Le 4 avril 2014 12:21, Xavier Beaudouin a écrit : > Hello, > Le 4 avr. 2014 à 08:35, Philippe Bourcier a écrit : > > > > > Bonjour, > > > > On fait et faisait un truc basique sur les serveurs IRC (depuis les > années 2000 (old!)), pour se prémunir des pertes business liées aux DDoS > (coucou Pascal Gloor et Nicolas Strina)... > > > > On se prenait une /24 PI qu'on annonçait depuis le serveur IRC à travers > une seconde NIC... dès qu'on détectait une attaque, on droppait l'annonce > et "hop, le DDoSseur DDoSsé". En effet, une fois la route disparue du net, > c'est le réseau source du DDoS qui s'en prend plein la tête (ICMP > unreachable), ce qui permet à l'admin du réseau en question de se rendre > compte qu'il y a un soucis chez lui. > > > > Bien sure ce n'est valable que pour un service "perdable", mais ça a > sauvé des business et c'est totalement KISS. > > Depuis les transits permettent des systèmes un peu plus sophistiqués, > mais pour un truc comme de l'IRC, tu n'as pas forcément envie de t'embêter > (et puis l'IPv4 n'était pas bien chère et rare à l'époque :)). > > > > C'est la technique que j'avais utilisé pour un service de DNS gratis qui > se faisais souvent DDoS. > > Principe un PI/24. > > Un serveur ayant 10Mbps (ca suffit largement pour du traffic DNS "normal"). > > Du BGP Dampening... réglé a 45 minutes... :D > > Et hop :) > > En cas de DDoS ca saute, puis ca re-saute, et puis le dampening se met en > branle et donc l'annonce disparait... > > Ok ca fait le service qui n'est pas dispo, mais ca protège et ca laisse > les relou s'énerver tout seul. > > Xavier
Si j'ai bien compris, ici la technique de dampening permet en faite à notre daemon BGP, lors d'une attaque, de ne plus annoncer son préfixe à l'AS voisin. Le lien étant saturé, notre routeur reçoit des annonces de la part de l'AS voisin en dents de scie et donc finit par ne plus lui annoncer son préfixe. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
