-
> From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf
> Of Alexandre
> Sent: lundi 2 mars 2015 09:05
> To: frnog@frnog.org
> Subject: Re: [FRnOG] [TECH] DDoS / analyse de traffic
>
> J'ai oublié de vous demander si quelqu'un utilise Prolexic ? J&#
.
Cordialement,
Julien
-Original Message-
From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of
Alexandre
Sent: lundi 2 mars 2015 09:05
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] DDoS / analyse de traffic
J'ai oublié de vous demander si quelqu'un utilis
J'ai oublié de vous demander si quelqu'un utilise Prolexic ? J'aimerai
savoir ce que vous en pensez.
Alex.
On 01/03/15 18:52, Alexandre wrote:
Salut,
on va peut-être tester Prolexic (division akamai :
http://www.akamai.com/html/solutions/prolexic-routed.html). Tu as
plusieurs types de fonctio
On Behalf Of
Alexandre
Sent: dimanche 1 mars 2015 18:53
To: Alexandre Allard-Jacquin; frnog@frnog.org
Subject: Re: [FRnOG] [TECH] DDoS / analyse de traffic
Salut,
on va peut-être tester Prolexic (division akamai :
http://www.akamai.com/html/solutions/prolexic-routed.html). Tu as plusie
Salut,
on va peut-être tester Prolexic (division akamai :
http://www.akamai.com/html/solutions/prolexic-routed.html). Tu as
plusieurs types de fonctionnement :
- permanent : le trafic passe chez Prolexic en permanence, et livre
que le trafic "propre".
- à la demande : une infime partie
Bonjour,
J'avais testé Wanguard suite à la conf de Jeremy Martin au FRnOG mais
il ne fonctionnait pas correctement avec le sflow de nos EX4200 et le
support n'avait pas apporté de solution au problème. (Duplication de
trafic, mauvais sens du trafic par moment, ça marchait bien si port
miroir, der
Bonjour,
Je profite de ce mail pour savoir si quelqu'un a fait l exercice de dresser
une liste des solutions ddos par transitaire, pas forcément par capacité de
traitement ou techno, mais plus niveau design :
- "machines a laver" centralisées ou distribuées
- mécanisme de déclenchement : action cl
Bonjour,
Là on a clairement franchi la limite du mail à caractère commercial...
Si tu veux informer tes clients, fais-le en direct, pas sur la
mailing-list.
Si tous les fournisseurs de transit se mettent à faire pareil, on ne va
pas s'en sortir... et l'intérêt pour l'ensemble de la mailing-l
http://www.level3.com/~/media/files/customer_center/handbooks/en_cstsppt_hb_emea_handbook.pdf
Reponse pour tous les clients de Level3:
En effet, Level3 offre de bloquer jusqu'a 10 lignes d'ACL de maniere gratuite
lors d'une attaque DDoS envers ses clients de Transit IP et de DIA
Il suffit de co
Detecter les attaques DDoS c'est vraiment facile. N'importe quel
collecteur Netflow (v5/v9/IPFIX) ou sFlow peut faire l'affaire, et pas
besoin d'un Arbor pour ca.
La vraie difficulte c'est de mitiger l'attaque. Si dans ton cas un
blackhole des IP attaquees te suffit, alors pas de probleme. Si tu
v
Je suis d'accord avec toi,
Le domaine du GSP n'est pas tellement reconnu mais jugé la plupart du
temps à sa juste valeur !
Les infras sont certes critiques dans le besoin de "propreté" et de
fiabilité du réseau mais moins critiques au sens général du terme car
ne portant pas la vie d'une entr
Nous avons déjà eu des réquisition judiciaires suite a ce genre de
problèmes, je ne sais pas qui il avait ddos, mais je pense que cela
reste une exception.
Le 2015-02-27 17:15, Josselin Lecocq a écrit :
Salut la liste,
C'est triste quand même que la grande majorité des DDoS soient
aujourd'hui
Oui je pense que l'on fait parti des rares GSP à avoir un AS
(Myriapulse.com AS50535), mais le marcher est entrain de chuter, car il
y a de plus en plus de petit qui n'on pas un service aussi avancé que
nous, ils hébergent chez online ou ovh et on plus de flexibilité, car
ils n'ont pas à gérer
Salut la liste,
C'est triste quand même que la grande majorité des DDoS soient
aujourd'hui l’œuvre de script kiddies...
