Ha, pour le coup le truc qui réecrit une routemap c'est vraiment sympas ça !
Alexis Le lun. 10 févr. 2025 à 19:46, Nicolas VUILLERMET <nico...@vuillermet.bzh> a écrit : > Hello, > > Côté MilkyWan, on est passé derrière ServerD. > > En moins de 20sec et parfois mois de 10 nous recevons le signal de > mitigation par webhook ce qui déclenche une réécriture de route-map pour se > faire aspirer le trafic. > > En général, ils sont capables de détecter sur le ramp up de l'attaque, > donc en moins de 30 secondes on a à peu près divergé le trafic entrant et > limitons pas mal la casse. > > Nous avons une grosse communauté de client fibre et quand ça coupe ou ça > ralentit, ça râle vite ! Avec ServerD, on a très peu de ressenti client. > > Ce qui aide aussi énormément, c'est d'avoir des tuyaux de 40 À 100G. Les > backbones à 10G, encore nombreux, se font aisément remplir. Je parle même > pas des gens qui font du MikroTik en bordure (coucou nous il y a encore > moins de 3 ans). > > En plus de ServerD, on garde la main sur le RTBH. FastNetMon pour une > solution simple, sinon script python sur clickhouse du backend akvorado, > mais ça peut mettre plus de temps que du sflow directe car l'ingestion est > lente quand tu as un fort volume de trafic et une grosse granularité. > > Je dirai qu'on a un réseau associatif assez state of the art, et ça permet > à tout le monde de dormir sur une, ou sinon les deux oreilles (je sais > toujours pas comment vous faites sauf si vous avez les oreilles derrière la > tête). > > On a mis du temps à trouver des personnes compétentes avec des outils pour > que notre réseau puisse réagir dynamiquement. Sinon, on a aussi entendu > parler du Magic Transit de Cloudflare, mais on ne parle pas des mêmes > tarifs. > > Nicolas > On 10/02/2025 19:37, Alexis Lameire wrote: > > Alors les DDoS Operator, c'est bien, surtout quand les opérateurs ont de > l'XP mais : > * Ca te rend souvent dépendant d'un transitaire pour avoir ta mitigation. > * Ca peut mettre un peu de temps à se déclencher, de lors de 30 s à 1 > minute, et là ça se voie :) > > Aujourd'hui, c'est compliqué de dépendre que de toi même si tu n'as pas X > fois 400G. et par X je pense qu'un minimum de 5 est à compter :) > > Alexis > > > > Le lun. 10 févr. 2025 à 15:09, Nicolas VUILLERMET <nico...@vuillermet.bzh> > a écrit : > >> Hello, >> >> L'anti-DDoS, ce n'est pas une solution matérielle magique qu'on balance >> sur un problème. >> >> C'est un problème multifactoriel, où nous nous battons contre du >> volumétrique, du carpet bombing, du TCP syn, du L7 complexe... >> >> De notre point de vue, avoir la capa d'entrée capable d'encaisser le >> volumétrique sans saturer est complexe, les transitaires ne proposent >> pas de port capacitaire sans commit minimal. >> >> Sur la partie protocolaire, les attaques sont de plus en plus complexes, >> il faut toujours plus de signatures. >> >> Arbor c'est mignon, c'est performant, mais sans ingé capable de faire >> les rulesets, puis de maintenir de nouvelles règles en permanence, ça ne >> sert à rien. >> >> >> On a fait le deuil chez nous et planifions de travailler avec ServerD, >> qui ont une énorme connaissance des attaques, encaissent de nombreuses >> attaques, sont capables de rédiger des règles à la volée, et sont supers >> sympas et disponibles ! >> >> Ils ont une capacité de filtrage étendu et diversifiée (dont de l'Arbor >> d'ailleurs). >> >> On a voulu tenter F5, mais après la vente d'Acorus, le service est >> devenu l'ombre de lui même. Quand tu reçois 60G sur port 100G, et qu'on >> te dit que l'attaque est filtrée, un petit doute peut subsister. >> >> >> Du coup j'aurai tendance à dire, autant discuter avec un transitaire >> qualitatif et compétent sur le DDoS, plutôt que de chercher à monter sa >> solution maison si il n'y a pas de recrutement derrière pour un >> ingénieur à plein temps prêt à dégainer son laptop pour analyser, >> déduire les patterns, écrire les règles, et petit bonus, pouvoir rejouer >> les règles après attaque. >> >> >> Nicolas >> >> >> On 10/02/2025 14:50, David Ponzone wrote: >> > >> https://www.mail-archive.com/search?a=1&l=frnog%40frnog.org&haswords=ddos&x=0&y=0&from=&subject=&datewithin=2m&date=2025-02-01¬words=&o=newest >> < >> https://www.mail-archive.com/search?a=1&l=frnog@frnog.org&haswords=DdoS&x=0&y=0&from=&subject=&datewithin=2m&date=2025-02-01¬words=&o=newest >> > >> > >> > D’ailleurs, y a un bug je crois dans le moteur de recherche, quand on >> précise une date et que la période de recherche remonte avant le 1er >> Janvier. >> > >> > David >> > >> >> Le 10 févr. 2025 à 14:07, Jérôme Nicolle <jer...@ceriz.fr> a écrit : >> >> >> >> Merci Alexis. C'est bien plus constructif comme ça. >> >> >> >> Le 10/02/2025 à 13:43, Alexis a écrit : >> >>> https://www.mail-archive.com/frnog@frnog.org/msg77369.html >> >>> Alexis >> >>> David Telecom >> >>> 04.50.05.52.52 >> >>> Le 10/02/2025 à 13:40, Jérôme Nicolle a écrit : >> >>>> Cool Bro, t'as pas un pointeur moins précis ? >> >>>> >> >>>> Le 10/02/2025 à 12:29, David Ponzone a écrit : >> >>>>> Il y a eu un thread il y a peu sur 2 solutions concurrentes, plus >> abordables. >> >>> --------------------------- >> >>> Liste de diffusion du FRnOG >> >>> http://www.frnog.org/ >> >> -- >> >> Jérôme Nicolle >> >> +33 6 19 31 27 14 >> >> +590 690 22 87 14 >> >> >> >> >> >> --------------------------- >> >> Liste de diffusion du FRnOG >> >> http://www.frnog.org/ >> > >> > --------------------------- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
