Re: [FRnOG] [TECH] Transit et déni de service

Wed, 03 Jul 2019 08:03:18 -0700 


> On 2 Jul 2019, at 19:59, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> wrote:
> 
> Hello,
> 
> On Tue, 2 Jul 2019 15:57:48 +0000
> Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
> 
>> Justement j'étais en train de travailler là-dessus avec UTRS avec le même
>> raisonnement : Si mon site principal est saturé par une attaque, la seule
>> solution c'est d'avoir une session, probablement multihop, venant d'un
>> site satellite. Disons que de la maison ou de MacDo je me connectes à mon
>> site satellite pour configure parce que ce que je fais du site principal
>> c'est down. Pour l'instant, pas possible. C'est clair que tout ce qui est
>> BGP il faut avoir une infra d'injection indépendante.
> 
> Mouais, du coup, l'interet de BGP dans l'histoire, je vois moins... En
> fait, une API, ca le fait... pas besoin qu'elle s'appelle BGP. Il te suffit
> d'un acces mobile, d'une bonne authentif securisee, et hop, tu postes tes
> regles de drop.
> 
>>> Raphael Maunier a écrit :
>>> Pour moi le blackhole n’est pas une solution, l’attaquant a gagné :)  
> 
> Rooohh... le pessimiste ;) 

Realiste, pas pessimiste, nuance ! :)

> Sur ce coup-la, je suis en phase avec Michel. On peut pas tous avoir les
> moyens de se payer 200G juste pour que l'attaque, on s'en moque (et si on
> pouvait le faire, alors les attaques feraient 10T, et on aurait juste
> deplacer le probleme).
> Si qq'un est capable de faire en sorte que tu recoives du traffic que tu ne
> devrais pas, ca serait bien de pouvoir configurer finement ce que tu
> blackhole (genre pouvoir specifier des sources - ports et/ou ip -, voire
> meme faire du filtre passant - drop tout sauf ca - pour preserver certains
> choses).

C’est pour ça que des gens montent des boites et levent des fonds :) Pour 
fournir ce genre de service voila voila ^^
> 
> Est-ce que c'est du long term ? Non, c'est clair, mais si c'est facile et
> rapide a mettre en oeuvre, alors tu as au moins deja rendu un coup.
> 
> Paul
> 
> 
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

























					Répondre à