Re: [FRnOG] [TECH] DDoS / analyse de traffic
pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant d'atteindre la cible potentiellement chez toi. cédric Le 27/02/2015 13:51, Raphael Maunier a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Tu ne blackhole pas les ip entrantes vers tes transitaires. Faire une route vers null0 sur ton backbone, c’est une chose, le faire vers tes transitaires ce n’est pas pareil Si le met il remplit ton lien de transit avec 20G alors que tu as que 1G en IN, ben faire un null route sur ton infra servira a rien car TA route sera toujours dans le bgp ( sauf si ta session bgp tombe ) Raphael On 27 Feb 2015, at 04:57, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant d'atteindre la cible potentiellement chez toi. cédric Le 27/02/2015 13:51, Raphael Maunier a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Si tes uplink sont saturés, bloquer les IP entrantes ne sert à rien. Le blackhole BGP permet de sauver ton réseau, mais l'attaquant a de toute façon gagné. Il faut donc systématiquement augmenter la taille des tuyaux. Seulement là, tu peux envisager d'allumer une machine à laver... Jérémy Le 27/02/2015 13:57, cedric lamouche a écrit : pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant d'atteindre la cible potentiellement chez toi. cédric Le 27/02/2015 13:51, Raphael Maunier a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Raphael, Le 27 févr. 2015 à 14:04, Raphael Maunier raph...@maunier.net a écrit : Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une autre attaque qui forge les ip ton routeur tes routages ne te seront pas d’une grande utilité Je suis complètement d’accord. Je rebondissais à un de tes messages qui laissait entendre qu’il fallait la meilleure solution - ou rien. Je disais juste que si je ne peut pas acheter la meilleure des solutions, alors en connaissance de cause, les solutions intermédiaires seront toujours mieux que rien. Cordialement, -- David CHANIAL --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DDoS / analyse de traffic
[...] Il parait, je dirais pas qui, qu'on peut avoir le login et le root du serveur par httpd et php [...] Ce gars m'a quasiment fait mourir de rire ! Et puis convaincu de son truc en plus ! On 27/02/2015 17:31, Youssef Bengelloun-Zahr wrote: Naaa, mais la vidéo était au même niveau de ridicule... Il se serait pas pris pour Snowden le mec ? :-) @++ Le 27 février 2015 17:21, Clement Cavadore clem...@cavadore.net a écrit : 'lu On Fri, 2015-02-27 at 17:11 +0100, Youssef Bengelloun-Zahr wrote: Merci pour ce moment ;-) drediTu t'es pris pour Trierweiler ?/dredi -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Oui je pense que l'on fait parti des rares GSP à avoir un AS (Myriapulse.com AS50535), mais le marcher est entrain de chuter, car il y a de plus en plus de petit qui n'on pas un service aussi avancé que nous, ils hébergent chez online ou ovh et on plus de flexibilité, car ils n'ont pas à gérer leurs infrastructure hardware. c'est pour cela que nous sommes passé au cloud, avec nodilex.com, car les technique sont plus ou moins les mêmes, sauf qu'au lieux de gérer des serveur de jeux (processus) nous gérons des VM. De plus quand tu débarque dans des meeting et que tu dit que tu est fait du jeux, on te prend pour un guignol, alors que les techniques sont plus poussé et l’infrastructure est plus critique que dans du hosting traditionnel car c'est tu temps réel et que l'on ne peux pas ce permettre d'avoir des problèmes de performances ou de lantences, un peux comme dans de la voip. Le 2015-02-27 16:43, Alexandre Allard-Jacquin a écrit : Bonjour la liste, Neo / Zayo, de mon expérience a toujours, avec leur solution IP Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s. Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne plus annoncer le /24 sur cogent voir tomber la session Cogent quand ils prennent une attaque. Bref, Zayo a fait ses preuves avec leur ARBOR lors d'attaques sur les GSP sur tout type de jeu une fois les contre mesures bien setup. trolldi Il a l'air super expérimenté le gars, je comprends pas pourquoi on se moque de lui :p /trolldi Alexandre On 27/02/2015 16:26, Christopher Johnson wrote: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG
Re: [FRnOG] [MISC] DDoS / analyse de traffic
