OVH Community, votre nouvel espace communautaire.

Indices d'une interception de trafic sur le réseau OVH.


Balinares
16/03/2016, 23h30
Je loue et gère depuis plusieurs année un serveur Kimsufi physiquement localisé dans le datacenter de Roubaix.

Ce serveur contient entre autres un serveur DNS qui me sert pour mes propres résolutions (il est basé sur le réseau DNS OpenNIC).

Seules les résolutions DNS qui proviennent de mon IP domestique (située chez Virgin Media) sont autorisées; les autres sont refusées et logguées.

Depuis le 29 février dernier, une IP interne à OVH (37.59.72.228) capture et tente de reproduire les queries DNS échangées entre mon réseau domestique et mon serveur Kimsufi.

Exemple: si depuis ma machine perso je fais:

Code:
[balinares@linux:~] $ host unetreslongueadressequinepeutetrelefruitduhasard.test.com
Alors dans les secondes qui suivent la ligne suivante apparaît dans les logs de mon serveur DNS:

Code:
Mar 16 22:55:34  named[19586]: error (connection refused) resolving 'unetreslongueadressequinepeutetrelefruitduhasard.test.com/A/IN': 37.59.72.228#53
En d'autres termes, la machine 37.59.72.228 se procure d'une façon ou d'une autre une copie de ma query et tente de la rejouer sur mon serveur.

C'est tout-à-fait singulier: depuis que les switchs sont devenus universels dans les datacenters, une machine ne devrait jamais voir le trafic d'une autre machine. Pas à moins qu'une capture de trafic avec un TAP/SPAN ne soit configurée par l'administrateur du switch.

Par ailleurs, cette machine est à 4 hops de mon serveur Kimsufi, donc même pas sur le même segment de réseau:

Code:
balinares@kimsufi:~ $ traceroute 37.59.72.228
traceroute to 37.59.72.228 (37.59.72.228), 30 hops max, 60 byte packets
 1  5.135.xxx.xxx (5.135.xxx.xxx)  20.365 ms  20.574 ms  20.503 ms
 2  10.21.50.250 (10.21.50.250)  1.085 ms  1.072 ms  0.960 ms
 3  10.21.57.250 (10.21.57.250)  10.556 ms * *
 4  10.21.57.10 (10.21.57.10)  10.283 ms  10.787 ms  10.149 ms
 5  * * 37.59.72.228 (37.59.72.228)  9.464 ms
Le nom netbios annoncé sur le réseau par la machine 37.59.72.228 est "DEMO-XTRACK-01".

XTRACK? De quoi s'agit-il?


EDIT: Bon, j'ai trouvé ce qui se passe. 37.59.72.228 est l'IP d'un serveur DNS OpenNIC précédemment mis à disposition par OVH, et depuis supprimé sans crier gare il y a quelques semaines. Du coup, les requêtes du réseau OpenNIC passaient parfois par ce serveur, de façon erronée. C'est bête, mais du coup, heureusement, ça ne prête pas autant à conséquence que les symptômes visibles le laissaient supposer. Pour les utilisateurs d'OpenNIC, il suffit d'interdire ce serveur, et tout rentre dans l'ordre.