[Tetaneutral] Incident : coupure reseau au Cogent Toulouse => mettez a jour vos serveurs DNS

Laurent GUERBY laurent at guerby.net
Fri Sep 14 16:26:39 CEST 2012 

Bonjour,

La coupure du port Cogent vient d'une mise en protection :

> Sep 14 11:26:15.213: %PM-4-ERR_DISABLE: storm-control error detected on Fa0/20, putting Fa0/20 in err-disable state
> Sep 14 11:26:15.221: %STORM_CONTROL-3-SHUTDOWN: A packet storm was detected on Fa0/20. The interface has been disabled.
> Sep 14 11:26:16.213: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/20, changed state to down
> Sep 14 11:26:16.213: %IP_SNMP-4-NOTRAPIP: SNMP trap source Vlan75 has no ip address
> Sep 14 11:26:17.221: %LINK-3-UPDOWN: Interface FastEthernet0/20, changed state to down
> Sep 14 12:05:49.354: %IP_SNMP-4-NOTRAPIP: SNMP trap source Vlan75 has no ip address
> Sep 14 12:06:03.894: %LINK-5-CHANGED: Interface FastEthernet0/20, changed state to administratively down
> Sep 14 12:06:23.591: %LINK-3-UPDOWN: Interface FastEthernet0/20, changed state to up
> Sep 14 12:06:24.591: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/20, changed state to up
> Sep 14 12:06:24.591: %IP_SNMP-4-NOTRAPIP: SNMP trap source Vlan75 has no ip address
 
Il y a eu une deuxieme coupure autour de 13h28 et j'ai pu
constater a ce moment la un nombre anormal de paquet UDP port 53 vers
des IP de nos adherents ce qui constitue probablement la cause.

N'oublier pas de mettre a jour vos logiciels sur vos machines il y
a eu plusieurs failles de sécurité BIND publiées dont une ce matin.
C'est aussi une bonne idée de limiter a votre reseau
local l'acces au resolver.

J'ai rajouté une regle iptables pour couper les acces aux IP en question
port 53 UDP le temps que les adherents securisent leur DNS.

Merci a Guillaume Juge de fullsave.com pour son aide, on devrait
avoir des informations plus precises sur le parametrage
coté Cogent et s'aligner de notre coté.

Sincèrement,

Laurent

On Fri, 2012-09-14 at 14:16 +0200, Laurent GUERBY wrote:
> On Fri, 2012-09-14 at 14:02 +0200, laurent at guerby.net wrote:
> > Bonjour,
> > 
> > Le lien Cogent Toulouse-Paris est tombé vers 13h43 et le transit de 
> > backup
> > Jaguar coince a Marseille, la partie Toulousaine de tetaneutral.net
> > est donc actuellement coupée du reseau (hors TouIX), la partie ADSL
> > fonctionne toujours a priori.
> > 
> > Plus d'informations rapidement.
> > 
> > Sincèrement,
> > 
> > Laurent
> > 
> 
> Bonjour,
> 
> Tout est revenu a Toulouse vers 14h06, nous attendons d'avoir plus
> d'information.

More information about the Tetaneutral mailing list