Salut Emmanuel, > Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de > transit BGP (quelques 10G). > Cette année, j'ai le souhait de demander à chaque opérateur de transit > de prendre la charge d'un éventuel DDoS directement au niveau de son > backbone. > > Avez-vous des retours d'expérience sur les solutions anti-DDoS (Arbor, > etc.) proposées par les opérateurs de transit et surtout leur efficacité > en conditions réelles ?
Retours d'expérience: cher et autant le faire soit même avec les bonnes communautés BGP, tel a été le choix d'un de mes précédents jobs. Surtout quand on peux écraser la merde sur les routers border avec soit des ACL soit du BGP Flowspec :) En général le prix étant tellement plus élevé que prendre du tuyaux et négo des commits que pour cette expérience le résultat a été celui là. Surtout que les IX commencent a donner les moyen de null router les ips cibles (ou mieux shut la connection sur l'IX et attendre via flowspec / arbor / whatever que ca se calme). > Ou avez-vous plutôt privilégié des solutions BGP de pure player (Qrator, > etc.) ? Jamais testé, elles n'existaient pas (ou débutais à l'époque). Pour certains trucs un CDN a été utilisé pour limiter l'impact de l'appeau a DDoS. :) Après ça fait quelques temps et donc le paysage a peut-être changé... (eg je sais pas si des transitaires sont BGP Flowspec compatibles par exemple). Ne pas oublier, certains traffic pourris viennent AUSSI des IX, et si tu as donc des IX a gérer, et bien les protection des transitaires peuvent être useless. Ah aussi tu leur donne confiance car tu dois ajouter une route de tes prefix dans leur AS... A toi de voir jusqu'où vas ta confiance en eux.... :) Xavier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/