Bonjour, L'opérateur ne regarde pas ce qu'il passe dans le lien qu'il fournit au client enfin normalement :p (sauf si ça impacte sa prod) ... et si ça sature son intérêt à lui est de te vendre plus gros :)
David -----Original Message----- From: Jérémy Martin [mailto:li...@freeheberg.com] Sent: jeudi 16 mai 2013 09:37 To: David Ramahefason Cc: 'Nicolas Strina'; frnog@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Bah on impose l'utilisation d'un serveur DNS interne qui passe par un chemin non impacté par un rate-limit. L'intérêt de l'opérateur de le faire, c'est d'éviter que le port de livraison soit saturé par du trafic non légitime. On suppose que si on est livré en 1 Gb/s, l'upstream est en 10G et est capable d'encaisser la charge. Pour le coup, c'est le genre d'option qui est tout à fait facturable et sur lequel on est prêt à sortir 2-3 € :) Ca coutera toujours moins cher que de passer en port 10G. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux : 09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr Web : http://www.firstheberg.com Le 16/05/2013 09:33, David Ramahefason a écrit : > Bonjour, > > Personnellement je n'ai jamais vu d'upstream qui acceptait de > rate-limite à la place de leur client si je comprends bien ce que tu écris. > Après sur tes équipements tu peux sans doute le faire, mais comment > différencieras-tu le bon trafic du mauvais ? > > David > > -----Original Message----- > From: Jérémy Martin [mailto:li...@freeheberg.com] > Sent: jeudi 16 mai 2013 09:29 > To: David Ramahefason > Cc: Nicolas Strina; frnog@frnog.org > Subject: Re: [FRnOG] [TECH] Peering et attaques > > De manière plus générale, une communauté rate-limit avec les upstream > et une simple règle qui dit rate-limit DNS SNMP à 50 Mb/s > > Ca serais largement suffisant. Non ? > Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé > d'arrêter de nous bombarder avec leur root-server :( > > Cordialement, > Jérémy Martin > > Le 16/05/2013 09:23, David Ramahefason a écrit : >> ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y >> a pour le moment pas de solution si l'upstream ne gère pas la > fonctionalité. >> >> Pour en revenir au post initial, s'il y a déjà un TMS en place il >> serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? >> :p) pour la partie services (en coupure) non ?? De ma compréhension >> du produit c'est exactement ce pour quoi il est fait. >> Apres je ne sais pas si le CS du coup en local est "utile" par contre. >> >> >> >> Le 16 mai 2013 09:09, David Ramahefason <r...@netfacile.net> a écrit : >> >>> Salut Nicolas :) >>> >>> ah oui sur l'upstream ne gère pas de CS cela peut poser problème >>> mais il y a des fournisseurs de service de CS en remote (après je ne >>> connais pas l'efficacité d'une telle utilisation): >>> >>> http://www.arbornetworks.com/products/cloud-signaling-coalition >>> >>> A+ >>> >>> >>> >>> Le 16 mai 2013 07:29, Nicolas Strina >>> <nicolas.str...@jaguar-network.com>a > écrit : >>> >>> -----BEGIN PGP SIGNED MESSAGE----- >>>> Hash: SHA1 >>>> >>>> Bonjour, >>>> >>>>> Bonsoir, >>>>> >>>>> Pour les attaques applicatives c'est le Pravel de chez Arbor (qui >>>>> se >>>> met en coupure) qu'il faut avec un Cloud signaling sur les Peak >>>> Flow des upstream ou sur le sien. >>>> >>>> Sauf que dans son cas il faut que son upstream provider supporte le >>>> cloud signaling. On est 1 ou 2 en France à pouvoir le faire. >>>> Sans ça tu satures quand même tes liens .. De mémoire Cogent ne >>>> fait pas ça .. C'est la seule alternative viable pour le moment >>>> (pour bien avoir bossé sur le sujet). >>>> On avait déjà signalié ce type d'attaque lors d'une présentation >>>> avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). >>>> >>>> A+ >>>> >>>>> >>>>> Cordialement >>>>> >>>>> David R. >>>>> >>>>> >>>>> -----Original Message----- From: frnog-requ...