak i sugerowałbym skontaktować się z dostawcą
(chyba że to bardzo zmęczone firewalle), jeśli znow chciałeś ściągać
ludzi do siebie na stronę to OK, ale już naprawdę starczy.

--
"Everything will be okay in the end. | Łukasz Bromirski
If it's not okay, it's not the end." | http://lukasz.bromirski.net

do góry

W dniu 03.11.2010 00:05, Łukasz Bromirski pisze:
> Mówiłem o tym na CONFidence kiedyś a potem na bodaj Cisco Expo -
> daje się czasem nawet nawiązać sesję do serwerka stojącego z
> taką adresacją, czasem coś ściągnąć, czasem dostaniesz nieproszony
> ruch w Twoją stronę, po zgłoszeniu zwykle problem znika - czasem
> "na zawsze", czasem "na chwilę". To zależy gdzie był błąd, czy
> przecieka sieć operatora czy styku z Internetem i jak realizowana
> jest separacja (MPLSem czy ręcznie).

Będę próbować dążyć w tym kierunku, czyli spróbować zgłosić to do sieci,
z których ten ruch pochodzi...

> Jeśli dostajesz tego faktycznie tyle że Ci się 'firewalle męczą'
> to jest coś nie tak i sugerowałbym skontaktować się z dostawcą

Zmęczenie firewalla możemy pominąć. Bardziej martwi mnie to, że to być
może jest ruch, który powinien przychodzić z prawidłowymi IP i zamykać
rzeczywiście nawiązywane połączenia. Jasne, że można przeprowadzić
akademickie rozważanie, na ile to generuje problemy, a na ile nie, ale
dziwi mnie w ogóle fakt występowania takiej anomalii.

> (chyba że to bardzo zmęczone firewalle), jeśli znow chciałeś ściągać
> ludzi do siebie na stronę to OK, ale już naprawdę starczy.
>
> --
> "Everything will be okay in the end. | Łukasz Bromirski
> If it's not okay, it's not the end." | http://lukasz.bromirski.net

Ale czym ściągnąć? Umieszczeniem adresu strony w podpisie? ;) Widzisz w
tym coś złego? ;>

Generalnie napisałem tu tylko po to, żeby w miarę możliwości zorientować
się, czy inni uczestnicy AC-Xa też otrzymują podobny ruch.

Pozdrawiam.

--
Sławomir Lipowski
http://lipowski.org

do góry

On 02-11-10 23:16, Sławek Lipowski wrote:
>>> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
>>> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
>>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>> To jest norma. Internet jest pełen tego, niestety.
> A to, że w prawie 100% są to wyłącznie pakiety z ustawionymi flagami FIN
> i ACK też jest normalne?

Są po prostu błędy w implementacji NAT/PAT. Większość ruterków domowych
ma bardzo proste oprogramowanie i translacja adresów jest tam
niedoskonała. Zdarza się, że niektóre pakiety wyciekają z oryginalnymi
adresami źródłowymi. Pewnie wielu producentów korzysta z tego samego
kodu, który natuje tylko pierwszy pakiet fin/ack, a wszystkie
retransmisje przepuszcza.

--
Grzegorz Janoszka

do góry

On 03.11.2010 10:42, Grzegorz Janoszka wrote:
> On 02-11-10 23:16, Sławek Lipowski wrote:
>>>> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
>>>> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
>>>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>>> To jest norma. Internet jest pełen tego, niestety.
>> A to, że w prawie 100% są to wyłącznie pakiety z ustawionymi flagami FIN
>> i ACK też jest normalne?
>
> Są po prostu błędy w implementacji NAT/PAT. Większość ruterków domowych
> ma bardzo proste oprogramowanie i translacja adresów jest tam
> niedoskonała. Zdarza się, że niektóre pakiety wyciekają z oryginalnymi
> adresami źródłowymi. Pewnie wielu producentów korzysta z tego samego
> kodu, który natuje tylko pierwszy pakiet fin/ack, a wszystkie
> retransmisje przepuszcza.
>

Ale dlaczego przechodzi to przez brzegowe? Przecież tu nie ma routerków
domowych.