Il faudrait quand même que l'on commence à se poser sérieusement des
questions concernant ce problème majeur sur Internet, et que l'on traite
les causes plutôt que les symptômes
Merci pour ce moment ;-)
@+
Le 27 février 2015 16:52, Pierre DOLIDON a écrit :
> Le 27/02/2015 16:26, Christopher Johnson a écrit :
>
>> Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances
>> en matière d'informatique:
>> https://www.youtube.com/watch?v=CN5PDhYnXqo
>>
>>
Le 2015-02-27 16:52, Pierre DOLIDON a écrit :
Le 27/02/2015 16:26, Christopher Johnson a écrit :
Le pire dans cette histoire c'est que ce gens n'ont aucune
connaissances en matière d'informatique:
https://www.youtube.com/watch?v=CN5PDhYnXqo
Vidéo a regarder absolument si vous voulez bien rigol
Le 27/02/2015 16:26, Christopher Johnson a écrit :
Le pire dans cette histoire c'est que ce gens n'ont aucune
connaissances en matière d'informatique:
https://www.youtube.com/watch?v=CN5PDhYnXqo
Vidéo a regarder absolument si vous voulez bien rigoler. ;-)
j'ai failli mourir de rire... ou pleu
Bonjour Frédéric,
Oui, je suis d'accord et j'ai aussi penser à la solution du transit
poubelle pour le /24 infecté à pas de 0 cts/Mbits.
Dans l'absolu, tout dépend de ton business case (la nature de clients
adressés + SLAs). Il y a un juste milieu à trouver entre la foultitude
d'outils à notre di
Bonjour la liste,
Neo / Zayo, de mon expérience a toujours, avec leur solution IP
Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s.
Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne plus
annoncer le /24 sur cogent voir tomber la session Cogent quand ils
pre
Ma solution est simple, je recherche juste un software capable de
détecter les attaques ddos afin de pouvoir router les IP sources/cibles
dans un blackhole, car jusqu’à présent nous utilisons un système
homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci
Neo/Zayo fourni un s
Bonjour,
On retombe toujours sur les mêmes problèmes. Dans tous les cas quand on
prend un bon DDoS, à moins d'avoir de gros moyens ou de souscrire à un
service anti-DDoS chez ton transitaire (beaucoup le proposent et c'est
bien parce qu'ils ont la capa pour le gérer correctement), il n'y a pas
bea
Voilà, la mitigation étant un jeu tactique où les fournisseurs de services sont
clés. Faut aussi assurer des bons relations avec éventuels peers... Puis,
précision de la mitigation sujet de négociation (ou deal commercial)... mais
surtout selon échange d'information...
Cheers,
mh
Le 27 fév
je parlais dans le cas où tu peux avoir une remonté d'info vers ton
transitaire . Biensur que le fait de rajouter une route null sur ton
backbone c'est trop tard.
cédric
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Pour cela qu’il faut parfois utiliser son transitaire pour le capacitaire afin
que les device DDoS interne fasse leur travail sans étouffer.
Le mieux que rien en cas de DDoS capacitaire c’est … rien si tu as pas ce qu’il
faut hélas.
David
> On 27 Feb 2015, at 14:13, David CHANIAL wrote:
>
>
Oui, mais ce n’est pas une protection ddos :)
Mon propos est la
> On 27 Feb 2015, at 05:13, David CHANIAL wrote:
>
> Raphael,
>
>> Le 27 févr. 2015 à 14:04, Raphael Maunier a écrit :
>> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle
>> route des ip en in ( et il f
Sans compter que tout le monde n'a peut-être pas suffisement de TCAMs sur
ses routeurs de coeur (qui a dit firewalls ;-) pour blackholer autant d'IP
sources.
My 2 cents.
@++
Le 27 février 2015 14:04, Raphael Maunier a écrit :
>
> > On 27 Feb 2015, at 05:02, David CHANIAL wrote:
> >
> > Bonj
Raphael,
> Le 27 févr. 2015 à 14:04, Raphael Maunier a écrit :
> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle
> route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une
> autre attaque qui forge les ip ton routeur tes routages ne te seront pas
>
Pour démarrer peut être voir si tes upstreams n’ont pas l’option mitigation
Arbor ca évitera d’acheter la machine à laver. Mettre du TMS ou équivalent chez
soi c’est cher.
Ensuite faire attention si tu as plusieurs upstream à comment tu veux gérer
cela (ie arrêter l’annonce vers un transitaire
Salut,
Je pense que cela était vrai pendant longtemps sauf que la donne est
entrain de changer avec l'augmentation rapide de la volumétrie des
attaques. Il est devenu assez simple/trivial de déclencher des attaques par
amplification/réflexion de grand ampleur.
Ca va devenir un jeu du chat et de l
> On 27 Feb 2015, at 05:02, David CHANIAL wrote:
>
> Bonjour Raphael,
>
>> Le 27 févr. 2015 à 13:51, Raphael Maunier a écrit :
>> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
>
> N’y a t’il pas « 50 nuances » de victoire de part et d’autre ?
:)
>
> Filtrer/Mitigier l’attaqu
Bonjour Raphael,
> Le 27 févr. 2015 à 13:51, Raphael Maunier a écrit :
> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
N’y a t’il pas « 50 nuances » de victoire de part et d’autre ?
Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de l’infra
reste un objectif
Pas aussi simple que ça. Tout dépend de ton archi et du nombre de routeurs qui
sont dans le mesh bgp ( et qui envoient du netflow )
Raphael
> On 26 Feb 2015, at 10:02, Alexandre Allard-Jacquin
> wrote:
>
> Bonjour,
>
> De mémoire 180k € pour le boitier de détection et le boitier de mitigatio
Si tes uplink sont saturés, bloquer les IP entrantes ne sert à rien.
Le blackhole BGP permet de sauver ton réseau, mais l'attaquant a de
toute façon gagné.
Il faut donc systématiquement augmenter la taille des tuyaux. Seulement
là, tu peux envisager d'allumer une machine à laver...
Jérémy
L
Tu ne blackhole pas les" ip entrantes" vers tes transitaires.
Faire une route vers null0 sur ton backbone, c’est une chose, le faire vers tes
transitaires ce n’est pas pareil
Si le met il remplit ton lien de transit avec 20G alors que tu as que 1G en IN,
ben faire un null route sur ton infra ser
pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer
avant d'atteindre la cible potentiellement chez toi.
cédric
Le 27/02/2015 13:51, Raphael Maunier a écrit :
Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
Raphael
On 27 Feb 2015, at 00:31, cedric lamouche
Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
Raphael
> On 27 Feb 2015, at 00:31, cedric lamouche
> wrote:
>
> salut, tu peux regarder du coté de chez Border6 une société française basée
> sur Lille. Ils ont developpé une solution logicielle embarqué dans une
> appliance sou
Le 27 février 2015 13:34, Christopher Johnson <
christopher.john...@euskill.com> a écrit :
> Le 2015-02-27 08:35, Amaury DUCHENE a écrit :
>
>> Bonjour,
>>
>> A qu'elle hauteur devez vous mitiger les attaques ?
>>
>
> Les attaques sont essentiellement le soir, le mercredi, le week-end, et en
> pér
Le 2015-02-27 08:35, Amaury DUCHENE a écrit :
Bonjour,
A qu'elle hauteur devez vous mitiger les attaques ?
Les attaques sont essentiellement le soir, le mercredi, le week-end, et
en période de vacances.
Cordialement,
On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte
wrote:
Il y a a
Bonjour,
Il y a aussi 6cure à Caen qui fournit ce genre de solutions dont quelques
hébergeurs.
A+
--
Christophe
Envoyé de mon téléphone, veuillez excuser ma brièveté.
> Le 27 févr. 2015 à 09:31, cedric lamouche a
> écrit :
>
> salut, tu peux regarder du coté de chez Border6 une société fra
salut, tu peux regarder du coté de chez Border6 une société française
basée sur Lille. Ils ont developpé une solution logicielle embarqué dans
une appliance sous linux qui gère toute la partie BGP avec une détection
d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le
trafic di
Bonjour,
Soyons précis, il faut citer tout le monde:
- check point DDOS protector
- corero
- juniper DDOS secure
- fortinet fortiddos
Les LB "haut de gamme":
- F5
- a10
- radware
Et le petit dernier, made in France:
- HAProxy Technologies a ajouté récemment sur son LB ALOHA un module
de protecti
Il y a aussi les produits de Andrisoft et flowtraq
Fabien
On Feb 26, 2015, at 9:26 PM, Raphael Mazelier wrote:
> Le 26/02/2015 21:10, Jeremy a écrit :
>> Prend une licence chez Wanguard va :)
>>
> Je trouve que ce soft a un très bon rapport qualité/prix.
> Évidement c'est loin d’être parfait,
Le 26/02/2015 21:10, Jeremy a écrit :
Prend une licence chez Wanguard va :)
Je trouve que ce soft a un très bon rapport qualité/prix.
Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable.
Le support est réactif qui plus est.
--
Raphael Mazelier
---
Li
Prend une licence chez Wanguard va :)
Cf. Ma conf au frnog y a 2 ans (dailymotion).
Jérémy
Le 26/02/2015 17:06, Christopher Johnson a écrit :
Bonjour,
Depuis plusieurs mois j'ai constaté une recrudescence des attaques
DDoS sur notre résaux.
Nous avons déjà mis plusieurs solutions en places
Bonjour,
De mémoire 180k € pour le boitier de détection et le boitier de
mitigation (90k€ l'U)
et tu mitiges 40Gb/s d'attaque environ.
Cordialement,
Alexandre
On 26/02/2015 18:43, Christopher Johnson wrote:
Est ce que quelqu'un a une idée des prix ds solutions Arbor PeakFlow
SP CP ?
Le 201
Est ce que quelqu'un a une idée des prix ds solutions Arbor PeakFlow SP
CP ?
Le 2015-02-26 17:06, Christopher Johnson a écrit :
Bonjour,
Depuis plusieurs mois j'ai constaté une recrudescence des attaques
DDoS sur notre résaux.
Nous avons déjà mis plusieurs solutions en places dont un blackhole
46 matches
Mail list logo
