Re: [FRnOG] [TECH] Peering et attaques

Thu, 16 May 2013 00:38:52 -0700

Bah on impose l'utilisation d'un serveur DNS interne qui passe par un chemin non impacté par un rate-limit.
L'intérêt de l'opérateur de le faire, c'est d'éviter que le port de livraison soit saturé par du trafic non légitime. On suppose que si on est livré en 1 Gb/s, l'upstream est en 10G et est capable d'encaisser la charge. 


Pour le coup, c'est le genre d'option qui est tout à fait facturable et 
sur lequel on est prêt à sortir 2-3 € :)


Ca coutera toujours moins cher que de passer en port 10G.


Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com

Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30)
Standard Services Généraux :    09 72 125 539 (tarif local)
Standard Support :              08 92 494 490 (0.34€ / mn)
Mail : j.martin AT techcrea.fr
Web : http://www.firstheberg.com

Le 16/05/2013 09:33, David Ramahefason a écrit :

Bonjour,

Personnellement je n'ai jamais vu d'upstream qui acceptait de rate-limite à
la place de leur client si je comprends bien ce que tu écris.
Après sur tes équipements tu peux sans doute le faire, mais comment
différencieras-tu le bon trafic du mauvais ?

David

-----Original Message-----
From: Jérémy Martin [mailto:li...@freeheberg.com]
Sent: jeudi 16 mai 2013 09:29
To: David Ramahefason
Cc: Nicolas Strina; frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Peering et attaques

De manière plus générale, une communauté rate-limit avec les upstream et une
simple règle qui dit rate-limit DNS SNMP à 50 Mb/s

Ca serais largement suffisant. Non ?
Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé
d'arrêter de nous bombarder avec leur root-server :(

Cordialement,
Jérémy Martin

Le 16/05/2013 09:23, David Ramahefason a écrit :

ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y
a pour le moment pas de solution si l'upstream ne gère pas la

fonctionalité.


Pour en revenir au post initial, s'il y a déjà un TMS en place il
serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ??
:p) pour la partie services (en coupure) non ?? De ma compréhension du
produit c'est exactement ce pour quoi il est fait.
Apres je ne sais pas si le CS du coup en local est "utile" par contre.



Le 16 mai 2013 09:09, David Ramahefason <r...@netfacile.net> a écrit :


Salut Nicolas :)

ah oui sur l'upstream ne gère pas de CS cela peut poser problème
mais il y a des fournisseurs de service de CS en remote (après je ne
connais pas l'efficacité d'une telle utilisation):

http://www.arbornetworks.com/products/cloud-signaling-coalition

A+



Le 16 mai 2013 07:29, Nicolas Strina <nicolas.str...@jaguar-network.com>a

écrit :


-----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA1

Bonjour,


Bonsoir,

Pour les attaques applicatives c'est le Pravel de chez Arbor (qui
se

met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow
des upstream ou sur le sien.

Sauf que dans son cas il faut que son upstream provider supporte le
cloud signaling. On est 1 ou 2 en France à pouvoir le faire.
Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait
pas ça .. C'est la seule alternative viable pour le moment (pour
bien avoir bossé sur le sujet).
On avait déjà signalié ce type d'attaque lors d'une présentation
avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu).

A+



Cordialement

David R.


-----Original Message----- From: frnog-requ...@frnog.org [mailto:

frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi
15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re:
[FRnOG] [TECH] Peering et attaques


Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé
en

amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on
sait déjà le faire nous même automatiquement.


Cordialement, Jérémy Martin

Le 15/05/2013 22:51, Moncef ZID a écrit :

Une solution : Arbor Networks Peak Flow SP et TMS Une solution

efficace pour le Peering et pour le DDOS


Moncef ZID Manaraway Consulting Co-Founder and Strategic
Developement

Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website :
www.manaraway.com Email: zmon...@manaraway.com Consulting        Audit
   and Training Data Center , Security , Cloud , Application Delivery




-----Original Message----- From: frnog-requ...@frnog.org [mailto:

frnog-requ...@frnog.org] On Behalf

Of

Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To:

frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques


Bonjour,

On est confronté à un problème qui nous embarrasse pas mal ces
temps

ci. On a la chance de pouvoir utiliser plusieurs points de peerings
: - FranceIX - Sfinx -Equinix - Amsix


Le problème c'est qu'on se prend souvent des attaques par
amplification

DNS

et que tout cumulé, bah ça coince à un moment donné (même en 10G)...

Du coup, on regarde si certains ont la possibilité d'appliquer des
rate-limit port 53 de manière drastique sur les ports de livraisons.
Mais ça ne semble pas possible (ce qu'on peut comprendre parla
défense

d'une

certaine neutralité).

Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ?
(ou

les moyens de le proposer sur ceux cité) ?


Coté transitaire, évidemment, on est obligé de se débrouiller

autrement (blackhole, ou autre), mais seul Cogent nous bombarde du
10Gb/s d'ampli

DNS

et considère ça normal (sachant que le Root de Cogent est juste

derrière à Londres...).


Merci pour vos remarques et commentaires pertinents,

-- Cordialement, Jérémy Martin


______________________________ FreeHeberg.com : Osez l'hébergement

gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go



--------------------------- Liste de diffusion du FRnOG

http://www.frnog.org/



--------------------------- Liste de diffusion du FRnOG

http://www.frnog.org/






--------------------------- Liste de diffusion du FRnOG

http://www.frnog.org/



--------------------------- Liste de diffusion du FRnOG

http://www.frnog.org/





- --
Nicolas STRINA

Jaguar Network Switzerland
Boulevard Georges Favon, 19
CH - 1024 Genève

More Than Your Hosting Company

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11
Fax : +33 4 88 00 65 25

URL: <http://www.jaguar-network.ch/> Support 24+7 :
supp...@jaguar-network.ch -----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.18 (Darwin)
Comment: GPGTools - http://gpgtools.org
Comment: Using GnuPG with undefined - http://www.enigmail.net/

iEYEARECAAYFAlGUbpwACgkQhVupqbmzoseLTACgpoEBCPs1dr34r6EbFVNSj/gd
3xMAoJZOrjPKGM+71Z2S+xeWpiaemTjc
=rnGs
-----END PGP SIGNATURE-----


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/





--
David Ramahefason
r...@netfacile.net












---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/






















					Répondre à