#WebRTC without a signaling server has massive #P2P #collaboration potential: http://blog.printf.net/articles/2013/05/17/webrtc-without-a-signaling-server - add #IPv6 to that and watch it take over the world !
- #P2P
-
-
Why does #iperf's reported MTU differ from the correct one, reported by other tools using Path MTU Discovery ? “Mysterious Transfer Unit”...
http://networkengineering.stackexchange.com/questions/430/why-dont-iperf-scamper-and-path-mtu-discovery-pack #IPv4 -
Alternative to dumb port scanning, leveraging reverse DNS to discover a subnet’s IPv6 hosts. Supposes that reverse DNS is correctly configured… http://www.reddit.com/r/netsec/comments/1bfu76/how_are_we_going_to_port_scan_for_open_hosts_on/c96p936
- #DNS
-
If you’re interested in discovering hosts on an #IPv6 network, RFC 5157 is the document to read http://www.rfc-editor.org/rfc/rfc5157.txt #security
-
« From March to December 2012 we used [...] a distributed port scanner to scan all IPv4 addresses. These scans include service probes for the most common ports, ICMP ping, reverse DNS and SYN scans. We analyzed some of the data to get an estimation of the IP address usage. »
« All data gathered during our research is released into the public domain for further study. The full 9 TB dataset has been compressed to 565GB using ZPAQ and is available via BitTorrent. »
The original message: ►http://seclists.org/fulldisclosure/2013/Mar/166
A good explanation: http://www.zdnet.com/illegal-botnet-census-finds-1-2m-devices-with-default-passwords-7000012871
Do note that the machines which scanned were cracked machines and so the entire operation was probably illegal in most countries.
-
-
If you are an IP geek, then ’traceroute -m 64 216.81.59.173’ - routing takes reverse DNS creativity to a whole new level !
- #DNS
-
Projected #IPv6 address pool exhaustion date... http://samsclass.info/ipv6/exhaustion.htm via @stephane
-
Il est sans doute un peu optimiste : supposer une croissance linéaire plutôt qu’exponentielle (et d’ailleurs, sur son premier graphique quasiment tous ses points à partir de 2012 sont au-dessous de la courbe (convexité).
Ceci dit, on devrait avoir un peu de marge…
-
D’autant que que le généreux sous-réseautage pratiqué en IPv6 entame largement le potentiel théorique - je me demande comment ça impactera et quelle sera la tendance d’évolution de ce facteur.
-
Back-of-the-enveloppe estimate of how much IPv6’s rather generous hierarchical subnetting will impact its address space exhaustion - http://j.mp/WAWQ1i
-
-
Very good analysis of the current situation of the #ITU after the Dubai meeting, and why the “ITU-phobia” is wrong (because the ITU is a weak dying dinosaur and certainly not the big threat so many lobbyists see).
http://www.internetgovernance.org/2012/12/18/itu-phobia-why-wcit-was-derailed
-
Super article, merci @stephane ; éclaire notamment le lien entre la norme sur le DPI et le contenu de l’ITR révisé à Dubaï évoqué là ►http://seenthis.net/messages/101868
Now watch ITU-phobia turn these drab words into a fearsome threat. A commentator on our blog who was in Dubai as part of the UK delegation writes: “5A needs to be read along with ITU Standard Y.2770 which makes it mandatory to implement deep packet inspection…to all ‘next generation networks’ which could be easily interpreted as the IPv6 network. As a standard it is far from mandatory. But 5A and 5B bring this much closer to make it mandatory – and you’ll notice that the language in Y.2770 is very close to the language of 5A and 5B.”
There are so many irrational leaps of logic in this statement it is hard to know where to begin. The author of that comment is implying that ITR section 5A must be read in conjunction with an ITU-T standard that he has picked arbitrarily out of the air, a standard not mentioned anywhere in the ITRs and not mentioned in any of the discussions of 5A. The section 5A does not mention the Internet, IPv6, NGNs or DPI, yet this person believes that it could be “easily interpreted” to REQUIRE the use of DPI in IPv6 networks. And when one points out this huge gap between what is actually in the ITRs and what they are contending it would do, the response is filled with dark warnings about “the power of general language” and how the evil demons at the ITU will be able to stretch whatever language is in their to suit their purposes.
Ah, le pouvoir des grandes « notions générales » ! ça me rappelle des passages de la Démocratie en Amérique de Tocqueville.
-
-
60 % des noms de domaine .fr sont compatibles #IPv6, une hausse de 19 points ! Découvrez le chiffre clé de novembre de la nouvelle édition en ligne de l’Observatoire 2012 du marché des noms de domaine en France !
