Bonjour Guillaume, De mon observation (degré de conviction : 50%), quelqu'un s'amuse à arroser les classes publiques des hébergeurs avec des TCP-SYN dont l'IP source est forgée afin de diriger un max de ACK vers la destination. Les ports de destination sont : 80, 443, 465, 587 et 22.
J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont répondre. Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas super intéressante. Les sources des SYN évoluent en permanence depuis vendredi : on a eu LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba. Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté... Gaëtan Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot <guillaume.bar...@gmail.com> a écrit : > > Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus, > Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les > solutions AntiDDOS se sont comportées ... > > Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça ... > > Le ven. 1 nov. 2019 à 07:08, Michel Py <mic...@arneill-py.sacramento.ca.us> > a écrit : > > > Raphael, > > > > Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de > > spoofing ? > > Il y a combien d'IP sources ? > > > > 700G c'est pas de la rigolade. Bon courage. > > > > Michel. > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > -- > Cordialement, > > Guillaume BARROT > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Gaetan Allart / CEO gae...@nexylan.com / 0609219512 Nexylan 274 Ter Avenue de la Marne 59700 Marcq-En-Baroeul www.nexylan.com --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
