Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour la liste, Il y a aussi une solution netflow de Genie Networks qui a l’air pas mal… Est-ce qu’il y a qn qui l’utilise? Cordialement, Francois 2015-03-02 20:23 GMT+08:00 Julien Petiot juli...@radware.com: Bonjour, Les solutions contre les attaques DDos peuvent s’appuyer sur l’une des trois approches suivantes : protection sur site, dans le cloud ou hybride. Il est dans l’intérêt de chaque organisation d’examiner ces différentes solutions et d’évaluer celle qui correspond le mieux à ses besoins. Cordialement, Julien -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Alexandre Sent: lundi 2 mars 2015 09:05 To: frnog@frnog.org Subject: Re: [FRnOG] [TECH] DDoS / analyse de traffic J'ai oublié de vous demander si quelqu'un utilise Prolexic ? J'aimerai savoir ce que vous en pensez. Alex. On 01/03/15 18:52, Alexandre wrote: Salut, on va peut-être tester Prolexic (division akamai : http://www.akamai.com/html/solutions/prolexic-routed.html). Tu as plusieurs types de fonctionnement : - permanent : le trafic passe chez Prolexic en permanence, et livre que le trafic propre. - à la demande : une infime partie du trafic est envoyé chez Prolexic, s'il y a un problème, Prolexic prend en charge tout le trafic et livre le trafic propre. D'après ce que j'ai compris tu ne paies que le trafic nettoyé. Alex. On 26/02/15 19:02, Alexandre Allard-Jacquin wrote: Bonjour, De mémoire 180k € pour le boitier de détection et le boitier de mitigation (90k€ l'U) et tu mitiges 40Gb/s d'attaque environ. Cordialement, Alexandre On 26/02/2015 18:43, Christopher Johnson wrote: Est ce que quelqu'un a une idée des prix ds solutions Arbor PeakFlow SP CP ? Le 2015-02-26 17:06, Christopher Johnson a écrit : Bonjour, Depuis plusieurs mois j'ai constaté une recrudescence des attaques DDoS sur notre résaux. Nous avons déjà mis plusieurs solutions en places dont un blackhole BGP. Le problème ce situe au niveau de la détection des attaques. Pouvez vous me conseiller un bon software pour analyser le trafique via un port SAPN ? Cordialement, --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour, Les solutions contre les attaques DDos peuvent s’appuyer sur l’une des trois approches suivantes : protection sur site, dans le cloud ou hybride. Il est dans l’intérêt de chaque organisation d’examiner ces différentes solutions et d’évaluer celle qui correspond le mieux à ses besoins. Cordialement, Julien -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Alexandre Sent: lundi 2 mars 2015 09:05 To: frnog@frnog.org Subject: Re: [FRnOG] [TECH] DDoS / analyse de traffic J'ai oublié de vous demander si quelqu'un utilise Prolexic ? J'aimerai savoir ce que vous en pensez. Alex. On 01/03/15 18:52, Alexandre wrote: Salut, on va peut-être tester Prolexic (division akamai : http://www.akamai.com/html/solutions/prolexic-routed.html). Tu as plusieurs types de fonctionnement : - permanent : le trafic passe chez Prolexic en permanence, et livre que le trafic propre. - à la demande : une infime partie du trafic est envoyé chez Prolexic, s'il y a un problème, Prolexic prend en charge tout le trafic et livre le trafic propre. D'après ce que j'ai compris tu ne paies que le trafic nettoyé. Alex. On 26/02/15 19:02, Alexandre Allard-Jacquin wrote: Bonjour, De mémoire 180k € pour le boitier de détection et le boitier de mitigation (90k€ l'U) et tu mitiges 40Gb/s d'attaque environ. Cordialement, Alexandre On 26/02/2015 18:43, Christopher Johnson wrote: Est ce que quelqu'un a une idée des prix ds solutions Arbor PeakFlow SP CP ? Le 2015-02-26 17:06, Christopher Johnson a écrit : Bonjour, Depuis plusieurs mois j'ai constaté une recrudescence des attaques DDoS sur notre résaux. Nous avons déjà mis plusieurs solutions en places dont un blackhole BGP. Le problème ce situe au niveau de la détection des attaques. Pouvez vous me conseiller un bon software pour analyser le trafique via un port SAPN ? Cordialement, --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
