2014-04-03 18:39 GMT+02:00 Tristan PILAT <tristan.pi...@gmail.com>: > Le 3 avril 2014 18:10, Sarah Nataf a écrit : > >> 2014-04-03 16:13 GMT+02:00 Tristan PILAT : >> >>> Je me pose en revanche une question; si l'on dispose de deux voisins BGP >>> (deux fournisseurs de trafic) et que lors d'une attaque DDoS on identifie >>> le lien par lequel l'attaque arrive, on annonce alors à ce voisin BGP en >>> particulier notre IP à "blackholer". L'attaque sera-t-elle forcément >>> re-dirigée dans les mêmes proportions vers l'autre lien ? (j'aurais envie >>> de dire oui) >>> >> >> Il faut distinguer la signalisation (BGP) et le trafic. Lorsque le >> filtrage du /32 est pris en compte par AS1, le trafic est jeté sur l'AS1. >> Par contre côté signalisation BGP : on suppose que l'échange du /32 est >> local à AS1 et son client (on ne redistribue pas plus petit que /24 entre 2 >> AS sauf accord explicite type celui-ci), donc vu du reste de l'Internet il >> n'y a aucun changement dans les routes (la signalisation) => a priori >> aucune raison que le trafic soit rerouté vers d'autres chemins. Ainsi >> l'attaque DDOS n'a pas de raison d'être redirigée sur l'autre lien. >> > > Merci pour la réponse ! > > ---------- ---------- ---------- > | AS5 |----------| AS6 |----------| AS7 | > --------- --------- ---------- > | | | > --------- --------- ---------- > | AS2|-----------| AS3 |----------| AS4 | > --------- --------- ---------- > \ / > \ / > --------- > | AS1| > --------- > > Pour clarifier, dans le cas présent par exemple, si l'AS1 constate qu'il > est attaqué sur le lien AS3 sur l'IP 1.2.3.4, il envoie alors son préfixe > /32 à "blackholer" à l'AS3. Supposons que les IP utilisées pour attaquer > l'IP 1.2.3.4 proviennent de l'AS5, l'AS6 et l'AS7, en quoi est ce que le > trafic "blackholé" par L'AS3 ne serait-il pas redirigé vers l'AS2 pour > arriver sur l'IP 1.2.3.4 dans l'AS1 ? >
Mettons que AS1 annonce 1.2.3.0/24 vers l'Internet, et que AS5, 6 et 7 préfèrent la route via AS3 : tout le trafic provenant de ces AS et à destination du /24 arrive sur AS3, qui l'achemine vers AS1 via son lien direct. Si AS1 annonce un /32 à blackholer à AS3, AS3 ne redistribue pas ce /32 : il n'y a donc aucun changement BGP pour l'annonce du /24 vu des AS 2 à 7. Donc, tout le trafic à destination du /24 de AS5, AS6 et AS7 arrive toujours sur AS3 : AS3 jette les paquets à destination de la /32 et continue à acheminer le reste. Il n'y a pas de redirection automatique de l'attaque. Avec le même raisonnement, si l'on fait cette fois-ci l'hypothèse que 30% du trafic arrive par le lien AS2-AS1 et 70% par AS3-AS1 lors de l'attaque, et bien via le blackhole sur AS3, 70% du trafic DDOS sera jeté (celui via AS3) et 30% de l'attaque arrivera toujours sur AS1 (via le lien AS2-AS1). Toujours pas de redirection de l'attaque, car vu de l'Internet (AS2,4,5,6,7), il n'y a aucun changement de chemin vers 1.2.3.0/24. Seul AS3 connaît la plus spécifique, et pour lui la destination c'est /dev/null. -- sarah --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