60% of .fr domain names are IPv6 compliant, an increase of 19 points in one year ! Discover the November key figure of the new online edition of the Report 2012 of the French #Domain Name Industry !
#afnic #ccTLD #statistiques #statistics #domainnames #dotFR #domains #web #internet
-
@seenthis #seenthis_bug : les #notifications de Seenthis sont listées sur la blacklist Barracuda, et sont une bonne partie du temps classés comme #spam par #Spamassassin sur notre serveur.
#wtf ?
-
Hmmm, ces notifications passent sans problème à travers mon SpamAssassin à moi. J’ai examiné les notifications de SeenThis à travers d’autres logciciels et cela passe, de loin. Les messages de SeenThis ne semblent avoir aucun des signes habituels de spamicité (à part le no-reply dans le From :)
Pour avoir la moindre chance de déboguer le problème, il faudrait fournir des informations factuelles, notamment le contenu complet des en-têtes SpamAssassin. http://wiki.apache.org/spamassassin/X_Spam_Status
-
X-Spam-Flag: YES
X-Spam-Score: 4.686
X-Spam-Level:
X-Spam-Status: Yes, score=4.686 tagged_above=-1000 required=3
tests=[AWL=0.457, BAYES_80=2, FREEMAIL_FROM=0.001,
RCVD_IN_BRBL_LASTEXT=1.449, SPF_NEUTRAL=0.779] autolearn=no -
Ce sont des réglages violents (SpamAssassin demande une note de 5, par défaut, pas 3).
Apparemment, les tests qui ont apporté le plus de points sont ceux sur des listes noires. J’ai testé le serveur de messagerie, 88.190.11.5, sur plein de RBL (grâce à http://multirbl.valli.org et http://whatismyipaddress.com ) et je ne trouve pas de listes importantes dont il serait membre. Peut-être ton SpamAssassin a été configuré pour utiliser des listes noires locales ?
- #DNS
-
Oui avec 5 on recevait encore trop de spams donc on a baissé à 3.
Le plus c’est le filtre bayésien (2 points) mais ça c’est parce qu’au départ ça a été détecté comme spam au fil du temps et que j’ai mis trop longtemps à les déplacer dans les faux-positifs. Mea culpa.
Reste que ça a bien été détecté comme spam au début, donc. Et qu’il y a 1,5 points sur RCVD_IN_BRBL_LASTEXT. La doc dit que c’est la liste Barracuda :
http://wiki.apache.org/spamassassin/Rules/RCVD_IN_BRBL_LASTEXTYa au moins ce point là qui n’est pas normal, non ? (Mais il faut un compte pour vérifier le contenu de la liste.)
-
En effet, ce n’est pas normal mais, bon, 95 % des listes noires anti-spam sont gérées par des charlots ou des racketteurs (ou parfois les deux à la fois) donc le mieux est d’arrêter d’utiliser cette liste.
►http://www.bortzmeyer.org/6471.html
Sinon, je n’ai pas l’impression qu’il faille un compte chez Barracuda pour vérifier leur liste et je lis : « The ip address 88.190.11.5 is not currently listed as “poor” on the Barracuda Reputation System. » Donc, j’ai des doutes. Que dit un “dig 5.11.190.88.b.barracudacentral.org” sur ton réseau ? Cela doit normalement faire un NXDOMAIN.
-
-
-
Looking back at optimistic plans for the IPv4 to #IPv6 transition - and looking at what is unfortunately happening now: http://www.potaroo.net/ispcol/2012-08/EndPt2.html - never too late to wake up.
-
je n’ai pas compris grand chose mais j’aime bien ses #graphiques
http://www.potaroo.net/ispcol/2012-08/plan-c.png -
Ce graphique est celui qui résume bien la situation actuelle : en Octobre il n’y aura plus de blocs IPv4 libres et pourtant l’adoption massive d’IPv6 n’a pas encore débuté.
-
-
-
How to maintain reliable IPv6 in IPv4 tunnel connectivity when your Internet access provider inflicts a dynamic IPv4 address on you: http://serendipity.ruwenzori.net/index.php/2012/06/06/how-to-maintain-reliable-ipv6-in-ipv4-tunnel-connectivity-whe
-
My Internet access provider has such miserable IPv4 peerings that I get better throughput using IPv6 through HurricaneElectric:
http://img2.ipv6-test.com/speedtest/result/2012/05/25/2bc5203dd141ef8e64390aabb5a1cdff.png
Numericable, also known as Misericable. -
-
IPv6 security crash course: http://void.gr/kargig/presentations/athcon_2012_kargig.pdf - no ARP spoofing in IPv6... But ND attacks replace it nicely. Scanning tricks inside too !