14 ans et pas de nana à re-inventer le monde dans sa piaule... Ça vous rappel pas des souvenirs ? ;-) Bon WE. Le 27 févr. 2015 à 17:42, Alexandre Allard-Jacquin aallardjacq...@rezopole.net a écrit : [...] Il parait, je dirais pas qui, qu'on peut avoir le login et le root du serveur par httpd et php [...] Ce gars m'a quasiment fait mourir de rire ! Et puis convaincu de son truc en plus ! On 27/02/2015 17:31, Youssef Bengelloun-Zahr wrote: Naaa, mais la vidéo était au même niveau de ridicule... Il se serait pas pris pour Snowden le mec ? :-) @++ Le 27 février 2015 17:21, Clement Cavadore clem...@cavadore.net a écrit : 'lu On Fri, 2015-02-27 at 17:11 +0100, Youssef Bengelloun-Zahr wrote: Merci pour ce moment ;-) drediTu t'es pris pour Trierweiler ?/dredi -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DDoS / analyse de traffic
Et il copie le mot de passe dans la barre d'url... lol mdr Le 2015-02-27 17:42, Alexandre Allard-Jacquin a écrit : [...] Il parait, je dirais pas qui, qu'on peut avoir le login et le root du serveur par httpd et php [...] Ce gars m'a quasiment fait mourir de rire ! Et puis convaincu de son truc en plus ! On 27/02/2015 17:31, Youssef Bengelloun-Zahr wrote: Naaa, mais la vidéo était au même niveau de ridicule... Il se serait pas pris pour Snowden le mec ? :-) @++ Le 27 février 2015 17:21, Clement Cavadore clem...@cavadore.net a écrit : 'lu On Fri, 2015-02-27 at 17:11 +0100, Youssef Bengelloun-Zahr wrote: Merci pour ce moment ;-) drediTu t'es pris pour Trierweiler ?/dredi -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Nous avons déjà eu des réquisition judiciaires suite a ce genre de problèmes, je ne sais pas qui il avait ddos, mais je pense que cela reste une exception. Le 2015-02-27 17:15, Josselin Lecocq a écrit : Salut la liste, C'est triste quand même que la grande majorité des DDoS soient aujourd'hui l’œuvre de script kiddies... Il faudrait quand même que l'on commence à se poser sérieusement des questions concernant ce problème majeur sur Internet, et que l'on traite les causes plutôt que les symptômes. La clé, c'est sans doute la collaboration de tous les opérateurs de réseau afin d'être en mesure d'identifier rapidement les attaques, de les bloquer au plus proche possible des sources, mais aussi et surtout d'identifier les auteurs, pirates en herbe ou autre, afin de les traduire systématiquement en justice. Ça peut paraître exagéré, mais on tolère encore trop ce genre de chose, ce qui fait qu'il y a un sentiment d'impunité et de banalité qui s'installe et qui ne fait qu'amplifier le problème. L'autre aspect de cette problématique, c'est qu'un certain nombre de grands hébergeurs font désormais de leurs systèmes anti-DDoS un argument commercial, et n'ont pas forcément intérêt à voir ces attaques diminuer, ce qui permettrait à des plus petits concurrents d'émerger plus facilement... Bref, pas simple tout ça... Josselin Lecocq Quantic Telecom Le 27/02/2015 16:52, Pierre DOLIDON a écrit : Le 27/02/2015 16:26, Christopher Johnson a écrit : Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... je sais pas... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Je suis d'accord avec toi, Le domaine du GSP n'est pas tellement reconnu mais jugé la plupart du temps à sa juste valeur ! Les infras sont certes critiques dans le besoin de propreté et de fiabilité du réseau mais moins critiques au sens général du terme car ne portant pas la vie d'une entreprise. Je pense personnellement que le jeu qui occasionne 80% des DDoS à savoir Minecraft est dans son cycle de croissance en nombre d'attaques car pollué de plus en plus et c'est bien dommage pour la communauté. Je te propose de poursuivre ce débat en Off ... Alexandre On 27/02/2015 17:26, Christopher Johnson wrote: Oui je pense que l'on fait parti des rares GSP à avoir un AS (Myriapulse.com AS50535), mais le marcher est entrain de chuter, car il y a de plus en plus de petit qui n'on pas un service aussi avancé que nous, ils hébergent chez online ou ovh et on plus de flexibilité, car ils n'ont pas à gérer leurs infrastructure hardware. c'est pour cela que nous sommes passé au cloud, avec nodilex.com, car les technique sont plus ou moins les mêmes, sauf qu'au lieux de gérer des serveur de jeux (processus) nous gérons des VM. De plus quand tu débarque dans des meeting et que tu dit que tu est fait du jeux, on te prend pour un guignol, alors que les techniques sont plus poussé et l’infrastructure est plus critique que dans du hosting traditionnel car c'est tu temps réel et que l'on ne peux pas ce permettre d'avoir des problèmes de performances ou de lantences, un peux comme dans de la voip. Le 2015-02-27 16:43, Alexandre Allard-Jacquin a écrit : Bonjour la liste, Neo / Zayo, de mon expérience a toujours, avec leur solution IP Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s. Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne plus annoncer le /24 sur cogent voir tomber la session Cogent quand ils prennent une attaque. Bref, Zayo a fait ses preuves avec leur ARBOR lors d'attaques sur les GSP sur tout type de jeu une fois les contre mesures bien setup. trolldi Il a l'air super expérimenté le gars, je comprends pas pourquoi on se moque de lui :p /trolldi Alexandre On 27/02/2015 16:26, Christopher Johnson wrote: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence
Re: [FRnOG] [MISC] DDoS / analyse de traffic
Sans aller dans les extrêmes, quelques centaines de milliers de paquets ne prennent pas un gros volume et peuvent faire tomber la plus part des équipements réseau et/ou serveurs d'un infra. Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Appel à expérimentations - plate-forme ANR LISP-LAB
Bonjour, la plate-forme du projet LISP-LAB est désormais ouverte aux expérimentateurs externes. Le projet est financé par l'Agence Nationale pour la Recherche (ANR). Le réseau de coeur de la plate-forme (AS 199813) possède tous les éléments nécessaires à opérer un réseau LISP : - système de mapping, serveurs et résolveurs ; - proxy avec l'Internet non-LISP via Rezopole ; - plusieurs noeuds LISP-TE (MS, RTR) ; - une dizaine de sites déjà opérationnels, dans quatre continents ; - racine DDT pour l'accès à d'autres testbeds (http://ddt-root.org). Les noeuds sont tous basés sur OpenLISP (http://www.openlisp.org, http://github.com/lip6-lisp), et grace à cela des nouvelles fonctionnalités peuvent etre implémentées et mises-en-oeuvre assez rapidement dans les noeuds du coeur du réseau. Cela dit, d'autres implementations (comme Cisco IOS, Fritzbox, LISPmob, etc) peuvent aussi être utilisées pour interconnecter votre site qui peut rester relativement indépendant du reste de la plate-forme : à minima, deux VMs suffisent, une pour tourner un xTR et une pour un client. Rejoindre la plate-forme est très simple : http://www.lisp-lab.org/join.html Une présentation sera faite lors du prochain FRnOG du 20 mars, avec plusieurs personnes disponibles à répondre à vos questions pendant les pauses et le beer event. Cordialement, Stefano Secci -- Stefano Secci Associate Professor Univ. Pierre and Marie Curie LIP6 - Bureau 25-26/318, BC 169 4 place Jussieu, 75005 Paris, France Tel: +33 (0) 1 4427 3678 http://lip6.fr/Stefano.Secci/ -- Stefano Secci Associate Professor Univ. Pierre and Marie Curie LIP6 - Bureau 25-26/318, BC 169 4 place Jussieu, 75005 Paris, France Tel: +33 (0) 1 4427 3678 http://lip6.fr/Stefano.Secci/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- *Romain Guichard* * | rom...@rguichard.fr rom...@rguichard.frNetwork and Cloud engineer* *~ Blog http://blog.vsense.fr * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Pour cela qu’il faut parfois utiliser son transitaire pour le capacitaire afin que les device DDoS interne fasse leur travail sans étouffer. Le mieux que rien en cas de DDoS capacitaire c’est … rien si tu as pas ce qu’il faut hélas. David On 27 Feb 2015, at 14:13, David CHANIAL david.chan...@davixx.fr wrote: Raphael, Le 27 févr. 2015 à 14:04, Raphael Maunier raph...@maunier.net a écrit : Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une autre attaque qui forge les ip ton routeur tes routages ne te seront pas d’une grande utilité Je suis complètement d’accord. Je rebondissais à un de tes messages qui laissait entendre qu’il fallait la meilleure solution - ou rien. Je disais juste que si je ne peut pas acheter la meilleure des solutions, alors en connaissance de cause, les solutions intermédiaires seront toujours mieux que rien. Cordialement, -- David CHANIAL --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
