Bonjour, Personnellement je n'ai jamais vu d'upstream qui acceptait de rate-limite à la place de leur client si je comprends bien ce que tu écris. Après sur tes équipements tu peux sans doute le faire, mais comment différencieras-tu le bon trafic du mauvais ?
David -----Original Message----- From: Jérémy Martin [mailto:li...@freeheberg.com] Sent: jeudi 16 mai 2013 09:29 To: David Ramahefason Cc: Nicolas Strina; frnog@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques De manière plus générale, une communauté rate-limit avec les upstream et une simple règle qui dit rate-limit DNS SNMP à 50 Mb/s Ca serais largement suffisant. Non ? Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé d'arrêter de nous bombarder avec leur root-server :( Cordialement, Jérémy Martin Le 16/05/2013 09:23, David Ramahefason a écrit : > ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y > a pour le moment pas de solution si l'upstream ne gère pas la fonctionalité. > > Pour en revenir au post initial, s'il y a déjà un TMS en place il > serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? > :p) pour la partie services (en coupure) non ?? De ma compréhension du > produit c'est exactement ce pour quoi il est fait. > Apres je ne sais pas si le CS du coup en local est "utile" par contre. > > > > Le 16 mai 2013 09:09, David Ramahefason <r...@netfacile.net> a écrit : > >> Salut Nicolas :) >> >> ah oui sur l'upstream ne gère pas de CS cela peut poser problème >> mais il y a des fournisseurs de service de CS en remote (après je ne >> connais pas l'efficacité d'une telle utilisation): >> >> http://www.arbornetworks.com/products/cloud-signaling-coalition >> >> A+ >> >> >> >> Le 16 mai 2013 07:29, Nicolas Strina <nicolas.str...@jaguar-network.com>a écrit : >> >> -----BEGIN PGP SIGNED MESSAGE----- >>> Hash: SHA1 >>> >>> Bonjour, >>> >>>> Bonsoir, >>>> >>>> Pour les attaques applicatives c'est le Pravel de chez Arbor (qui >>>> se >>> met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow >>> des upstream ou sur le sien. >>> >>> Sauf que dans son cas il faut que son upstream provider supporte le >>> cloud signaling. On est 1 ou 2 en France à pouvoir le faire. >>> Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait >>> pas ça .. C'est la seule alternative viable pour le moment (pour >>> bien avoir bossé sur le sujet). >>> On avait déjà signalié ce type d'attaque lors d'une présentation >>> avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). >>> >>> A+ >>> >>>> >>>> Cordialement >>>> >>>> David R. >>>> >>>> >>>> -----Original Message----- From: frnog-requ...@frnog.org [mailto: >>> frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi >>> 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: >>> [FRnOG] [TECH] Peering et attaques >>>> >>>> Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé >>>> en >>> amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on >>> sait déjà le faire nous même automatiquement. >>>> >>>> Cordialement, Jérémy Martin >>>> >>>> Le 15/05/2013 22:51, Moncef ZID a écrit : >>>>> Une solution : Arbor Networks Peak Flow SP et TMS Une solution >>> efficace pour le Peering et pour le DDOS >>>>> >>>>> Moncef ZID Manaraway Consulting Co-Founder and Strategic >>>>> Developement >>> Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : >>> www.manaraway.com Email: zmon...@manaraway.com Consulting Audit >>> and Training Data Center , Security , Cloud , Application Delivery >>>>> >>>>> >>>>> >>>>> -----Original Message----- From: frnog-requ...@frnog.org [mailto: >>> frnog-requ...@frnog.org] On Behalf >>>> Of >>>>> Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: >>> frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques >>>>> >>>>> Bonjour, >>>>> >>>>> On est confronté à un problème qui nous embarrasse pas mal ces >>>>> temps >>> ci. On a la chance de pouvoir utiliser plusieurs points de peerings >>> : - FranceIX - Sfinx -Equinix - Amsix >>>>> >>>>> Le problème c'est qu'on se prend souvent des attaques par >>>>> amplification >>>> DNS >>>>> et que tout cumulé, bah ça coince à un moment donné (même en 10G)... >>> Du coup, on regarde si certains ont la possibilité d'appliquer des >>> rate-limit port 53 de manière drastique sur les ports de livraisons. >>> Mais ça ne semble pas possible (ce qu'on peut comprendre parla >>> défense >>>> d'une >>>>> certaine neutralité). >>>>> >>>>> Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? >>>>> (ou >>> les moyens de le proposer sur ceux cité) ? >>>>> >>>>> Coté transitaire, évidemment, on est obligé de se débrouiller >>> autrement (blackhole, ou autre), mais seul Cogent nous bombarde du >>> 10Gb/s d'ampli >>>> DNS >>>>> et considère ça normal (sachant que le Root de Cogent est juste >>> derrière à Londres...). >>>>> >>>>> Merci pour vos remarques et commentaires pertinents, >>>>> >>>>> -- Cordialement, Jérémy Martin >>>>> >>>>> >>>>> ______________________________ FreeHeberg.com : Osez l'hébergement >>> gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go >>>>> >>>>> >>>>> --------------------------- Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>>>> >>>>> >>>>> --------------------------- Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>>>> >>>> >>>> >>>> >>>> --------------------------- Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>>> >>>> >>>> --------------------------- Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>>> >>> >>> >>> - -- >>> Nicolas STRINA >>> >>> Jaguar Network Switzerland >>> Boulevard Georges Favon, 19 >>> CH - 1024 Genève >>> >>> More Than Your Hosting Company >>> >>> Tel : +33 4 88 00 65 16 >>> Gsm : +33 6 18 20 49 55 >>> >>> Std : +41 8 40 65 61 11 >>> Fax : +33 4 88 00 65 25 >>> >>> URL: <http://www.jaguar-network.ch/> Support 24+7 : >>> supp...@jaguar-network.ch -----BEGIN PGP SIGNATURE----- >>> Version: GnuPG/MacGPG2 v2.0.18 (Darwin) >>> Comment: GPGTools - http://gpgtools.org >>> Comment: Using GnuPG with undefined - http://www.enigmail.net/ >>> >>> iEYEARECAAYFAlGUbpwACgkQhVupqbmzoseLTACgpoEBCPs1dr34r6EbFVNSj/gd >>> 3xMAoJZOrjPKGM+71Z2S+xeWpiaemTjc >>> =rnGs >>> -----END PGP SIGNATURE----- >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> >> >> >> -- >> David Ramahefason >> r...@netfacile.net >> > > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