J'ai oublié de vous demander si quelqu'un utilise Prolexic ? J'aimerai savoir ce que vous en pensez. Alex. On 01/03/15 18:52, Alexandre wrote: Salut, on va peut-être tester Prolexic (division akamai : http://www.akamai.com/html/solutions/prolexic-routed.html). Tu as plusieurs types de fonctionnement : - permanent : le trafic passe chez Prolexic en permanence, et livre que le trafic propre. - à la demande : une infime partie du trafic est envoyé chez Prolexic, s'il y a un problème, Prolexic prend en charge tout le trafic et livre le trafic propre. D'après ce que j'ai compris tu ne paies que le trafic nettoyé. Alex. On 26/02/15 19:02, Alexandre Allard-Jacquin wrote: Bonjour, De mémoire 180k € pour le boitier de détection et le boitier de mitigation (90k€ l'U) et tu mitiges 40Gb/s d'attaque environ. Cordialement, Alexandre On 26/02/2015 18:43, Christopher Johnson wrote: Est ce que quelqu'un a une idée des prix ds solutions Arbor PeakFlow SP CP ? Le 2015-02-26 17:06, Christopher Johnson a écrit : Bonjour, Depuis plusieurs mois j'ai constaté une recrudescence des attaques DDoS sur notre résaux. Nous avons déjà mis plusieurs solutions en places dont un blackhole BGP. Le problème ce situe au niveau de la détection des attaques. Pouvez vous me conseiller un bon software pour analyser le trafique via un port SAPN ? Cordialement, --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Detecter les attaques DDoS c'est vraiment facile. N'importe quel collecteur Netflow (v5/v9/IPFIX) ou sFlow peut faire l'affaire, et pas besoin d'un Arbor pour ca. La vraie difficulte c'est de mitiger l'attaque. Si dans ton cas un blackhole des IP attaquees te suffit, alors pas de probleme. Si tu veux bloquer les IP sources et que tu recois 100 fois plus que ta capacite de transit c'est une autre paire de manches. Il n'y a guere que ton transitaire qui peut te venir en aide: Cher transitaire, pouvez-vous bloquer tout le traffic en provenance de Leaseweb, China Telecom, etc. ? - ca peut fonctionner. Sinon malheureusement la meilleure defense ca reste d'avoir les plus gros tuyaux. 2015-02-27 7:26 GMT-08:00 Christopher Johnson christopher.john...@euskill.com: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour, Je profite de ce mail pour savoir si quelqu'un a fait l exercice de dresser une liste des solutions ddos par transitaire, pas forcément par capacité de traitement ou techno, mais plus niveau design : - machines a laver centralisées ou distribuées - mécanisme de déclenchement : action client (bgp community, flow spec ou déclenchement via ouverture de ticket..) ou automatique. - Granularité de la mitigation (/24, /32?) - éventuellement une estimation de prix (récurrent, prix au déclenchement, etc) Aujourd'hui les transitaires sont plus ou moins opaques sur le sujet, surtout niveau infra. Merci d avance pour tout retour, Bon dimanche a tous, Pierre Lancastre Ingénieur Réseaux et Sécurité *-* SENSS - AS59798 *-* +33 6 34 65 84 66 /* depuis mon mobile */ Le 1 mars 2015 10:49, Philippe Bourcier phili...@frnog.org a écrit : Bonjour, Là on a clairement franchi la limite du mail à caractère commercial... Si tu veux informer tes clients, fais-le en direct, pas sur la mailing-list. Si tous les fournisseurs de transit se mettent à faire pareil, on ne va pas s'en sortir... et l'intérêt pour l'ensemble de la mailing-list n'est pas énorme. Cordialement, Philippe Bourcier On 2015-03-01 09:31, Lunn, Melvin wrote: http://www.level3.com/~/media/files/customer_center/ handbooks/en_cstsppt_hb_emea_handbook.pdf Reponse pour tous les clients de Level3: En effet, Level3 offre de bloquer jusqu'a 10 lignes d'ACL de maniere gratuite lors d'une attaque DDoS envers ses clients de Transit IP et de DIA Il suffit de contacter notre Sevice Management et demander d'etre mis en relation avec l'equipe de Security Operations, ou bien de contacter l'equipe SecOps directement a l'adresse email suivante: sec...