Bonjour, Comme ce qui a été dit, même moi qui ne suis pas dans l'opérationnel mais dans un labo, je ne crois pas à un changement global et universel sur ce point. Il faut vivre avec (c'est à la mode), comme ça a été dit les gros hébergeurs savent s'en dépatouiller mais c'est en effet une menace pour un internet fédéré, avec des gros et des petits acteurs (qui, eux, ne savent pas vraiment s'en dépatouiller tous seuls).
Comme je ne crois pas qu'on peut changer les choses d'un coup en proposant un nouveau truc qui viendrait en remplacement d'un protocole actuel, on travaille avec une thésarde à la caractérisation des relais de DDoS (botnets, amplifications). On trouve plutôt pas mal d'infos sur les pays hébergeant des relais (typiquement dans des publications des gros hébergeurs) mais on a trouvé assez peu de choses publiques sur les types de relais (derrière quel type d'accès sont les résolveurs DNS ouverts ? domestiques, universitaires, entreprises ?) et de manière la plus transparente possible (et claire sur la méthode / les hypothèses). Le spoofing, bien sûr, est une difficulté, mais en croisant des données on a de premiers résultats pour l'estimer (et donc, établir des intervalles de confiance sur nos résultats). Ainsi, sur nos premières données, on peut afficher les % d'impact de différents types d'acteurs (résidentiel, cloud, entreprise, etc.), et ainsi pouvoir justifier de la sécurité au niveau de résidentiel, ou d'autres choses (bref, analyser ce qui aurait un impact à améliorer) J'avais fait un mail sur cette liste il y a quelques temps, j'ai eu quelques réponses (merci encore à eux !) et on a aujourd'hui quelques traces d'attaques / quelques partenaires côté captures d'attaques. Suffisamment pour commencer à travailler, mais si d'autres personnes ayant des données d'attaques sont intéressées par ce type d'analyse, une discussion sera avec plaisir ! Cordialement, François Lesueur Le 03/09/2020 à 09:48, Fabien H a écrit : > Bonjour, > > je rebondis sur le sujet précedent avec ce sujet : j'ai peur de lancer un > gros troll mais pour être sur que c'est techniquement impossible je demande > quand même : > > Les attaques DDOS les plus méchantes se font en UDP pour les raisons qu'on > connait : usurpation de l'IP source car pas de contrôle de sa validité sur > ce protocole + amplification sur les services ouverts sur Internet > > Ma question est simple et innocente : si tous les opérateurs mondiaux (et > notamment les hébergeurs de serveurs VPS mais pas que) se mettaient > d'accord sur des ACL (voir QoS rate limit sur certains flux UDP) bien > pensées à appliquer en routeurs de bordure, peut-être pourrait on endiguer > le phénomène ? > > Bien sur cela va à l'encontre de la neutralité du net, et l'utilisateur qui > veut utiliser des services UDP (VoIP, NTP, ..) chez un autre opérateur > risque de ne plus avoir accès aux services. > > Cela parait donc compromis. Mais n'y a t'il vraiment aucune solution > technique simple et efficace si tout le monde se mettait d'accord en > permettant malgré tout l'utilisation raisonnée des services UDP sur > Internet ? > > L'évolution du protocole UDP est bien entendue exclue, ça parait totalement > impossible. > > Si vous avez des remarques sur le sujet.. > > Merci, > Fabien > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- François Lesueur Maître de conférences INSA de Lyon / Département Télécommunications CITI-Inria / Équipe "DynaMid" Web : http://perso.citi-lab.fr/flesueur/ Tél : +33 4 72 43 73 20 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