je parlais dans le cas où tu peux avoir une remonté d'info vers ton transitaire . Biensur que le fait de rajouter une route null sur ton backbone c'est trop tard. cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Pour démarrer peut être voir si tes upstreams n’ont pas l’option mitigation Arbor ca évitera d’acheter la machine à laver. Mettre du TMS ou équivalent chez soi c’est cher. Ensuite faire attention si tu as plusieurs upstream à comment tu veux gérer cela (ie arrêter l’annonce vers un transitaire pour nettoyer via l’autre ou pas.. mais ca peu devenir compliqué) Et d’accord avec Raph sur le BlackHole qui est totalement inutile sur du DDos capacitaire comme les device avec “option” DDoS précédemment cités David On 27 Feb 2015, at 13:57, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant d'atteindre la cible potentiellement chez toi. cédric Le 27/02/2015 13:51, Raphael Maunier a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Oui, mais ce n’est pas une protection ddos :) Mon propos est la On 27 Feb 2015, at 05:13, David CHANIAL david.chan...@davixx.fr wrote: Raphael, Le 27 févr. 2015 à 14:04, Raphael Maunier raph...@maunier.net a écrit : Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une autre attaque qui forge les ip ton routeur tes routages ne te seront pas d’une grande utilité Je suis complètement d’accord. Je rebondissais à un de tes messages qui laissait entendre qu’il fallait la meilleure solution - ou rien. Je disais juste que si je ne peut pas acheter la meilleure des solutions, alors en connaissance de cause, les solutions intermédiaires seront toujours mieux que rien. Cordialement, -- David CHANIAL --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DDoS / analyse de traffic
Et a l'inverse, on a déjà vu *UN* seul paquet faire rebooter des routeurs cœur. Ce n'est *PLUS* une question de taille, la menace est devenue polymorphe, multi-vectorielle et évolutive. == donc les contre-mesures doivent s'adapter en fonction. @+ Le 27 févr. 2015 à 18:30, Baptiste bed...@gmail.com a écrit : Sans aller dans les extrêmes, quelques centaines de milliers de paquets ne prennent pas un gros volume et peuvent faire tomber la plus part des équipements réseau et/ou serveurs d'un infra. Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour la liste, Neo / Zayo, de mon expérience a toujours, avec leur solution IP Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s. Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne plus annoncer le /24 sur cogent voir tomber la session Cogent quand ils prennent une attaque. Bref, Zayo a fait ses preuves avec leur ARBOR lors d'attaques sur les GSP sur tout type de jeu une fois les contre mesures bien setup. trolldi Il a l'air super expérimenté le gars, je comprends pas pourquoi on se moque de lui :p /trolldi Alexandre On 27/02/2015 16:26, Christopher Johnson wrote: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Merci pour ce moment ;-) @+ Le 27 février 2015 16:52, Pierre DOLIDON sn...@sn4ky.net a écrit : Le 27/02/2015 16:26, Christopher Johnson a écrit : Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... je sais pas... --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Youssef BENGELLOUN-ZAHR --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Salut la liste, C'est triste quand même que la grande majorité des DDoS soient aujourd'hui l’œuvre de script kiddies... Il faudrait quand même que l'on commence à se poser sérieusement des questions concernant ce problème majeur sur Internet, et que l'on traite les causes plutôt que les symptômes. La clé, c'est sans doute la collaboration de tous les opérateurs de réseau afin d'être en mesure d'identifier rapidement les attaques, de les bloquer au plus proche possible des sources, mais aussi et surtout d'identifier les auteurs, pirates en herbe ou autre, afin de les traduire systématiquement en justice. Ça peut paraître exagéré, mais on tolère encore trop ce genre de chose, ce qui fait qu'il y a un sentiment d'impunité et de banalité qui s'installe et qui ne fait qu'amplifier le problème. L'autre aspect de cette problématique, c'est qu'un certain nombre de grands hébergeurs font désormais de leurs systèmes anti-DDoS un argument commercial, et n'ont pas forcément intérêt à voir ces attaques diminuer, ce qui permettrait à des plus petits concurrents d'émerger plus facilement... Bref, pas simple tout ça... Josselin Lecocq Quantic Telecom Le 27/02/2015 16:52, Pierre DOLIDON a écrit : Le 27/02/2015 16:26, Christopher Johnson a écrit : Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... je sais pas... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DDoS / analyse de traffic
