IMHO, pour dropper 80/udp, le mieux que tu puisses faire c'est te rapprocher des NOCs de tes upstreams (completel / GBLX) et leur demander de le dropper à destination de tes supernets/subnets.
On 12/26/11 12:47 PM, Charles Delorme wrote: > Merci pour vos suggestions. > > Ma priorité est effectivement de bloquer le traffic udp/80 en amont de mes > liens. Les équipements en tête de réseau supportent bien la charge mais ce > sont les liens qui saturent. > > > Damien Fleuriot <m...@my.gd> a écrit : > > Bah oui mais du coup il va se couper le service tout seul, certes > seulement vers l'IP cible mais l'attaque aura réussi. > > Vu que la plupart du trafic semble être de l'UDP 80, est-ce qu'il aurait > pas plus rapide de dropper ça par ses upstreams ? > > > On 12/26/11 12:33 PM, Alexis Savin wrote: >> Il ne s'agit pas de bloquer les sources, mais le trafic à destination de >> l'ip attaquée, le temps que l'attaque cesse. >> >> La priorité lors d'une attaque comme celle-ci est de désengorger ses >> tuyaux pour rétablir le plus de services possible. >> >> 2011/12/26 Damien Fleuriot <m...@my.gd <mailto:m...@my.gd>> >> >> S'agissant très probablement d'IPs spoofées, je le vois mal blackholer >> 200k /32 générées aléatoirement ? >> >> Nan parce qu'au bout d'un moment le routeur upstream va en avoir marre, >> déjà, et ensuite au bout d'un moment ça va bloquer des vrais clients >> légitimes qui auront eu la malchance que leur IP soit générée :o >> >> >> On 12/26/11 12:27 PM, Alexis Savin wrote: >>> Bonjour, >>> >>> Un grand classique, surement déjà vécu par beaucoup ici. >>> >>> Et malheureusement peu d'options efficaces. >>> >>> Quelques techniques sont pourtant intéressantes à étudier, la plus >>> intéressante étant celle du "remote triggered black-hole" pour peu que >>> l'opérateur le supporte (http://tools.ietf.org/html/rfc5635). >>> >>> Cela peut permettre de désengorger ses liens et de ne pas impacter >> toute >>> une plateforme. >>> >>> Bon courage. >>> >>> 2011/12/26 Charles Delorme <fr...@suricat.net >> <mailto:fr...@suricat.net>> >>> >>>> Bonjour, >>>> >>>> Le père Noël nous a gâté et nous subissons au Sénat une attaque >> par déni >>>> de service depuis dimanche matin 7h heure locale. La très grosse >> majorité >>>> des paquets est en udp/80 à destination de nos deux liens, >> completel ( >>>> 213.30.147.224/27 <http://213.30.147.224/27>;) et global crossing >> (217.156.140.224/27 <http://217.156.140.224/27>;) et aussi un >>>> peu en udp/53. Nous tentons d'établir une liste d'adresses >> sources mais >>>> vous vous doutez qu'elle varie beaucoup. >>>> >>>> Les supports des deux opérateurs sont bien sûr prévenus. >>>> >>>> Si en plus certains d'entre vous ont la possibilité de bloquer au >> moins le >>>> traffic en udp/80 qui passerait par vos réseaux vers chez nous, >> ceci nous >>>> pemettrait de respirer un peu. >>>> >>>> Tout avis en la matière sera le bienvenu. Je passe par cette >> adresse mail >>>> perso car pour l'instant nos accès sont saturés. >>>> >>>> Merci beaucoup et joyeux Noël à tous :-) >>>> >>>> Charles Delorme >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>> >>> >>> -- >>> Alexis Savin >>> Ingénieur Systèmes/Réseaux/Sécurité >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> >> >> >> -- >> -=HADESIS=- >> >> Alexis Savin >> Ingénieur Systèmes/Réseaux/Sécurité >> EPITA 2010 / Integra >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
