Bonjour, Nous avons été victimes d'une attaque récemment de la part d'un serveur d'un client qui s'est fait hacké (via une faille php). La machine a tenté d'envoyer environ 300 Mbps de trafic qui a été rate-limité à une centaine de Mbps par des policy sur les switches.
Jusqu'ici, rien de bien surprenant. Le souci est que ce trafic sortant du serveur a écroulé l'un de nos firewall (un fortigate) sur tous ses VDOM (les graphes que l'on a montrent une montée en charge du forti de 20 à 40%, un niveau stable de session (10% du max constructeur)). L'architecture est la suivante : le serveur est connecté sur un switch, lui-même connecté à un routeur, lui-même connecté au firewall. Le firewall annonce une route par défaut au routeur qui agit comme passerelle pour le serveur. Ceci permet de gérer assez simplement les redondances. [Serveur]-<--->[Switching]<--->[routeur (gw du serveur]<--->[firewall]<---...--->[Internet] La chose qui m'étonne le plus est que nous avons tenté de désactivé le VDOM en question, ce qui n'a pas réglé le problème : l'annonce BGP est pourtant tombé et le routeur n'avait donc plus aucune raison d'envoyer du trafic au firewall (plus de route par défaut). le fait d'enlever la gateway du routeur a en revanche stoppé net le dysfonctionnement du firewall. Evidemment, j'ai pensé que le pb pouvait être lié au routeur et non au firewall, mais cela ne m'explique pas pourquoi certains VDOM qui ne passent pas par ce routeur semblaient impactés. Avez vous des hypothèses sur ce qui a pu se passer? J'ai remis en route le serveur en question sur un firewall de test mais évidemment celui-ci se comporte maintenant comme un gentleman. J'attend donc que l'attaque reprenne, si d'aventure cela arrive. Connaissez vous des outils qui permettraient de faire des stress tests sur le firewall, afin de tenter de reproduire le dysfonctionnement? Nous serions prêts a prendre une prestation d'expertise pour ce diagnostic, si des personnes sont intéressés, qu'elles me contactent par mail privé. Bien Cordialement, Gautier AVRIL --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
