as tu as activer le cache DNS et déclarer des VS DNS sur tes BIGIP ?
Le 26 août 2013 14:15, Pellizzari <cont...@pellizzari-web.org> a écrit : > > Tous les flux sortants sont load balancés par nos F5 sur les 4 liens > opérateur correspondant aux IP publiques. > RAS dans ce load balancing... > Mais c'est vrai que pas toutes les IP son blacklistées ... > > La résolution DNS est faites par nos srv internes en s'appuyant sur leurs > forwarders, un nslookup montre qu'ils obtiennent bien les réponses en RR > (4/5 IP différentes à chaque requête). > > La piste du cache DNS et des proxies me semble intéressante et je vais > regarder. > > Inutile de préciser qu'il n'y a pas eu de changements à ce niveau en > corréspondance de la manifestation du pb... > > Guido Pellizzari > > Le 26 août 2013 à 01:27, "Michel Py" <mic...@arneill-py.sacramento.ca.us> > a écrit : > > >> Guido Pellizzari a écrit: > >> Oui j'oubliais: au départ 90% des nos flux passaient par les proxies, > tout > >> comme avant que le ban se declenche. C'est là où a démarré notre > analyse. > > > > Tes proxies sont le coupable le plus probable du ban initial, en effet. > > > >> C'est ce que nous avons fait en premier, et qui n'a malheureusement > >> rien mis en évidence. Nb de requêtes et volumes échangés sont > >> uniformément répartis... > > > > Uniformément répartis venant de tes clients peut-être (ce qui veut donc > dire que tu n'as pas de DDOS venant de dedans), mais en sortant? Google > comme beaucoup d'autres fait du load-balancing par round-robin DNS qui > varie dynamiquement en fonction de multiples facteurs. > > > > Name: www.google.fr > > Addresses: 74.125.239.159, 74.125.239.152, 74.125.239.151. Tu obtiens > des résultats différents en fonction de là ou tu te trouves, de la charge, > etc. > > > > As-tu vérifié que tes proxies utilisaient toutes les adresses que Google > te donne, et que le cache DNS que tes proxies et tes clients utilisent est > rafraîchi correctement? Si tu as plusieurs milliers de clients venant d'une > seule IP et qui n'utilisent pour leurs requêtes qu'une seule des IP de > Google et qu'elle ne change jamais, ça ressemble à du DDOS. > > > > Michel. > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
