Hello,
Côté MilkyWan, on est passé derrière ServerD.
En moins de 20sec et parfois mois de 10 nous recevons le signal de
mitigation par webhook ce qui déclenche une réécriture de route-map pour
se faire aspirer le trafic.
En général, ils sont capables de détecter sur le ramp up de l'attaque,
donc en moins de 30 secondes on a à peu près divergé le trafic entrant
et limitons pas mal la casse.
Nous avons une grosse communauté de client fibre et quand ça coupe ou ça
ralentit, ça râle vite ! Avec ServerD, on a très peu de ressenti client.
Ce qui aide aussi énormément, c'est d'avoir des tuyaux de 40 À 100G. Les
backbones à 10G, encore nombreux, se font aisément remplir. Je parle
même pas des gens qui font du MikroTik en bordure (coucou nous il y a
encore moins de 3 ans).
En plus de ServerD, on garde la main sur le RTBH. FastNetMon pour une
solution simple, sinon script python sur clickhouse du backend akvorado,
mais ça peut mettre plus de temps que du sflow directe car l'ingestion
est lente quand tu as un fort volume de trafic et une grosse granularité.
Je dirai qu'on a un réseau associatif assez state of the art, et ça
permet à tout le monde de dormir sur une, ou sinon les deux oreilles (je
sais toujours pas comment vous faites sauf si vous avez les oreilles
derrière la tête).
On a mis du temps à trouver des personnes compétentes avec des outils
pour que notre réseau puisse réagir dynamiquement. Sinon, on a aussi
entendu parler du Magic Transit de Cloudflare, mais on ne parle pas des
mêmes tarifs.
Nicolas
On 10/02/2025 19:37, Alexis Lameire wrote:
Alors les DDoS Operator, c'est bien, surtout quand les opérateurs ont
de l'XP mais :
* Ca te rend souvent dépendant d'un transitaire pour avoir ta mitigation.
* Ca peut mettre un peu de temps à se déclencher, de lors de 30 s à 1
minute, et là ça se voie :)
Aujourd'hui, c'est compliqué de dépendre que de toi même si tu n'as
pas X fois 400G. et par X je pense qu'un minimum de 5 est à compter :)
Alexis
Le lun. 10 févr. 2025 à 15:09, Nicolas VUILLERMET
<nico...@vuillermet.bzh> a écrit :
Hello,
L'anti-DDoS, ce n'est pas une solution matérielle magique qu'on
balance
sur un problème.
C'est un problème multifactoriel, où nous nous battons contre du
volumétrique, du carpet bombing, du TCP syn, du L7 complexe...
De notre point de vue, avoir la capa d'entrée capable d'encaisser le
volumétrique sans saturer est complexe, les transitaires ne proposent
pas de port capacitaire sans commit minimal.
Sur la partie protocolaire, les attaques sont de plus en plus
complexes,
il faut toujours plus de signatures.
Arbor c'est mignon, c'est performant, mais sans ingé capable de faire
les rulesets, puis de maintenir de nouvelles règles en permanence,
ça ne
sert à rien.
On a fait le deuil chez nous et planifions de travailler avec
ServerD,
qui ont une énorme connaissance des attaques, encaissent de
nombreuses
attaques, sont capables de rédiger des règles à la volée, et sont
supers
sympas et disponibles !
Ils ont une capacité de filtrage étendu et diversifiée (dont de
l'Arbor
d'ailleurs).
On a voulu tenter F5, mais après la vente d'Acorus, le service est
devenu l'ombre de lui même. Quand tu reçois 60G sur port 100G, et
qu'on
te dit que l'attaque est filtrée, un petit doute peut subsister.
Du coup j'aurai tendance à dire, autant discuter avec un transitaire
qualitatif et compétent sur le DDoS, plutôt que de chercher à
monter sa
solution maison si il n'y a pas de recrutement derrière pour un
ingénieur à plein temps prêt à dégainer son laptop pour analyser,
déduire les patterns, écrire les règles, et petit bonus, pouvoir
rejouer
les règles après attaque.
Nicolas
On 10/02/2025 14:50, David Ponzone wrote:
>
https://www.mail-archive.com/search?a=1&l=frnog%40frnog.org&haswords=ddos&x=0&y=0&from=&subject=&datewithin=2m&date=2025-02-01¬words=&o=newest
<https://www.mail-archive.com/search?a=1&l=frnog%40frnog.org&haswords=ddos&x=0&y=0&from=&subject=&datewithin=2m&date=2025-02-01¬words=&o=newest>
<https://www.mail-archive.com/search?a=1&l=frnog@frnog.org&haswords=DdoS&x=0&y=0&from=&subject=&datewithin=2m&date=2025-02-01¬words=&o=newest
<https://www.mail-archive.com/search?a=1&l=frnog@frnog.org&haswords=DdoS&x=0&y=0&from=&subject=&datewithin=2m&date=2025-02-01¬words=&o=newest>>
>
> D’ailleurs, y a un bug je crois dans le moteur de recherche,
quand on précise une date et que la période de recherche remonte
avant le 1er Janvier.
>
> David
>
>> Le 10 févr. 2025 à 14:07, Jérôme Nicolle <jer...@ceriz.fr> a
écrit :
>>
>> Merci Alexis. C'est bien plus constructif comme ça.
>>
>> Le 10/02/2025 à 13:43, Alexis a écrit :
>>> https://www.mail-archive.com/frnog@frnog.org/msg77369.html
>>> Alexis
>>> David Telecom
>>> 04.50.05.52.52
>>> Le 10/02/2025 à 13:40, Jérôme Nicolle a écrit :
>>>> Cool Bro, t'as pas un pointeur moins précis ?
>>>>
>>>> Le 10/02/2025 à 12:29, David Ponzone a écrit :
>>>>> Il y a eu un thread il y a peu sur 2 solutions concurrentes,
plus abordables.
>>> ---------------------------
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> --
>> Jérôme Nicolle
>> +33 6 19 31 27 14
>> +590 690 22 87 14
>>
>>
>> ---------------------------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