--
wer <",,)~~
http://szumofob.eu

do góry

W dniu 03.11.2010 10:42, Grzegorz Janoszka pisze:
> On 02-11-10 23:16, Sławek Lipowski wrote:
>>>> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
>>>> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
>>>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>>> To jest norma. Internet jest pełen tego, niestety.
>> A to, że w prawie 100% są to wyłącznie pakiety z ustawionymi flagami FIN
>> i ACK też jest normalne?
>
> Są po prostu błędy w implementacji NAT/PAT. Większość ruterków domowych
> ma bardzo proste oprogramowanie i translacja adresów jest tam
> niedoskonała. Zdarza się, że niektóre pakiety wyciekają z oryginalnymi
> adresami źródłowymi. Pewnie wielu producentów korzysta z tego samego
> kodu, który natuje tylko pierwszy pakiet fin/ack, a wszystkie
> retransmisje przepuszcza.
>

To jest ciekawy trop. Dzięki. Tylko że problem musiałby dotyczyć raczej
urządzeń szkieletowych operatorów, a nie urządzeń domowych.

--
Sławek Lipowski
http://lipowski.org

do góry

3 Lis, 10:53, Sławek Lipowski <s...@l...org> napisał:

> To jest ciekawy trop. Dzięki. Tylko że problem musiałby dotyczyć raczej
> urządzeń szkieletowych operatorów, a nie urządzeń domowych.

Dlaczego tak uwazasz? Operator forwarduje pakiety na podstawie adresu
docelowego, a nie zrodlowego, w zasadzie adres zrodlowy moglby go w
ogole nie interesowac. Adres zrodlowy interesuje Ciebie - uzytkownika
koncowego.

Herlok Sz.

do góry

On 03-11-10 10:49, b...@n...pl wrote:
> On 03.11.2010 10:42, Grzegorz Janoszka wrote:
>> On 02-11-10 23:16, Sławek Lipowski wrote:
>>>>> Mam pytanie do uczestników AC-Xa, którzy mają do niego dostęp w L2. Czy
>>>>> obserwujecie docieranie do waszych sieci ruchu z adresami źródłowymi z
>>>>> podsieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16?
>>>> To jest norma. Internet jest pełen tego, niestety.
>>> A to, że w prawie 100% są to wyłącznie pakiety z ustawionymi flagami FIN
>>> i ACK też jest normalne?
>>
>> Są po prostu błędy w implementacji NAT/PAT. Większość ruterków domowych
>> ma bardzo proste oprogramowanie i translacja adresów jest tam
>> niedoskonała. Zdarza się, że niektóre pakiety wyciekają z oryginalnymi
>> adresami źródłowymi. Pewnie wielu producentów korzysta z tego samego
>> kodu, który natuje tylko pierwszy pakiet fin/ack, a wszystkie
>> retransmisje przepuszcza.
>
> Ale dlaczego przechodzi to przez brzegowe? Przecież tu nie ma routerków
> domowych.

A dlaczego ma nie przechodzić przez rutery operatorów? Pakiet z adresem
źródłowym 192.168 jest takim samym pakietem jak wszystkie inne.

Jest tzw. dobrą praktyką filtrować to, co przychodzi od klientów, żeby
nie przepuszczać żadnych zespoofowanych (takie staropolskie słowo)
adresów, ale kto w PL to robi? Ostatni raz z firmami typu Netia,
Crowley, GTS/Energis, TKTelekom itp miałem do czynienia jakieś 3 lata
temu i nikt wtedy nie filtrował. Wątpię, czy od tamtego czasu zmieniło
się wiele. Ktoś może przetestować?

--
Grzegorz Janoszka

do góry

>
> BGP nie ma tu nic do rzeczy. Mam styk w L2 z sieciami, które kierują do
> mnie pakiety IP z adresami żródłowymi jak w temacie. Jeśli chcieć, żeby mi
> to nie trafiło na farmę www, trzeba by to jednak upuścić na firewallu
> jakimś. ;)

Hmm... Ale przecież ta Twoja farma serwerów ma po drodze do tych IXów
router. Nie wystawiasz przecież farmy wprost w L2 do IXów, tylko via router.
I na nim odfiltrujesz śmieci.


--
---
Zboj (Piotr Marciniak)
zboj \at/ mnc.pl

do góry