Mon message n'est pas passé Mais le ddos va pas durer non plus ? > -----Message d'origine----- > De : p...@maunier.fr [mailto:p...@maunier.fr] De la part de Pierre-Yves > Maunier > Envoyé : mercredi 19 juin 2013 16:42 > À : Antoine Durant > Cc : guillaume.bar...@gmail.com; frnog-tech > Objet : Re: [FRnOG] [TECH] Au bord du suicide > > n'importe quel opérateur va supporter un null-route de la destination c'est à > dire l'ip attaquée chez toi. > > Ca permet juste au trafic DDOS de ne pas rentrer sur ton réseau, cependant > l'ip attaquée n'est pas joignable : l'attaquant a gagné. > > Dans le cas présent le mec s'amuse apparemment à ddos l'ensemble du > /22 : null-router le /22 revient à perdre toute connectivité et donc toute > source de revenus. > > Il faut donc un transitaire capable de faire un filtrage intelligent ayant une > solution chez lui type arbor : > -> le trafic est re-routé dans le réseau du transitaire vers un > boitier qui va filtrer l'indésirable pour balancer le légitime uniquement. > > Ca coute cher parce que : un arbor c'est assez efficace mais pour que ca > fonctionne il faut : > Des sondes netflow qui vont détecter l'attaque et ces sondes coutent cher. > (Arbor Peakflow) Une fois que l'attaque est détectée il faut la mitiger avec un > boitier dédié (Arbor TMS), qui n'est pas donné non plus. > > Le prix d'un meg sécurisé est certes beaucoup plus cher mais il faut > comprendre qu'on ne paye que le meg entrant filtré donc quasiment rien. > > Imaginons que tu sois un hébergeur et sur tes transits tu as 1G en out et > 100M en in. > > Tu as UNE ip qui se prend 2G de DDOS, chez l'opérateur les 2G sont redirigés > vers le boitier, et il ne ressort que le légitime qui va etre de 5 ou 6 mbits on va > dire pour 1 IP dest. > > Tu vas payer plein d'euros le mega mais que pour 6 meg donc voilà quoi ca > reste raisonnable. Le setup est cher mais une solution anti ddos c'est comme > une assurance, ça coute cher mais quand ca sert t'es content de l'avoir. > > Peut-etre que les modèles de revente de solutions anti-ddos ont changés > mais à ma connaissance certains font comme ça. > > A ma connaissance, aujourd'hui Neo, Jaguar et Colt disposent d'Arbor TMS > sur leur réseau. > > Le 19 juin 2013 14:28, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > >> Si l'upstream n'est pas capable de null router le trafic ddos sur > >> demande comment faire !? > >> > >>>Change de transitaire. > > > > Oui solution simple (sur le papier) et efficasse... Par contre je pensais que > Cogent avait la possibilité de null router sur demande ! > > > >> Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? > >> > >>>Qu'essaye tu de proteger ? Les destinations ou ton infra ? > > > > En général on essaye de protéger les deux non ? Peut être mettre plus > l'accent sur l'infra... > > > >> Est-il possible de faire un filtre au niveau des switchs manageable > >> afin de limiter les dégats ? > >> > >>>Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au > >>>trafic légitime, la seule distinction sera peut-etre un regex dans le > >>>champ applicatif... bon courage pour le filtrer sur un switch. > > Oui en réfléchissant cela va être plus compliqué, sauf à limiter la BP du port > afin d'éviter que le serveur qui est derrire pompe un max de BP... > > > > > > ________________________________ > > De : Guillaume Barrot <guillaume.bar...@gmail.com> À : Antoine Durant > > <antoine.duran...@yahoo.fr> Cc : Leslie-Alexandre DENIS - DCforDATA > > <lade...@dcfordata.com>; Jérémy Martin <li...@freeheberg.com>; > > frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 19 juin 2013 > > 13h55 Objet : Re: [FRnOG] [TECH] Au bord du suicide > > > > > > Hello > > > > Le 19 juin 2013 12:30, Antoine Durant <antoine.duran...@yahoo.fr> a écrit > : > > > >> > >> Quelle solution existe t'il sans passer par des solutions de type > >> arbor afin de contrer des attaques DDOS quand on est une petite boite ? > >> > > > > Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement > > annoncés, via du trafic légitime détourné, pas grand chose, voire rien. > > Soit tu null route les destinations, pour protéger l'infra (mais > > l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. > > Évidemment, je pars du principe que les postulats de base sont > > respectés (application strict de la BCP38, filtrage de la RFC1918 en > > entrée sur tes ports de transit/peering, etc.). > > > > La limite c'est la taille de tes ports de transit et/ou peering. Si tu > > as 10G de capa, et que tu prends 12G de traf "légitime" (botnet) sur > > un scope annoncé chez toi ... il n'y a que ton transitaire qui puisse > > faire quelque chose en amont. > > > > > >> Si l'upstream n'est pas capable de null router le trafic ddos sur > >> demande comment faire !? > >> > > > > Change de transitaire. > > > > > >> Je me doute que de nombreuse petite boite ne peuvent pas se > permettre > >> d'acheter et installer de l'arbor sur leur infra réseau, comment et > >> quesqu'elles utilisent pour sécuriser ? > >> > > > > Elles prennent le risque. La période n'est pas facile pour ces boites, > > car les DDOS se multiplient et seuls ceux qui ont une taille critique > > peuvent investir dans l'infra nécessaire (ou les services nécessaires > > chez leur transitaire). > > > > > >> Beaucoup d'entre elle prone le libre, existe t'il une solution > >> opensource pour sécuriser un peux leur réseau et outils de détection ? > >> > > > > Pas à ma connaissance sur la partie filtering pur (c'est pas mal de > > hardware). Sur les manipulations BGP, tu as bien sur des outils libres. > > Si tu veux faire du filtrage applicatif, les outils existent (snort > > ?), mais là on est plus du tout dans la protection contre le DDOS. > > > > > >> Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? > >> > > > > Qu'essaye tu de proteger ? Les destinations ou ton infra ? > > > > > >> Est-il possible de faire un filtre au niveau des switchs manageable > >> afin de limiter les dégats ? > >> > > > > Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au > > trafic légitime, la seule distinction sera peut-etre un regex dans le > > champ applicatif... bon courage pour le filtrer sur un switch. > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > -- > Pierre-Yves Maunier > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
