Auteur Sujet: [EQUINIX-IX] Trafic poluant  (Lu 6770 fois)

0 Membres et 1 Invité sur ce sujet

Thomas.V

  • AS47548 Flow Line Technologies
  • Professionnel des télécoms
  • *
  • Messages: 9
  • Saint-Priest (69)
[EQUINIX-IX] Trafic poluant
« le: 16 janvier 2018 à 09:10:02 »
Bonjour,

Je me permets d'ouvrir ce post pour vous faire part d'un phénomène inquiétant sur le point d'échange Equinix-IX (PA6).
Je reçois du trafic qui ne m'est pas destiné sur mon port. Pour l 'instant ma session BGP n'est pas montée et je reçois du trafic non négligeable (voir screen ci oint).

Avez vous remarqué cela chez vous ? Une file sur FrNog a déjà fait part du problème, mais personne ne semble s'en inquiéter plus que cela.


Cordialement,

Thomas Vahé

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
[EQUINIX-IX] Trafic poluant
« Réponse #1 le: 16 janvier 2018 à 09:11:30 »
Bah le fil en cours sur frnog est complet, ça te suffit pas ? D'ici à ce qu'ils fix...

vivien

  • Administrateur
  • *
  • Messages: 47 075
    • Twitter LaFibre.info
[EQUINIX-IX] Trafic poluant
« Réponse #2 le: 16 janvier 2018 à 09:12:28 »
Bonjour Thomas,

Tu as fait une capture pour voir le type de trafic ?

Broadcast ? Unicast ?

Thomas.V

  • AS47548 Flow Line Technologies
  • Professionnel des télécoms
  • *
  • Messages: 9
  • Saint-Priest (69)
[EQUINIX-IX] Trafic poluant
« Réponse #3 le: 16 janvier 2018 à 09:22:31 »
Bonjour,

Il s'agit de trafic unicast, dans mon cas, à destination de Dropbox (port 80 et 443), dont les adresses ne sont même pas annoncées sur le GIX (mais le client est bien présent).

PS : J'ai ouvert ce fil, car peut être que tout le monde ne suit pas FrNog ^^

Cdt,

Thomas V.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
[EQUINIX-IX] Trafic poluant
« Réponse #5 le: 16 janvier 2018 à 12:19:05 »
Oui ça ressemble beaucoup au comportement d'un vieux switch cisco avec un vieux firmware.

Cisco quand il sait pas quoi faire il envoie les paquets chez tout le monde et sur les vieux trucs on ne peut pas lui dire de faire autrement :-)

Ce qui peut arriver aussi c'est qu'il y ait du trafic dropbox provenant d'une MAC non enregistrée et au lieu de le rejeter, cisco balance sur tous les ports.
« Modifié: 16 janvier 2018 à 12:47:23 par cali »

Thomas.V

  • AS47548 Flow Line Technologies
  • Professionnel des télécoms
  • *
  • Messages: 9
  • Saint-Priest (69)
[EQUINIX-IX] Trafic poluant
« Réponse #6 le: 16 janvier 2018 à 13:28:22 »
Bonjour,

C'est du trafic à destination de DropBox.
DropBox est présent sur le GIX Equinix IX mais le subnet en question n'est pas annoncé :

Quelques exemples de paquets reçus à tord:
   IP-Src:Port-Src -> IP-Dst:Port-Dst
 46.193.16.50:47381 -> 162.125.67.8:443
 46.193.0.220:53774 -> 162.125.67.4:443
 46.193.1.211:58506 -> 162.125.67.3:443
 46.193.138.240:57721 -> 162.125.67.2:80
 62.193.39.202:37293 -> 162.125.67.3:443
 62.193.55.31:58364 -> 162.125.67.4:443
 10.188.247.117 -> 162.125.67.3:443
 10.192.2.47:50715 -> 162.125.67.3:443
 31.29.110.231 -> 162.125.67.3:443
 195.42.144.122:53185 -> 195.42.145.163:179
 95.141.97.183:8371 -> 162.125.67.8:443
 176.57.33.239:49682 -> 162.125.67:443

Je vais activer Netflow pour savoir vraiment ce qui se passe.