-
NDP and ARP have exactly the same security (close to zero). https://scm.info.ucl.ac.be/trac/cnp3/ticket/56
- #IPv4
-
Yes, that is one of the main points of this presentation - it also mentions RAguard (L2 Protection on the switch - RFC 6105) and SeND (RFC 3971 - secure ND using cryptography) as remedial methods. The first one is quite easy given a smart switch, but the second one is said to be very hard to deploy.
-
-
Un texte anonyme (avec un petit a) mais prétendant venir de la nébuleuse #Anonymous circule sur un pastebin, annonçant une attaque le 31 mars contre les serveurs de la racine :
Une analyse technique (sommaire et avec quelques simplifications mais correcte dans ses grandes lignes) de pourquoi c’est irréaliste circule :
http://erratasec.blogspot.com/2012/02/no-anonymous-cant-ddos-root-dns-servers.html
Autre critique (pas lue encore) :
http://www.circleid.com/posts/20120216_end_of_the_world_internet_on_31_marc_2012
Cette menace a suscité des menaces ouvertes de riposte violente de la part des États-Unis :
Le même article a été publié sur CircleID, avec quelques commentaires intéressants :
http://www.circleid.com/posts/20120215_anonymous_plans_to_go_after_dns_root_servers
Je découvre aussi que cette idée d’attaque #dDoS contre les serveurs DNS de la racine est tellement connue qu’elle a sa page Wikipédia :
http://en.wikipedia.org/wiki/Distributed_denial_of_service_attacks_on_root_nameservers
Mon analyse personnelle de la menace :
L’auteur a appris assez de technique pour comprendre deux ou trois choses, mais pas assez pour aller plus loin. Cela lui permet de passer pour un hacker auprès du journaliste de l’Express mais pas plus. L’attaque décrite est réaliste, elle est d’ailleurs très ancienne et a souvent été utilisée contre d’autres objectifs, les problèmes, pour l’attaquant, sont :
1) Quantitatif : la racine est une cible difficile et aucune attaque n’a jamais réussi.
2) Dans les conséquences : en raison des caches, l’effet ne sera pas spectaculaire. L’attaquant devrait plutôt s’en prendre à .com (où les caches sont moins efficaces, vu le nombre de domaines, et le faible TTL de la plupart) !
-
Ouais, bonne idée, le .com. Les gens biens sont sous .net ou .fr... ;-)
-
C’est plutôt le contraire, je l’ai pris comme exemple car, pour la plupart des utilisateurs, une panne de .com est équivalente à une panne d’Internet (plus de Facebook et de YouTube).
-
Je pense que cela surestime aussi beaucoup le nombre de FAI qui permettent le spoofing d’adresse source. Il me semble en tout cas qu’en France les plus gros filtrent.
-
L’article d’erratasec est franchement limite passable, des énormités sur les TTL (non .com n’a pas un TTL de plusieurs mois), le fonctionnement des caches (qui en plus ne sont absolument pas concernés par l’attaque), et pas un mot sur la méthode d’attaque présentée. Il semblerait qu’erratasecs’imagine que l’attaque porte uniquement sur un grand nombre de requête via les canaux « normaux ». Suis assez d’accord avec Alain, aussi, sur l’antispoofing bien pratiqué en France. Enfin, il doit y avoir un bug avec le MAJ+ENTRÉE car bien que ma touche shift ait tendance à bloquer en moment, ENTRÉE me fait quasi-systématiquement poster le commentaire même sans SHIFT (d’où le commentaire monobloc, veuillez m’en excuser).
-
Des démentis d’Anonymous (enfin, de gens qui disent être Anonymous, tout comme le message original) http://www.theregister.co.uk/2012/02/22/anon_disowns_dns_takedown_plan
►http://owni.fr/2012/02/25/operation-com-anonymous -
Pour les techos hardeurs, je recommande la lecture de l’Internet-Draft « Improving DNS Service Availability by Using Long TTL Values ». Il propose un moyen de rendre les attaques moins efficaces mais il contient surtout une bonne analyse quantitative (dans son annexe A).
http://tools.ietf.org/id/draft-pappas-dnsop-long-ttl
Un bon exposé sur ces TTL longs a été fait par Duane Wessels https://www.dns-oarc.net/files/workshop-201203/wessels-long-ttls.pdf
-
-
-
-
-
Foreign #hackers targeted U.S. water plant in apparent malicious #cyber_attack, expert says - The Washington Post
http://www.washingtonpost.com/blogs/checkpoint-washington/post/foreign-hackers-broke-into-illinois-water-plant-control-system-industry-expert-says/2011/11/18/gIQAgmTZYN_blog.htmlForeign hackers caused a pump at an Illinois water plant to fail last week, according to a preliminary state report. Experts said the cyber-attack, if confirmed, would be the first known to have damaged one of the systems that supply Americans with water, electricity and other essentials of modern life.
