> Imagine 1 million de drones (chaque sur un IP different) qui crache
chacune 10 Kbps (= rien)

1 million de postes hautement previsibles, qui en meme temps vont sur la
meme destination avec le meme protocole ? Le marketing a un nom pour ca :
des "clients" (et des bons mêmes, qui obéissent aux sacro saintes lois du
marketing : "dans une case tu rentreras")

Pour revenir au coeur du sujet, il fut un temps ou les bons sys res
montaient un peer bgp avec un Cymru like pour récupérer une liste de bogons
et filtrer les annonces BGP et ou filtrer les paquets entrant sur le
backbone qui en source matchent cette liste.

Pour ce genre d'attaque, deux cas possibles :
- la source fait partie des bogons --> poubelle
- la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos
amis de la lutte contre la cybercriminalite de maintenir ce genre de listes
d'attaques en cours, et de synchroniser les actions de contre mesures via
un système type flowspec (qui nous a gentillement été présente au dernier
Frnog justement dans un use case équivalent) ?

Sinon, aux xxNog de prendre le lead sur ce sujet, comme c'est le cas
maintenant, mais peut etre via un système plus rapide que le mail sur la
mailing list.

A+

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à