Zayo ;) Le sam. 2 nov. 2019 à 16:51, Nedjar, Reda <reda.ned...@netscout.com> a écrit :
> Y a rien de plus simple a détecter/bloquer un ACK Flood ou SYN-ACK flood > sur Arbor, c’est qui ton provider anti-DDoS ? s’il a mal configuré son > Arbor alors je me ferai un plaisir de lui faire un piqure de rappel. > > Cordialement > — > Reda Nedjar > Consulting Engineer > Arbor Networks - Security Division of Netscout > > > > Le 2 nov. 2019 à 11:40, Gaetan Allart <gae...@nexylan.com> a écrit : > > > > This message originated outside of NETSCOUT. Do not click links or open > attachments unless you recognize the sender and know the content is safe. > > > > Bonjour Guillaume, > > > > De mon observation (degré de conviction : 50%), quelqu'un s'amuse à > > arroser les classes publiques des hébergeurs avec des TCP-SYN dont > > l'IP source est forgée afin de diriger un max de ACK vers la > > destination. Les ports de destination sont : 80, 443, 465, 587 et 22. > > > > J'ai l'impression qu'en visant les classes d'hébergeurs, il se dit > > qu'il y a un maximum de chances d'avoir des IPs consécutives qui vont > > répondre. > > Je reste perplexe sur la méthode (la volumétrie du ACK) n'étant pas > > super intéressante. > > > > Les sources des SYN évoluent en permanence depuis vendredi : on a eu > > LOTTOMATICA, Winamax, Unibet, Eurobet et ce matin, c'est Alibaba. > > > > Les systèmes Anti-DDos (Arbor) ne voient rien du tout de notre côté... > > > > Gaëtan > > > > > >> Le sam. 2 nov. 2019 à 02:40, Guillaume Barrot > >> <guillaume.bar...@gmail.com> a écrit : > >> > >> Ca serait pas mal d'avoir un postmortem des concernés (Zayo, Acorus, > >> Jaguar, Colt), qu'on puisse voir ce qui a tapé, quel débit, comment les > >> solutions AntiDDOS se sont comportées ... > >> > >> Genre au prochain Frnog, une table ronde, des slides chiffrés, tout ça > ... > >> > >> Le ven. 1 nov. 2019 à 07:08, Michel Py < > mic...@arneill-py.sacramento.ca.us> > >> a écrit : > >> > >>> Raphael, > >>> > >>> Tu pourrais nous donner quelques détails ? Cà vient d'IP réelles ou de > >>> spoofing ? > >>> Il y a combien d'IP sources ? > >>> > >>> 700G c'est pas de la rigolade. Bon courage. > >>> > >>> Michel. > >>> > >>> > >>> --------------------------- > >>> Liste de diffusion du FRnOG > >>> > https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_&d=DwIFaQ&c=Hlvprqonr5LuCN9TN65xNw&r=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ&m=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao&s=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM&e= > >>> > >> > >> > >> -- > >> Cordialement, > >> > >> Guillaume BARROT > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> > https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_&d=DwIFaQ&c=Hlvprqonr5LuCN9TN65xNw&r=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ&m=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao&s=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM&e= > > > > > > > > -- > > > > Gaetan Allart / CEO > > gae...@nexylan.com / 0609219512 > > > > Nexylan > > 274 Ter Avenue de la Marne > > 59700 Marcq-En-Baroeul > > > https://urldefense.proofpoint.com/v2/url?u=http-3A__www.nexylan.com&d=DwIFaQ&c=Hlvprqonr5LuCN9TN65xNw&r=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ&m=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao&s=dg-0koTTOu2agvcN8taJ87CGGizeQ6wDCnRvnBHi3yg&e= > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > > https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_&d=DwIFaQ&c=Hlvprqonr5LuCN9TN65xNw&r=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ&m=nimOlAYeEkupXXum2BuSWRvGEwVvohsvi86ioj214Ao&s=gn0lO38cC1Oq5y-JyF-ceSBxCYHFx_fgGDS-02BESIM&e= > -- [image: Nexylan] <https://htmlsig.com/t/000001CMVYVA> Gaetan Allart / CEO gae...@nexylan.com / 0609219512 Nexylan 274 Ter Avenue de la Marne 59700 Marcq-En-Baroeul www.nexylan.com --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
