Serveurs dédiés - Plainte d'une utilisation abusive de l'IPv6 par le service abuse d'OVH
... / Plainte d'une utilisation...
< Previous question   -   Next question >
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
Frage

Plainte d'une utilisation abusive de l'IPv6 par le service abuse d'OVH

E
Von
EmericV1
Erstellungsdatum 2024-04-25 08:30:15 (edited on 2024-09-04 12:55:30) in Serveurs dédiés

Bonjour tout le monde,

J'utilise un serveur SYS-1-SAT-32 qui a été avant-hier soir la cible d'une plainte du service abuse d'OVH en ces termes :
> Your server nsXXXXXXX.ip-xxx-xxx-xxx.eu is using too much IPv6 addresses for a normal use. We observed more than 145000 IPv6 being used which we cleared on the infra side.

Avec la mention suivante à la fin :
> Veuillez procéder immédiatement à la correction. Une nouvelle vérification sera effectuée sous 24 heures. Si le problème persiste et sans aucun retour de votre part votre offre sera suspendu.

Je ne suis pas une grosse brute en sécurité, mais je me défends tout de même bien en Linux, firewall et réseau. Après inspection sur ma machine, rien de suspect et ma table neighbor IPv6 (arp) n'est pas surchargée, loins de là. Je n'ai aucun accès SSH par mot de passe par exemple. Ce ticket m'a été envoyé à 21h passé, donc impossible de contacter le support et d'en savoir plus. J'ai donc désactivé l'IPv6 sur mon interface principale le temps d'en savoir plus.

Le lendemain, après un échange, _**je tiens à le souligner au passage, très efficace avec au moins deux personnes du service de support So-You-Start, par téléphone (réponse quasi immédiate) et par écrit**_, voici une première analyse personnelle :

OVH a constaté sur leur équipement(s) réseau(x) une liste d'association avec la MAC de mon serveur avec plusieurs centaines d'IPv6 sur mon préfixe en partant de ::0 à :::xxxx:yyyy (je n'ai pas plus de détails sur la fin). La liste d'IPv6 est contiguë partant de 0 (1, 2, 3, ...) et sur cet élément, il considère que mon serveur utilise trop d'IPv6 alors que de mon côté, j'ai au qu'une petite poignée de déclarée.

Me première réaction, c'est que ça ressemble beaucoup à un scan d'un bot qui chercherait à savoir la liste des IPv6 que j'utilise sur mon préfixe `/64`.

Jusque-là, test à l'appui (je mettrai les détails dans un autre post pour ne pas surcharger celui-ci), mon serveur qui agit en routeur (proxy NDP IPv4 et IPv6 pour mes VMs) renvoie une réponse `icmpv6` de type `destination-unreachable` avec ma MAC au routeur en amont si une IP de mon préfixe n'existe pas. Je suppose que la réponse de mon serveur engendre tout de même une entrée dans leur table, ce qui a déclenché cette alerte.

Si mon analyse est bonne, il y a quand même un gros souci d'interprétation du côté du service abuse... En tout cas, avant d'envoyer ce genre d'alerte, ils devraient au moins s'assurer que ça vient bien de mon serveur et que ce n'est pas un faux positif, ce qui n'est pas du tout reflété dans le ton employé dans le message du mail.

En attendant plus de détails de leur côté, j'ai rajouté deux règles IPTables (IPv4 et IPv6) pour dropper les paquets de type `destination-unreachable` en sortie sur mon interface réseau principale.

Voilà ! J'espère que ça en aidera d'autres qui tomberaient dans cette situation. Suite au prochain épisode...

Emeric
Positive Bewertungen (3)
566 Ansichten
Antworten sind derzeit für diese Frage deaktiviert.

Related questions

An Diskussion teilnehmen