@level3.com N'oubliez pas de fournir votre reference de Client Level3 et du Service transit IP svp. Je profite de cette reponse egalement pour informer tout le monde que Level3 vient de lancer ce moi-ci sa propre solution de detection et de mitigation DDoS avec une capacite de 4,5Tbps et 8 Scrubbing Centres (bientot 11). Si vous voulez en savoir plus, merci de contacter votre Commercial ou bien votre Ingenieur Avant-Vente. Bon dimanche a tout le monde Envoyé de mon iPad Le 1 mars 2015 à 09:44, Jérôme Fleury jer...@fleury.net a écrit : Detecter les attaques DDoS c'est vraiment facile. N'importe quel collecteur Netflow (v5/v9/IPFIX) ou sFlow peut faire l'affaire, et pas besoin d'un Arbor pour ca. La vraie difficulte c'est de mitiger l'attaque. Si dans ton cas un blackhole des IP attaquees te suffit, alors pas de probleme. Si tu veux bloquer les IP sources et que tu recois 100 fois plus que ta capacite de transit c'est une autre paire de manches. Il n'y a guere que ton transitaire qui peut te venir en aide: Cher transitaire, pouvez-vous bloquer tout le traffic en provenance de Leaseweb, China Telecom, etc. ? - ca peut fonctionner. Sinon malheureusement la meilleure defense ca reste d'avoir les plus gros tuyaux. 2015-02-27 7:26 GMT-08:00 Christopher Johnson christopher.john...@euskill.com: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire
Re: [FRnOG] [TECH] DDoS / analyse de traffic
http://www.level3.com/~/media/files/customer_center/handbooks/en_cstsppt_hb_emea_handbook.pdf Reponse pour tous les clients de Level3: En effet, Level3 offre de bloquer jusqu'a 10 lignes d'ACL de maniere gratuite lors d'une attaque DDoS envers ses clients de Transit IP et de DIA Il suffit de contacter notre Sevice Management et demander d'etre mis en relation avec l'equipe de Security Operations, ou bien de contacter l'equipe SecOps directement a l'adresse email suivante: sec...@level3.com N'oubliez pas de fournir votre reference de Client Level3 et du Service transit IP svp. Je profite de cette reponse egalement pour informer tout le monde que Level3 vient de lancer ce moi-ci sa propre solution de detection et de mitigation DDoS avec une capacite de 4,5Tbps et 8 Scrubbing Centres (bientot 11). Si vous voulez en savoir plus, merci de contacter votre Commercial ou bien votre Ingenieur Avant-Vente. Bon dimanche a tout le monde Envoyé de mon iPad Le 1 mars 2015 à 09:44, Jérôme Fleury jer...@fleury.net a écrit : Detecter les attaques DDoS c'est vraiment facile. N'importe quel collecteur Netflow (v5/v9/IPFIX) ou sFlow peut faire l'affaire, et pas besoin d'un Arbor pour ca. La vraie difficulte c'est de mitiger l'attaque. Si dans ton cas un blackhole des IP attaquees te suffit, alors pas de probleme. Si tu veux bloquer les IP sources et que tu recois 100 fois plus que ta capacite de transit c'est une autre paire de manches. Il n'y a guere que ton transitaire qui peut te venir en aide: Cher transitaire, pouvez-vous bloquer tout le traffic en provenance de Leaseweb, China Telecom, etc. ? - ca peut fonctionner. Sinon malheureusement la meilleure defense ca reste d'avoir les plus gros tuyaux. 2015-02-27 7:26 GMT-08:00 Christopher Johnson christopher.john...@euskill.com: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ ---
