Ca se discute.
Ici, l'OP n'a pas précisé quels liens étaient saturés. J'assume qu'il parlait de ses propres liens à lui (l'uplink avec ses 2 upstreams) et non pas les liens de ses opérateurs upstream, qui doivent être un peu plus costauds. Ainsi, s'il fait dropper par ses upstreams le trafic 80/udp, ça va très largement l'aider. Evidemment et comme soulevé maintes fois déjà, c'est une solution qui présente des contraintes, notamment le temps de réaction des transitaires. On 12/26/11 5:46 PM, Guillaume Esnault wrote: > Bonjour à tous et bonnes fêtes, > > Quand l'attaque est à la vitesse des liens, il n'est plus possible de > filtrer avec quoi que ce soit. La cible doit être null routée au niveau > des opérateurs (via une communauté BGP spéciale). > > La seule solution qui reste est d'utiliser un CDN couplé à des serveurs > de nom spéciaux permettant de distribuer la charge intelligemment. > > Des acteurs majeurs comme Microsoft/Google on vu leur réseau mis à plat > par des dénis de services et n'ont eu d'autre choix que de passer par un > CDN (Akamai en l'occurrence). > > Internet'ment vôtre, > > Guillaume Esnault > Digicube sas > > > Le lundi 26 décembre 2011 à 12:04 +0100, Charles Delorme a écrit : >> Bonjour, >> >> Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de >> service depuis dimanche matin 7h heure locale. La très grosse majorité des >> paquets est en udp/80 à destination de nos deux liens, completel >> (213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu >> en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous >> vous doutez qu'elle varie beaucoup. >> >> Les supports des deux opérateurs sont bien sûr prévenus. >> >> Si en plus certains d'entre vous ont la possibilité de bloquer au moins le >> traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous >> pemettrait de respirer un peu. >> >> Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail >> perso car pour l'instant nos accès sont saturés. >> >> Merci beaucoup et joyeux Noël à tous :-) >> >> Charles Delorme >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
