Le 3 avril 2014 18:10, Sarah Nataf a écrit :
> Bonjour,
>
> 2014-04-03 16:13 GMT+02:00 Tristan PILAT :
>
>> Bonjour,
>>
>>
>> La première consistant lors d'une attaque sur une IP précise à annoncer un
>> préfix /32 à son fournisseur de trafic via une communauté BGP pour
>> "blackholer" le trafic vers cette IP. Cette méthode semble fonctionner et
>> a
>> (...)
>>
>> Je me pose en revanche une question; si l'on dispose de deux voisins BGP
>> (deux fournisseurs de trafic) et que lors d'une attaque DDoS on identifie
>> le lien par lequel l'attaque arrive, on annonce alors à ce voisin BGP en
>> particulier notre IP à "blackholer". L'attaque sera-t-elle forcément
>> re-dirigée dans les mêmes proportions vers l'autre lien ? (j'aurais envie
>> de dire oui)
>>
>
> Il faut distinguer la signalisation (BGP) et le trafic. Lorsque le
> filtrage du /32 est pris en compte par AS1, le trafic est jeté sur l'AS1.
> Par contre côté signalisation BGP : on suppose que l'échange du /32 est
> local à AS1 et son client (on ne redistribue pas plus petit que /24 entre 2
> AS sauf accord explicite type celui-ci), donc vu du reste de l'Internet il
> n'y a aucun changement dans les routes (la signalisation) => a priori
> aucune raison que le trafic soit rerouté vers d'autres chemins. Ainsi
> l'attaque DDOS n'a pas de raison d'être redirigée sur l'autre lien.
>
Merci pour la réponse !
---------- ---------- ----------
| AS5 |----------| AS6 |----------| AS7 |
--------- --------- ----------
| | |
--------- --------- ----------
| AS2|-----------| AS3 |----------| AS4 |
--------- --------- ----------
\ /
\ /
---------
| AS1|
---------
Pour clarifier, dans le cas présent par exemple, si l'AS1 constate qu'il
est attaqué sur le lien AS3 sur l'IP 1.2.3.4, il envoie alors son préfixe
/32 à "blackholer" à l'AS3. Supposons que les IP utilisées pour attaquer
l'IP 1.2.3.4 proviennent de l'AS5, l'AS6 et l'AS7, en quoi est ce que le
trafic "blackholé" par L'AS3 ne serait-il pas redirigé vers l'AS2 pour
arriver sur l'IP 1.2.3.4 dans l'AS1 ?
>
>
>> En faite j'aimerais que tout ça me soit confirmé.
>>
>
> Pour le reste OK dans les grandes lignes !
>
> Cdlt,
> --
> sarah
>
Bonne soirée,
Tristan
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
