Nous avons subi ce genre d'attaque également il y a quelques semaines, le firewall a saturé car les connexions étaient ouvertes très très vites à priori (peu de logs à cause de la saturation), en tout cas plus vite que ce que le firewall ne savait traiter.
En bref, 150Mbits/s de trafic inopiné qui a suffit a saturer un équipement central de l'infrastructure. Après vérifications et captures, nous avons énormément d'énumérations DNS depuis des adresses IP chinoises (comme par hasard), nous avons baissé les timeouts des sessions TCP/UDP sur le firewall, et nous n'avons plus eu de problème depuis, même si parfois, nous constations des milliers de sessions sur le firewall en UDP depuis ces mêmes IPs chinoises. A suivre, mais je suis intéressé également par tout partage d'information. Bon courage pour le rétablissement. *Fabien VINCENT* ------------------------------------------------------------------- Twitter : @beufanet Mail : fab...@beufa.net Mail : fabvinc...@gmail.com ------------------------------------------------------------------- 2011/12/26 Charles Delorme <fr...@suricat.net> > Bonjour, > > Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni > de service depuis dimanche matin 7h heure locale. La très grosse majorité > des paquets est en udp/80 à destination de nos deux liens, completel ( > 213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un > peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais > vous vous doutez qu'elle varie beaucoup. > > Les supports des deux opérateurs sont bien sûr prévenus. > > Si en plus certains d'entre vous ont la possibilité de bloquer au moins le > traffic en udp/80 qui passerait par vos réseaux vers chez nous, ceci nous > pemettrait de respirer un peu. > > Tout avis en la matière sera le bienvenu. Je passe par cette adresse mail > perso car pour l'instant nos accès sont saturés. > > Merci beaucoup et joyeux Noël à tous :-) > > Charles Delorme > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
