J'ai peut-être raté un truc mais si tu demandes à Cogent de filtrer les paquets en outbound vers ton port 53, sauf pour tes DNS, ça limite pas la casse ? J'ai cru comprendre que tes DNS n'étaient pas la cible, donc ça doit le faire.
Le 26 sept. 2017 à 22:08, Jeremy a écrit : > Bonjour, > > Depuis quelques jours, nous recevons de nombreuses attaques semblant provenir > d'un bot commandé (probablement un booter payant facturé à l'heure). On a > relevé énormément de routeurs Mikrotik pas à jour qui sont commandés pour > faire de l'amplification DNS avec spoofing. On tourne autour de 40-60 Gb/s en > continue. > > La particularité de l'attaque est que le mec s'amuse à faire une rotation > d'IP en piochant au pif dans les prefix qu'on annonce (on annonce > l'équivalent d'un /19). Ca a tendance à fortement saturer les tuyaux > (transport), et à faire sérieusement ramer notre infra Wanguard qui a du mal > à suivre (de toute façon, comme ça sature au dessus...). > J'ai l'idée de demander à Cogent (transitaire par lequel ça passe le plus, > logique...) de rajouter une ACL pour filtrer le port 53 mais quid de notre > capacité à résoudre les hostname depuis les root dns servers ?! Je pense que > si on fait ça, on peut dire adieux à notre indépendance et bonjour à 8.8.8.8 > partout (grosse galère en perspective). Pour le moment, je garde cette option > en solution ultime. > > Bref, comme j'en ai marre de jouer avec BGP depuis samedi pour limiter la > casse, je vais finir par rajouter un transitaire protégé le temps que ça > passe. L'idée d'un tunnel GRE permettant de nettoyer le trafic avant > d'arriver chez nous peut avoir du sens, ou alors un nouveau port de transit > en 10G sur lequel on nous livrerais du transit déjà nettoyé. > > Si certains d'entre-vous ont une solution technique efficace capable de > traiter très efficacement cette typologie, de mettre en place une solution > d'urgence pour nous filer un coup de main, et si possible sans nous facturer > les deux reins, ça serait très très apprécié. > > En MP si vous avez besoin de plus d'infos ! > Merci, > Jérémy > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
