Le 03-09-2020 10:15, Philippe Bourcier a écrit :
Re,
@Stephane : OK pour BCP 38 effectivement !
+1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est
toujours pas fait partout.
@Stephane, oui pour DNS, mais malheureusement l'imagination est sans
limite pour trouver des nouveaux services d'amplification ..
C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de
HTTP (HTTP/3) risque bien
d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur
Internet vu à quel point
ce seul protocole est ultra-majoritaire et va continuer de l'être.
Ha j'allais dire la même chose sur HTTP/3 (y a eu un très bon thread sur
NaNOG la dessus, hormis les trolls, sur la classification de QUIC/HTTP/3
comme un DDoS chez Verizon si je me souviens bien, en gros la personne
regarde youtube sous Chrome et il obtient un débit tout pourri)
Bizarrement, je ne suis pas sur que TCP devienne la mode, je dirais que
c'est globalement l'inverse se produit. On utilise de plus en plus UDP
pour s'affranchir des problématiques de SlowStart (voir pour encapsuler,
cf VxLAN).
Bref, la fin d'UDP (et donc des DDoS avec spoof de la source) c'est pas
pour demain.
Globalement, il y a des choses à faire avec BCP 38, possiblement
FlowSpec (mais l'actualité va pas nous aider, et les mesures FlowSpec
inter AS, c'est compliqué IMHO), mais rien à mes yeux de globalement
applicable partout. Ca reste du bon vouloir des gens, et il est existe
quand même pas mal de moyens aujourd'hui de s'en prémunir (les gros
opérateurs proposant des services de miti auto).
Cordialement,
--
Philippe Bourcier
web : http://sysctl.org
blog : https://www.linkedin.com/today/author/philippebourcier
Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Fabien VINCENT
_@beufanet_
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
