Je ne vais pas reprendre depuis le début l'affaire de « la plus grosse attaque que l'Internet ait jamais connu » (sélection d'articles en <http://seenthis.net/messages/125623>), en prime je suis sûr ici que tout le monde est un bon citoyen et a déployé BCP 38 sur son réseau depuis longtemps, avant d'en expulser tous les résolveurs DNS ouverts. Non, ce qui me questionne, c'est que CloudFlare prétend <http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet> « When the Spamhaus attacker realized he couldn't go after CloudFlare directly, he began targeting our upstream peers and exchanges. » Et « the attackers also attacked the core IX infrastructure on the London Internet Exchange (LINX), the Amsterdam Internet Exchange (AMS-IX), the Frankfurt Internet Exchange (DE-CIX), and the Hong Kong Internet Exchange (HKIX). »
D'abord, cela ne correspond pas à ce que je vois. Les statistiques publiques du DECIX et de l'AMS-IX ne montrent pas de pic de trafic particulier. (Ni le FranceIX, non cité par CloudFlare.) Ensuite, comment est-ce qu'une attaque directe contre le point d'échange serait possible ? Sur Twitter, Pierre Emeriaud fait remarquer que « amsix n'annonce pas le subnet de peering. Linx si : http://lg.ring.nlnog.net/prefix/lg01/ipv4?q=195.66.224.0/22 » La différence peut-elle venir de là ? Et qu'en est-il des autres points d'échange ? --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/