<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 27, 2017 at 12:48 PM, Jeremy Stanley <span dir="ltr"><<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2017-10-26 22:26:59 -0400 (-0400), Mohammed Naser wrote:<br>
[...]<br>
> The use-case for us is that it helps us easily identify or find VMs which<br>
> we get any abuse reports for (or anything we see malicious traffic going<br>
> to/from).  We usually search for an *exact* match of the IP address as we<br>
> are simply trying to perform a lookup of instance ID based on the IP<br>
> address.  Regex matching isn't important in our case.<br>
[...]<br>
<br>
Does it allow you to identify which instance had that IP address<br>
over a specific timeframe? One problem we encounter is that we get<br>
abuse reports forwarded from our service providers telling us that<br>
our instance with some particular IP address was performing port<br>
scans or participating in a denial of service attack, and invariably<br>
when we check our logs we did not have an instance with that IP<br>
address at the timeframe indicated by the original abuse reporter<br>
(we had an instance with that IP address at some point for an hour<br>
or two maybe, but not until days later when the abuse team went<br>
checking to see who was responsible, and yet they tend to just<br>
assume everyone has long-lived instances and that IP addresses don't<br>
bounce around from tenant to tenant with great frequency).<br></blockquote><div><br></div><div>Unfortunately, it does not, which means if the VM is gone, it is much harder at finding the exact source of the abuse at the time.  However, generally, in our experience, malicious VMs are not short lived but they are long lived.  We'll generally find them running before we received the report which means that the abuse report came for that user indeed.</div><div><br></div><div>The other nice thing which I noticed is that Neutron generally doesn't re-use IPs until it cycles the entire subnet/CIDR, so if you have a large number of IPs and you don't have a big churn in VMs, it's unlikely that a VM will get the same IP in a short period of time.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
It seems like OpenStack could generally benefit from a mechanism for<br>
correlating abuse complaints to specific instances/tenants in a way<br>
that allows performing time-based lookups as well. Compute instances<br>
are ephemeral, so treating abuse complaints the same as you would in<br>
a dedicated hosting environment doesn't really work so well.<br>
<span class="HOEnZb"><font color="#888888">--<br>
Jeremy Stanley<br>
</font></span><br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br><div class="gmail_signature" data-smartmail="gmail_signature"><br></div>
</div></div>