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour, Là on a clairement franchi la limite du mail à caractère commercial... Si tu veux informer tes clients, fais-le en direct, pas sur la mailing-list. Si tous les fournisseurs de transit se mettent à faire pareil, on ne va pas s'en sortir... et l'intérêt pour l'ensemble de la mailing-list n'est pas énorme. Cordialement, Philippe Bourcier On 2015-03-01 09:31, Lunn, Melvin wrote: http://www.level3.com/~/media/files/customer_center/handbooks/en_cstsppt_hb_emea_handbook.pdf Reponse pour tous les clients de Level3: En effet, Level3 offre de bloquer jusqu'a 10 lignes d'ACL de maniere gratuite lors d'une attaque DDoS envers ses clients de Transit IP et de DIA Il suffit de contacter notre Sevice Management et demander d'etre mis en relation avec l'equipe de Security Operations, ou bien de contacter l'equipe SecOps directement a l'adresse email suivante: sec...@level3.com N'oubliez pas de fournir votre reference de Client Level3 et du Service transit IP svp. Je profite de cette reponse egalement pour informer tout le monde que Level3 vient de lancer ce moi-ci sa propre solution de detection et de mitigation DDoS avec une capacite de 4,5Tbps et 8 Scrubbing Centres (bientot 11). Si vous voulez en savoir plus, merci de contacter votre Commercial ou bien votre Ingenieur Avant-Vente. Bon dimanche a tout le monde Envoyé de mon iPad Le 1 mars 2015 à 09:44, Jérôme Fleury jer...@fleury.net a écrit : Detecter les attaques DDoS c'est vraiment facile. N'importe quel collecteur Netflow (v5/v9/IPFIX) ou sFlow peut faire l'affaire, et pas besoin d'un Arbor pour ca. La vraie difficulte c'est de mitiger l'attaque. Si dans ton cas un blackhole des IP attaquees te suffit, alors pas de probleme. Si tu veux bloquer les IP sources et que tu recois 100 fois plus que ta capacite de transit c'est une autre paire de manches. Il n'y a guere que ton transitaire qui peut te venir en aide: Cher transitaire, pouvez-vous bloquer tout le traffic en provenance de Leaseweb, China Telecom, etc. ? - ca peut fonctionner. Sinon malheureusement la meilleure defense ca reste d'avoir les plus gros tuyaux. 2015-02-27 7:26 GMT-08:00 Christopher Johnson christopher.john...@euskill.com: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit :
Re: [FRnOG] [TECH] DDoS / analyse de traffic
pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant d'atteindre la cible potentiellement chez toi. cédric Le 27/02/2015 13:51, Raphael Maunier a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Tu ne blackhole pas les ip entrantes vers tes transitaires. Faire une route vers null0 sur ton backbone, c’est une chose, le faire vers tes transitaires ce n’est pas pareil Si le met il remplit ton lien de transit avec 20G alors que tu as que 1G en IN, ben faire un null route sur ton infra servira a rien car TA route sera toujours dans le bgp ( sauf si ta session bgp tombe ) Raphael On 27 Feb 2015, at 04:57, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant d'atteindre la cible potentiellement chez toi. cédric Le 27/02/2015 13:51, Raphael Maunier a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Si tes uplink sont saturés, bloquer les IP entrantes ne sert à rien. Le blackhole BGP permet de sauver ton réseau, mais l'attaquant a de toute façon gagné. Il faut donc systématiquement augmenter la taille des tuyaux. Seulement là, tu peux envisager d'allumer une machine à laver... Jérémy Le 27/02/2015 13:57, cedric lamouche a écrit : pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant d'atteindre la cible potentiellement chez toi. cédric Le 27/02/2015 13:51, Raphael Maunier a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Raphael, Le 27 févr. 2015 à 14:04, Raphael Maunier raph...