Flow spec, c'est bien beau, mais tant que le client ne peut pas activer seul le filtrage il est difficile de l'exploiter de façon efficace, les attaquant étant généralement très réactifs et les services opérateurs lents à la détente...
Enfin, quels sont les opérateurs à l'exploiter réellement ? Et à le proposer à leurs clients ? 2011/12/26 Texier, Matthieu <mtex...@arbor.net> > Voila un réponse qui me semble faire preuve d'expérience :-) ! > > Sans compter que nos amis attaquants font souvent preuve d'une malice > certaine et emmenant les administrateurs réseaux dans une direction afin de > masquer une autre action mené en parallèle au niveau L7. > > Les attaques sont de plus en plus polymorphe. A bon entendeur ... > > Enfin, moi ce que je dis … je suis un peu vieux pour toutes ces choses la ! > > Du reste ma mémoire flanche un peu, je ne me rappelle plus bien comment > activer flow spec sur tous les routeurs de nos chers industriels ? > > > On Dec 26, 2011, at 2:35 PM, Thomas Mangin wrote: > > > Cela dépend surtout du profil de l'attaque. Pour un UDP flood sur un > serveur web, un fournisseur qui peux ajouter un filtre flowspec sur ses > connections EBGP ça aide surement beaucoup. > > Face a une attaque sur le L7 - la vie devient très dure ... > > > > Thomas > > > > On 26 Dec 2011, at 13:08, Texier, Matthieu wrote: > > > >> L'ideal de ce genre de situation serait d'avoir souscrit à un service > de détection et de mitigation d'attaque auprès de ses fournisseurs d'accès > Internet. > >> > >> Le blackhole BGP étant techniquement une approche valide mais donnant > raison aux attaquants. BGP flow spec n'est applicable que rarement sur les > attaques distribuées ou à base d'IP spoofées. Je n'ai bien peur que seul un > boitier de mitigation placé dans l'infrastructure du carrier ne puisse vous > sortir de cette situation sans casse. > >> > >> Cordialement, > >> Matthieu. > >> > >> > >> On Dec 26, 2011, at 1:29 PM, Thomas Mangin wrote: > >> > >>> On 26 Dec 2011, at 11:27, Alexis Savin wrote: > >>> > >>>> Quelques techniques sont pourtant intéressantes à étudier, la plus > >>>> intéressante étant celle du "remote triggered black-hole" pour peu que > >>>> l'opérateur le supporte (http://tools.ietf.org/html/rfc5635). > >>> > >>> Au cas ou vous auriez rate la présentation - puisque c'est d'actualité. > >>> > >>> http://perso.nautile.fr/prez/fgabut-flowspec-frnog-final.pdf > >>> > >>> Thomas > >>> > >>> > >>> --------------------------- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > >> Cheers Matt. > >> > >> Matthieu Texier > >> Consulting engineer EMEA > >> mtex...@arbor.net > >> +33 6 85 83 66 89 > >> > > > > Cheers Matt. > > Matthieu Texier > Consulting engineer EMEA > mtex...@arbor.net > +33 6 85 83 66 89 > > -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
