Y a rien de plus simple a détecter/bloquer un ACK Flood ou SYN-ACK flood sur Arbor, c’est qui ton provider anti-DDoS ? s’il a mal configuré son Arbor alors je me ferai un plaisir de lui faire un piqure de rappel.
Cordialement — reda.ned...@netscout.com Consulting Engineer +33675007958 Arbor Networks - Security Division of Netscout > Le 2 nov. 2019 à 11:40, Gaetan Allart <gae...@nexylan.com> a écrit : > > This message originated outside of NETSCOUT. Do not click links or open > attachments unless you recognize the sender and know the content is safe. > > Bonjour Guillaume, > > De mon observation (degré de conviction : 50%), quelqu'un s'amuse à > arroser les classes publiques des hébergeurs avec des TCP-SYN dont > l'IP source est forgée afin de diriger un max de ACK vers la > destination. Les ports de destination sont : 80, 443, 465, 587 et 22. > > J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit > qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont > répondre. > Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas > super intéressante. > > Les sources des SYN évoluent en permanence depuis vendredi : on a eu > LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba. > > Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté... > > Gaëtan > > >> Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot >> <guillaume.bar...@gmail.com> a écrit : >> >> Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus, >> Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les >> solutions AntiDDOS se sont comportées ... >> >> Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça ... >> >> Le ven. 1 nov. 2019 à 07:08, Michel Py <mic...@arneill-py.sacramento.ca.us> >> a écrit : >> >>> Raphael, >>> >>> Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de >>> spoofing ? >>> Il y a combien d'IP sources ? >>> >>> 700G c'est pas de la rigolade. Bon courage. >>> >>> Michel. >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_&d=DwIFaQ&c=Hlvprqonr5LuCN9TN65xNw&r=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ&m=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao&s=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM&e= >>> >>> >> >> >> -- >> Cordialement, >> >> Guillaume BARROT >> >> --------------------------- >> Liste de diffusion du FRnOG >> https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_&d=DwIFaQ&c=Hlvprqonr5LuCN9TN65xNw&r=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ&m=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao&s=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM&e= >> > > > > -- > > Gaetan Allart / CEO > gae...@nexylan.com / 0609219512 > > Nexylan > 274 Ter Avenue de la Marne > 59700 Marcq-En-Baroeul > https://urldefense.proofpoint.com/v2/url?u=http-3A__www.nexylan.com&d=DwIFaQ&c=Hlvprqonr5LuCN9TN65xNw&r=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ&m=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao&s=dg-0koTTOu2agvcN8taJ87CGGizeQ6wDCnRvnBHi3yg&e= > > > > --------------------------- > Liste de diffusion du FRnOG > https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_&d=DwIFaQ&c=Hlvprqonr5LuCN9TN65xNw&r=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ&m=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao&s=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM&e= > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
