Salut Emmanuel,

> Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de
> transit BGP (quelques 10G).
> Cette année, j'ai le souhait de demander à chaque opérateur de transit
> de prendre la charge d'un éventuel DDoS directement au niveau de son
> backbone.
> 
> Avez-vous des retours d'expérience sur les solutions anti-DDoS (Arbor,
> etc.) proposées par les opérateurs de transit et surtout leur efficacité
> en conditions réelles ?

Retours d'expérience: cher et autant le faire soit même avec les bonnes 
communautés BGP,
tel a été le choix d'un de mes précédents jobs. Surtout quand on peux écraser 
la merde
sur les routers border avec soit des ACL soit du BGP Flowspec :)

En général le prix étant tellement plus élevé que prendre du tuyaux et négo des 
commits
que pour cette expérience le résultat a été celui là. 

Surtout que les IX commencent a donner les moyen de null router les ips cibles 
(ou mieux
shut la connection sur l'IX et attendre via flowspec / arbor / whatever que ca 
se calme).

> Ou avez-vous plutôt privilégié des solutions BGP de pure player (Qrator,
> etc.) ?

Jamais testé, elles n'existaient pas (ou débutais à l'époque). Pour certains 
trucs un CDN
a été utilisé pour limiter l'impact de l'appeau a DDoS. :)

Après ça fait quelques temps et donc le paysage a peut-être changé...  (eg je 
sais pas si 
des transitaires sont BGP Flowspec compatibles par exemple).

Ne pas oublier, certains traffic pourris viennent AUSSI des IX, et si tu as 
donc des IX a 
gérer, et bien les protection des transitaires peuvent être useless. Ah aussi 
tu leur donne
confiance car tu dois ajouter une route de tes prefix dans leur AS... A toi de 
voir jusqu'où
vas ta confiance en eux.... :)

Xavier


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à