Cdt,

Thomas V.

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
[EQUINIX-IX] Trafic poluant
« Réponse #7 le: 16 janvier 2018 à 13:36:25 »
Quelques exemples de paquets reçus à tord:
   IP-Src:Port-Src -> IP-Dst:Port-Dst
 46.193.16.50:47381 -> 162.125.67.8:443
 46.193.0.220:53774 -> 162.125.67.4:443
 46.193.1.211:58506 -> 162.125.67.3:443
 46.193.138.240:57721 -> 162.125.67.2:80
 62.193.39.202:37293 -> 162.125.67.3:443
 62.193.55.31:58364 -> 162.125.67.4:443
 10.188.247.117 -> 162.125.67.3:443
 10.192.2.47:50715 -> 162.125.67.3:443
 31.29.110.231 -> 162.125.67.3:443
 195.42.144.122:53185 -> 195.42.145.163:179
 95.141.97.183:8371 -> 162.125.67.8:443
 176.57.33.239:49682 -> 162.125.67:443

Il y a même de la RFC1918 et aussi du BGP inter-equinix.

Pas de VLAN ? Ça se peut que ça soit du trafic en VLAN privé étant donné que Equinix-ix permet de le faire et ça expliquerait pourquoi ce réseau n'est pas announcé directement sur l'IX public.

On peut demander à Wifirst si ils ont un VLAN privé avec dropbox sur Equinix.

Bengelly

  • AS12876 Expert Scaleway
  • Expert
  • *
  • Messages: 297
  • Paris (75)
[EQUINIX-IX] Trafic poluant
« Réponse #8 le: 16 janvier 2018 à 13:47:39 »
On peut demander à Wifirst si ils ont un VLAN privé avec dropbox sur Equinix.

Ca m'étonnerait bcp ! en général, et quand les niveaux de trafic sont suffisement élevés, les différentes parties préfèrent recourir au PNI en tirant du cross-connect.

le Symbol nous en dira plus, j'en suis sur  ;)

@++
« Modifié: 16 janvier 2018 à 15:42:08 par Bengelly »

Thomas.V

  • AS47548 Flow Line Technologies
  • Professionnel des télécoms
  • *
  • Messages: 9
  • Saint-Priest (69)
[EQUINIX-IX] Trafic poluant
« Réponse #9 le: 16 janvier 2018 à 14:05:11 »
Re,

Il semblerait que le peer 195.42.145.163 soit justement à DropBox :

Type    IP Address    Domain Name    TTL
PTR    195.42.145.163 Yahoo! (AS10310) dropbox-france.equinix-ix.fr    24 hrs

Je pense aussi qu'il y a des sessions BGP en direct entres des membres notamment avec Wifirst.
Si c'était un problème de table MAC full sur un switch on verrait des destinations autres que DropBox.

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
[EQUINIX-IX] Trafic poluant
« Réponse #10 le: 16 janvier 2018 à 14:11:09 »
Ca m'étonnerait bcp ! en général, et quand les niveaux de trafic sont suffisement élevés, les différentes parties préfèrent recourir au PNI en tirant du cross-connect.

Oui mais justement si le trafic n'est pas si élevé que ça mais tout de même conséquent les parties font des sessions en VLAN privés.

C'est encore plus plausible si les deux réseaux ne sont pas physiquement au même endroit.

Symbol

  • AS52075 Wifirst
  • Expert
  • *
  • Messages: 349
[EQUINIX-IX] Trafic poluant
« Réponse #11 le: 16 janvier 2018 à 15:33:37 »
Oui mais justement si le trafic n'est pas si élevé que ça mais tout de même conséquent les parties font des sessions en VLAN privés.
Non.
C'est encore plus plausible si les deux réseaux ne sont pas physiquement au même endroit.
Non plus.