Il y a plusieurs sujets dans ce cas :
- Attaque du routeur directement
- Avoir des filtres propre sur le routeur ou des ip non
routées/routable sur le routeur de bordure vers les transitaires : Si tu as des
peerings sur ce edge, ben le coup des ip , ça marche plus.
- Avoir largement la BP pour ne pas saturer les ports d’uplinks
: Quand tu te prends 20/30G c’est gérable facilement. Quand tu te prends 200G,
c’est un autre sujet
- Attague avec le routeur en “transit”
- Si l’attaque est petite (<50G) : ça passe et avec un vrai
routeur ( non, non je ne lance le trop sur les routeurs laiton), tu peux mettre
des filtres (genre BCP38 et +++ ) et faire du flowspec sur ton reseau
- Si attaque moyenne >50G <200G : Tu peux te debrouiller pour
n’exporter que le prefixe concerné sur un transitaire , le depref et sortir par
ailleur et attendre que ça passe :)
- Si attaque >200G : Il faut acheter un service chez qqn stou
Pour moi le blackhole n’est pas une solution, l’attaquant a gagné :)
Raphael
> On 2 Jul 2019, at 10:04, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> wrote:
>
> Hello,
>
> On Tue, 2 Jul 2019 00:29:55 +0200
> Raphael Maunier <raph...@maunier.net> wrote:
>
>> Flowspec seul en inter-isp ça ne suffit pas car des lors que ton bgp
>> flappe ( port full par ex ) bah… ça marche plus trop.
>
> Marrant, c'est la question que je me posais justement hier en lisant les
> posts et les articles... Si tu te fais DDoS ton port, effectivement, BGP,
> c'est comme le reste de ton traffic, ca a du mal a passer.
> Du coup, est-ce qu'il y a eu des debuts de reflexion sur le fait de faire
> passer une session dedie BGP flowspec en OoB / multihops ?
>
> Parce que la, comme le fait remarquer Raph, en cas de saturation du port,
> je vois pas comment ca va le faire.
>
> Paul
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