@frnog.org [mailto: >>>> frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi >>>> 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: >>>> [FRnOG] [TECH] Peering et attaques >>>>> >>>>> Pas les moyens pour le moment. De plus, si le port 1Gb/s est >>>>> saturé en >>>> amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on >>>> sait déjà le faire nous même automatiquement. >>>>> >>>>> Cordialement, Jérémy Martin >>>>> >>>>> Le 15/05/2013 22:51, Moncef ZID a écrit : >>>>>> Une solution : Arbor Networks Peak Flow SP et TMS Une solution >>>> efficace pour le Peering et pour le DDOS >>>>>> >>>>>> Moncef ZID Manaraway Consulting Co-Founder and Strategic >>>>>> Developement >>>> Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : >>>> www.manaraway.com Email: zmon...@manaraway.com Consulting Audit >>>> and Training Data Center , Security , Cloud , Application >>>> Delivery >>>>>> >>>>>> >>>>>> >>>>>> -----Original Message----- From: frnog-requ...@frnog.org [mailto: >>>> frnog-requ...@frnog.org] On Behalf >>>>> Of >>>>>> Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: >>>> frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques >>>>>> >>>>>> Bonjour, >>>>>> >>>>>> On est confronté à un problème qui nous embarrasse pas mal ces >>>>>> temps >>>> ci. On a la chance de pouvoir utiliser plusieurs points de peerings >>>> : - FranceIX - Sfinx -Equinix - Amsix >>>>>> >>>>>> Le problème c'est qu'on se prend souvent des attaques par >>>>>> amplification >>>>> DNS >>>>>> et que tout cumulé, bah ça coince à un moment donné (même en 10G)... >>>> Du coup, on regarde si certains ont la possibilité d'appliquer des >>>> rate-limit port 53 de manière drastique sur les ports de livraisons. >>>> Mais ça ne semble pas possible (ce qu'on peut comprendre parla >>>> défense >>>>> d'une >>>>>> certaine neutralité). >>>>>> >>>>>> Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? >>>>>> (ou >>>> les moyens de le proposer sur ceux cité) ? >>>>>> >>>>>> Coté transitaire, évidemment, on est obligé de se débrouiller >>>> autrement (blackhole, ou autre), mais seul Cogent nous bombarde du >>>> 10Gb/s d'ampli >>>>> DNS >>>>>> et considère ça normal (sachant que le Root de Cogent est juste >>>> derrière à Londres...). >>>>>> >>>>>> Merci pour vos remarques et commentaires pertinents, >>>>>> >>>>>> -- Cordialement, Jérémy Martin >>>>>> >>>>>> >>>>>> ______________________________ FreeHeberg.com : Osez >>>>>> l'hébergement >>>> gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go >>>>>> >>>>>> >>>>>> --------------------------- Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>>>> >>>>>> >>>>>> --------------------------- Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>>>> >>>>> >>>>> >>>>> >>>>> --------------------------- Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>>> >>>>> >>>>> --------------------------- Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>>> >>>> >>>> >>>> - -- >>>> Nicolas STRINA >>>> >>>> Jaguar Network Switzerland >>>> Boulevard Georges Favon, 19 >>>> CH - 1024 Genève >>>> >>>> More Than Your Hosting Company >>>> >>>> Tel : +33 4 88 00 65 16 >>>> Gsm : +33 6 18 20 49 55 >>>> >>>> Std : +41 8 40 65 61 11 >>>> Fax : +33 4 88 00 65 25 >>>> >>>> URL: <http://www.jaguar-network.ch/> Support 24+7 : >>>> supp...@jaguar-network.ch -----BEGIN PGP SIGNATURE----- >>>> Version: GnuPG/MacGPG2 v2.0.18 (Darwin) >>>> Comment: GPGTools - http://gpgtools.org >>>> Comment: Using GnuPG with undefined - http://www.enigmail.net/ >>>> >>>> iEYEARECAAYFAlGUbpwACgkQhVupqbmzoseLTACgpoEBCPs1dr34r6EbFVNSj/gd >>>> 3xMAoJZOrjPKGM+71Z2S+xeWpiaemTjc >>>> =rnGs >>>> -----END PGP SIGNATURE----- >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>> >>> >>> >>> >>> -- >>> David Ramahefason >>> r...@netfacile.net >>> >> >> >> > > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
