On 12/26/11 12:04 PM, Charles Delorme wrote: > Bonjour, > > Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de > service depuis dimanche matin 7h heure locale. La très grosse majorité des > paquets est en udp/80 à destination de nos deux liens, completel > (213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu > en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous > doutez qu'elle varie beaucoup. >
S'agissant d'UDP les IPs source sont très probablement spoofées. Je ne vois aucun intérêt à de l'UDP port 80 alors déjà tout ça vous pouvez dropper direct. Ensuite, pour du TCP vous pouvez activer sur vos firewalls du SYN Proxy, ça évitera à vos serveurs de backend d'essayer d'établir des sessions TCP avec des IPs spoofées qui ne répondront jamais à SYN_ACK. > Les supports des deux opérateurs sont bien sûr prévenus. > > Si en plus certains d'entre vous ont la possibilité de bloquer au moins le > traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous > pemettrait de respirer un peu. > > Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail > perso car pour l'instant nos accès sont saturés. > > Merci beaucoup et joyeux Noël à tous :-) > > Charles Delorme > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
