Hello Le 19 juin 2013 12:30, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> > Quelle solution existe t'il sans passer par des solutions de type arbor > afin de contrer des attaques DDOS quand on est une petite boite ? > Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement annoncés, via du trafic légitime détourné, pas grand chose, voire rien. Soit tu null route les destinations, pour protéger l'infra (mais l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. Évidemment, je pars du principe que les postulats de base sont respectés (application strict de la BCP38, filtrage de la RFC1918 en entrée sur tes ports de transit/peering, etc.). La limite c'est la taille de tes ports de transit et/ou peering. Si tu as 10G de capa, et que tu prends 12G de traf "légitime" (botnet) sur un scope annoncé chez toi ... il n'y a que ton transitaire qui puisse faire quelque chose en amont. > Si l'upstream n'est pas capable de null router le trafic ddos sur demande > comment faire !? > Change de transitaire. > Je me doute que de nombreuse petite boite ne peuvent pas se permettre > d'acheter et installer de l'arbor sur leur infra réseau, comment et > quesqu'elles utilisent pour sécuriser ? > Elles prennent le risque. La période n'est pas facile pour ces boites, car les DDOS se multiplient et seuls ceux qui ont une taille critique peuvent investir dans l'infra nécessaire (ou les services nécessaires chez leur transitaire). > Beaucoup d'entre elle prone le libre, existe t'il une solution opensource > pour sécuriser un peux leur réseau et outils de détection ? > Pas à ma connaissance sur la partie filtering pur (c'est pas mal de hardware). Sur les manipulations BGP, tu as bien sur des outils libres. Si tu veux faire du filtrage applicatif, les outils existent (snort ?), mais là on est plus du tout dans la protection contre le DDOS. > Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? > Qu'essaye tu de proteger ? Les destinations ou ton infra ? > Est-il possible de faire un filtre au niveau des switchs manageable afin > de limiter les dégats ? > Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au trafic légitime, la seule distinction sera peut-etre un regex dans le champ applicatif... bon courage pour le filtrer sur un switch. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
