Le 3 avril 2014 19:01, Sarah Nataf a écrit : > > 2014-04-03 18:39 GMT+02:00 Tristan PILAT : > >> Le 3 avril 2014 18:10, Sarah Nataf a écrit : >> >>> 2014-04-03 16:13 GMT+02:00 Tristan PILAT : >>> >>>> Je me pose en revanche une question; si l'on dispose de deux voisins BGP >>>> >>>> (deux fournisseurs de trafic) et que lors d'une attaque DDoS on >>>> identifie >>>> le lien par lequel l'attaque arrive, on annonce alors à ce voisin BGP en >>>> particulier notre IP à "blackholer". L'attaque sera-t-elle forcément >>>> re-dirigée dans les mêmes proportions vers l'autre lien ? (j'aurais >>>> envie >>>> de dire oui) >>>> >>> >>> Il faut distinguer la signalisation (BGP) et le trafic. Lorsque le >>> filtrage du /32 est pris en compte par AS1, le trafic est jeté sur l'AS1. >>> Par contre côté signalisation BGP : on suppose que l'échange du /32 est >>> local à AS1 et son client (on ne redistribue pas plus petit que /24 entre 2 >>> AS sauf accord explicite type celui-ci), donc vu du reste de l'Internet il >>> n'y a aucun changement dans les routes (la signalisation) => a priori >>> aucune raison que le trafic soit rerouté vers d'autres chemins. Ainsi >>> l'attaque DDOS n'a pas de raison d'être redirigée sur l'autre lien. >>> >> >> Merci pour la réponse ! >> >> ---------- ---------- ---------- >> | AS5 |----------| AS6 |----------| AS7 | >> --------- --------- ---------- >> | | | >> --------- --------- ---------- >> | AS2|-----------| AS3 |----------| AS4 | >> --------- --------- ---------- >> \ / >> \ / >> --------- >> | AS1| >> --------- >> >> Pour clarifier, dans le cas présent par exemple, si l'AS1 constate qu'il >> est attaqué sur le lien AS3 sur l'IP 1.2.3.4, il envoie alors son préfixe >> /32 à "blackholer" à l'AS3. Supposons que les IP utilisées pour attaquer >> l'IP 1.2.3.4 proviennent de l'AS5, l'AS6 et l'AS7, en quoi est ce que le >> trafic "blackholé" par L'AS3 ne serait-il pas redirigé vers l'AS2 pour >> arriver sur l'IP 1.2.3.4 dans l'AS1 ? >> > > Mettons que AS1 annonce 1.2.3.0/24 vers l'Internet, et que AS5, 6 et 7 > préfèrent la route via AS3 : tout le trafic provenant de ces AS et à > destination du /24 arrive sur AS3, qui l'achemine vers AS1 via son lien > direct. > Si AS1 annonce un /32 à blackholer à AS3, AS3 ne redistribue pas ce /32 : > il n'y a donc aucun changement BGP pour l'annonce du /24 vu des AS 2 à 7. > Donc, tout le trafic à destination du /24 de AS5, AS6 et AS7 arrive > toujours sur AS3 : AS3 jette les paquets à destination de la /32 et > continue à acheminer le reste. Il n'y a pas de redirection automatique de > l'attaque. > > Avec le même raisonnement, si l'on fait cette fois-ci l'hypothèse que 30% > du trafic arrive par le lien AS2-AS1 et 70% par AS3-AS1 lors de l'attaque, > et bien via le blackhole sur AS3, 70% du trafic DDOS sera jeté (celui via > AS3) et 30% de l'attaque arrivera toujours sur AS1 (via le lien AS2-AS1). > Toujours pas de redirection de l'attaque, car vu de l'Internet > (AS2,4,5,6,7), il n'y a aucun changement de chemin vers 1.2.3.0/24. Seul > AS3 connaît la plus spécifique, et pour lui la destination c'est /dev/null. >
Ok, l'annonce reste locale puisque non redistribuée, ce qui induit que typiquement des utilisateurs légitimes situés dans des AS passant par le lien AS2-AS1 se verraient toujours dans la possibilité d'accéder au service en question. Plutôt sympa. > -- > sarah > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