'lu On Fri, 2015-02-27 at 17:11 +0100, Youssef Bengelloun-Zahr wrote: Merci pour ce moment ;-) drediTu t'es pris pour Trierweiler ?/dredi -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Le 2015-02-27 16:52, Pierre DOLIDON a écrit : Le 27/02/2015 16:26, Christopher Johnson a écrit : Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... je sais pas... --- Liste de diffusion du FRnOG http://www.frnog.org/ Ce qu'il n'a jamais su, c'est que le BEFTI nous a envoyé une réquisition judiciaire suite à ces ddos. --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour Frédéric, Oui, je suis d'accord et j'ai aussi penser à la solution du transit poubelle pour le /24 infecté à pas de 0 cts/Mbits. Dans l'absolu, tout dépend de ton business case (la nature de clients adressés + SLAs). Il y a un juste milieu à trouver entre la foultitude d'outils à notre disposition. Après, il faut juste espérer que ça ne te tombe pas dessus (trop) souvent ? En ce moment, la météo est mauvaise... Y. Le 27 février 2015 15:51, Frederic Dhieux frede...@syn.fr a écrit : Bonjour, On retombe toujours sur les mêmes problèmes. Dans tous les cas quand on prend un bon DDoS, à moins d'avoir de gros moyens ou de souscrire à un service anti-DDoS chez ton transitaire (beaucoup le proposent et c'est bien parce qu'ils ont la capa pour le gérer correctement), il n'y a pas beaucoup de solutions. Pour ma part j'ai pris le parti de prendre un transit poubelle et d'y coller un serveur machine à laver à qui un outil d'analyse applique des ACLs en fonction des attaques. Après le jeu est d'appliquer des communautés BGP et des annonces pour faire converger le trafic DDoS sur ce transit poubelle et garder le reste sur les liens propres. Sinon de préserver les peerings sensibles et opérateurs clés de mon activité et basculer tout le reste sur le transit poubelle. Si le transit poubelle sature, au moins je préserve une partie du trafic. Sachant aussi qu'en cas d'attaque ciblée sur une IP, le /24 le contenant est annoncé indépendamment pour que le traitement ne concerne que cette /24 et pas tout le reste. C'est un compromis que je trouve plus acceptable chez nous que de dépenser des 100aines de milliers d'Euros dans une solution à la mode dont la capacité de traitement est plafonnée de toute manière par la taille du tuyau quand les attaques augmentent de mois en mois. Sinon quand on a pas de temps à perdre pour mettre ça en place, prendre un transit avec service anti-DDoS et tout basculer dessus en cas de problème. Ou faire les 2 quand on veut s'amuser et se backuper. Je pense qu'il faut vraiment avoir une taille critique et des moyens pour utiliser des solutions Anti-DDoS commerciales en propre. Frédéric Le 27/02/15 14:14, Youssef Bengelloun-Zahr a écrit : Sans compter que tout le monde n'a peut-être pas suffisement de TCAMs sur ses routeurs de coeur (qui a dit firewalls ;-) pour blackholer autant d'IP sources. My 2 cents. @++ Le 27 février 2015 14:04, Raphael Maunier raph...@maunier.net a écrit : On 27 Feb 2015, at 05:02, David CHANIAL david.chan...@davixx.fr wrote: Bonjour Raphael, Le 27 févr. 2015 à 13:51, Raphael Maunier raph...@maunier.net a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. N’y a t’il pas « 50 nuances » de victoire de part et d’autre ? :) Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de l’infra reste un objectif louable. Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une autre attaque qui forge les ip ton routeur tes routages ne te seront pas d’une grande utilité Mais si le budget ne le permet pas, ne vaut-il pas mieux envisager des solutions intermédiaires, dont certaines te permettent de bloquer uniquement la cible, et pas le reste de ton infra ? Cordialement, -- David CHANIAL --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Youssef BENGELLOUN-ZAHR --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Fwd: Re: Verizon Policy Statement on Net Neutrality
;-) Cheers, mh Message transféré Sujet : Re: Verizon Policy Statement on Net Neutrality Date : Fri, 27 Feb 2015 14:24:54 -0500 De :Bruce H McIntosh b...@ufl.edu Pour : Jim Richardson weaselkee...@gmail.com, Lamar Owen lo...@pari.edu Copie à : na...@nanog.org na...@nanog.org On 2015-02-27 14:14, Jim Richardson wrote: What's a lawful web site? Now *there* is a $64,000 question. Even more interesting is, Who gets to decide day to day the answer to that question? :) -- Bruce H. McIntoshb...@ufl.edu Senior Network Engineer http://net-services.ufl.edu University of Florida Network Services 352-273-1066 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour, Il y a aussi 6cure à Caen qui fournit ce genre de solutions dont quelques hébergeurs. A+ -- Christophe Envoyé de mon téléphone, veuillez excuser ma brièveté. Le 27 févr. 2015 à 09:31, cedric lamouche cedric.lamou...@ac-clermont.fr a écrit : salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/