“It was tracked to Russia. It has been in the system for at least two to three months. It has caused damage.
-
-
Et en notant que c’était 95 % de pipeau, comme à chaque fois qu’il y a SCADA et Internet dans un même article.
-
donc en fait c’était pas une cyberattaque, ni même une attaque du tout :
A water-pump failure in Illinois that appeared to be the first foreign cyberattack on a public utility in the United States was in fact caused by a plant contractor traveling in Russia, according to a source familiar with a federal investigation of the incident.
-
-
[C’est suite à une question posée sur Twitter et où la réponse prend plus de 140 caractères. On a le droit d’utiliser Seenthis pour ça ?]
La question était « Existe-t-il une commande qui résolve une adresse et dise si la résolution est signée #DNSSEC ou pas ? »
1) Réponse ultra-courte :
Utiliser le résolveur DNSSEC public de l’#OARC https://www.dns-oarc.net/oarc/services/odvr avec la commande "dig +dnssec @149.20.64.21 WWW.LENOM.EXAMPLE". Si la réponse a le "flag" AD (Authentic Data), c’est qu’elle est signée par DNSSEC.2) Réponse longue :
Installer son propre résolveur validant (avec #Unbound, c’est plutôt simple). Utiliser la même commande dig.3) Réponse pour chef et commercial :
Il doit y avoir une solution sur le Web mais je ne la connais pas. -
#ferm - for Easy Rule Making
http://ferm.foo-projects.orgUn #firewall pour #linux vraiment très bien foutu, qui simplifie l’écriture des règles #iptables et gère l’#ipv6.
ferm is a tool to maintain complex firewalls, without having the trouble to rewrite the complex rules over and over again. ferm allows the entire firewall rule set to be stored in a separate file, and to be loaded with one command. The firewall configuration resembles structured programming-like language, which can contain levels and lists.
-
Et un fichier de configuration de base pour l’ipv6 là :
-
Correction, j’ai des problèmes avec la configuration ipv6 précédente, la suivante fonctionne mieux :
http://code.geek.sh/2010/12/using-ferm-to-build-firewall-rulesets
-
-
Brick Nintendo before they brick you! | DefectiveByDesign.org
http://www.defectivebydesign.org/nintendoThe Nintendo 3DS keeps track of every game you play, along with any data or information created while using the device. This includes personal data such as any name, address, or other information you enter; as well as “age, gender, geographic area, game play data, online status, Nintendo 3DS System serial number and device ID, device certificate information, cookies, Friend Codes, wireless access point information, Internet Protocol (’IP’) address, and Media Access Control (’MAC’) address” (to quote the Nintendo 3DS System Privacy Policy). Further, they collect all “User Content,” which they define as all “[...] comments, messages, images, photos, movies, information, data and other content”.
(...)
The Nintendo 3DS will send the Activity Log to Nintendo when the wifi is connected.
(...)
Nintendo can then choose to share your information and use it to target advertisements to you.
(...)
Worst of all, Nintendo has claimed the right to use the information they collect from your device to judge if you are allowed to continue using it. -
Connexion à un serveur distant s’il a plusieurs adresses (surtout si certaines sont en #IPv4 et d’autres en #IPv6). La méthode traditionnelle est une boucle séquentielle avec timeout, insupportable si les premières adresses ne répondent pas. C’est à cause de cela que très peu de gros sites ajoutent une adresse IPv6.
Une solution possible est de tenter les connexions en parallèle. Voici une solution détaillée, avec code, en #C : http://www.isc.org/community/blog/201101/how-to-connect-to-a-multi-homed-server-over-tcp
Et une tentative de faire pareil en #Go : http://www.pastie.org/1528545
- #IPv6
- #Connecticut
- #IPv4
-
exabgp un injecteur de routes BGP pour IPv4/IPv6 ou « flow routes »
►http://code.google.com/p/exabgp
#bgp #exabgp -
Privacy Lives » Blog Archive » IP addresses and user identification in the WikiLeaks case
http://www.privacylives.com/ip-addresses-and-user-identification-in-the-wikileaks-case/2011/01/10effacer les adresses IP le plus vite possible permet de protéger juridiquement tout le monde
