Bonjour Frédéric, Oui, je suis d'accord et j'ai aussi penser à la solution du transit poubelle pour le /24 infecté à pas de 0 cts/Mbits.
Dans l'absolu, tout dépend de ton business case (la nature de clients adressés + SLAs). Il y a un juste milieu à trouver entre la foultitude d'outils à notre disposition. Après, il faut juste espérer que ça ne te tombe pas dessus (trop) souvent ? En ce moment, la météo est mauvaise... Y. Le 27 février 2015 15:51, Frederic Dhieux <frede...@syn.fr> a écrit : > Bonjour, > > On retombe toujours sur les mêmes problèmes. Dans tous les cas quand on > prend un bon DDoS, à moins d'avoir de gros moyens ou de souscrire à un > service anti-DDoS chez ton transitaire (beaucoup le proposent et c'est > bien parce qu'ils ont la capa pour le gérer correctement), il n'y a pas > beaucoup de solutions. > > Pour ma part j'ai pris le parti de prendre un transit poubelle et d'y > coller un serveur machine à laver à qui un outil d'analyse applique des > ACLs en fonction des attaques. Après le jeu est d'appliquer des > communautés BGP et des annonces pour faire converger le trafic DDoS sur > ce transit poubelle et garder le reste sur les liens propres. Sinon de > préserver les peerings sensibles et opérateurs clés de mon activité et > basculer tout le reste sur le transit poubelle. > > Si le transit poubelle sature, au moins je préserve une partie du > trafic. Sachant aussi qu'en cas d'attaque ciblée sur une IP, le /24 le > contenant est annoncé indépendamment pour que le traitement ne concerne > que cette /24 et pas tout le reste. > > C'est un compromis que je trouve plus acceptable chez nous que de > dépenser des 100aines de milliers d'Euros dans une solution à la mode > dont la capacité de traitement est plafonnée de toute manière par la > taille du tuyau quand les attaques augmentent de mois en mois. > > Sinon quand on a pas de temps à perdre pour mettre ça en place, prendre > un transit avec service anti-DDoS et tout basculer dessus en cas de > problème. Ou faire les 2 quand on veut s'amuser et se backuper. > > Je pense qu'il faut vraiment avoir une taille critique et des moyens > pour utiliser des solutions Anti-DDoS commerciales en propre. > > Frédéric > > Le 27/02/15 14:14, Youssef Bengelloun-Zahr a écrit : > > Sans compter que tout le monde n'a peut-être pas suffisement de TCAMs sur > > ses routeurs de coeur (qui a dit firewalls ;-) pour blackholer autant > d'IP > > sources. > > > > My 2 cents. > > > > @++ > > > > > > > > Le 27 février 2015 14:04, Raphael Maunier <raph...@maunier.net> a écrit > : > > > >>> On 27 Feb 2015, at 05:02, David CHANIAL <david.chan...@davixx.fr> > wrote: > >>> > >>> Bonjour Raphael, > >>> > >>>> Le 27 févr. 2015 à 13:51, Raphael Maunier <raph...@maunier.net> a > >> écrit : > >>>> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. > >>> N’y a t’il pas « 50 nuances » de victoire de part et d’autre ? > >> :) > >>> Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de > >> l’infra reste un objectif louable. > >> > >> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le > nulle > >> route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou > une > >> autre attaque qui forge les ip ton routeur tes routages ne te seront pas > >> d’une grande utilité > >> > >>> Mais si le budget ne le permet pas, ne vaut-il pas mieux envisager des > >> solutions intermédiaires, dont certaines te permettent de bloquer > >> uniquement la cible, et pas le reste de ton infra ? > >>> Cordialement, > >>> -- > >>> David CHANIAL > >>> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > > > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Youssef BENGELLOUN-ZAHR --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