@maunier.net a écrit : Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une autre attaque qui forge les ip ton routeur tes routages ne te seront pas d’une grande utilité Je suis complètement d’accord. Je rebondissais à un de tes messages qui laissait entendre qu’il fallait la meilleure solution - ou rien. Je disais juste que si je ne peut pas acheter la meilleure des solutions, alors en connaissance de cause, les solutions intermédiaires seront toujours mieux que rien. Cordialement, -- David CHANIAL --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Oui je pense que l'on fait parti des rares GSP à avoir un AS (Myriapulse.com AS50535), mais le marcher est entrain de chuter, car il y a de plus en plus de petit qui n'on pas un service aussi avancé que nous, ils hébergent chez online ou ovh et on plus de flexibilité, car ils n'ont pas à gérer leurs infrastructure hardware. c'est pour cela que nous sommes passé au cloud, avec nodilex.com, car les technique sont plus ou moins les mêmes, sauf qu'au lieux de gérer des serveur de jeux (processus) nous gérons des VM. De plus quand tu débarque dans des meeting et que tu dit que tu est fait du jeux, on te prend pour un guignol, alors que les techniques sont plus poussé et l’infrastructure est plus critique que dans du hosting traditionnel car c'est tu temps réel et que l'on ne peux pas ce permettre d'avoir des problèmes de performances ou de lantences, un peux comme dans de la voip. Le 2015-02-27 16:43, Alexandre Allard-Jacquin a écrit : Bonjour la liste, Neo / Zayo, de mon expérience a toujours, avec leur solution IP Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s. Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne plus annoncer le /24 sur cogent voir tomber la session Cogent quand ils prennent une attaque. Bref, Zayo a fait ses preuves avec leur ARBOR lors d'attaques sur les GSP sur tout type de jeu une fois les contre mesures bien setup. trolldi Il a l'air super expérimenté le gars, je comprends pas pourquoi on se moque de lui :p /trolldi Alexandre On 27/02/2015 16:26, Christopher Johnson wrote: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Nous avons déjà eu des réquisition judiciaires suite a ce genre de problèmes, je ne sais pas qui il avait ddos, mais je pense que cela reste une exception. Le 2015-02-27 17:15, Josselin Lecocq a écrit : Salut la liste, C'est triste quand même que la grande majorité des DDoS soient aujourd'hui l’œuvre de script kiddies... Il faudrait quand même que l'on commence à se poser sérieusement des questions concernant ce problème majeur sur Internet, et que l'on traite les causes plutôt que les symptômes. La clé, c'est sans doute la collaboration de tous les opérateurs de réseau afin d'être en mesure d'identifier rapidement les attaques, de les bloquer au plus proche possible des sources, mais aussi et surtout d'identifier les auteurs, pirates en herbe ou autre, afin de les traduire systématiquement en justice. Ça peut paraître exagéré, mais on tolère encore trop ce genre de chose, ce qui fait qu'il y a un sentiment d'impunité et de banalité qui s'installe et qui ne fait qu'amplifier le problème. L'autre aspect de cette problématique, c'est qu'un certain nombre de grands hébergeurs font désormais de leurs systèmes anti-DDoS un argument commercial, et n'ont pas forcément intérêt à voir ces attaques diminuer, ce qui permettrait à des plus petits concurrents d'émerger plus facilement... Bref, pas simple tout ça... Josselin Lecocq Quantic Telecom Le 27/02/2015 16:52, Pierre DOLIDON a écrit : Le 27/02/2015 16:26, Christopher Johnson a écrit : Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... je sais pas... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Je suis d'accord avec toi, Le domaine du GSP n'est pas tellement reconnu mais jugé la plupart du temps à sa juste valeur ! Les infras sont certes critiques dans le besoin de propreté et de fiabilité du réseau mais moins critiques au sens général du terme car ne portant pas la vie d'une entreprise. Je pense personnellement que le jeu qui occasionne 80% des DDoS à savoir Minecraft est dans son cycle de croissance en nombre d'attaques car pollué de plus en plus et c'est bien dommage pour la communauté. Je te propose de poursuivre ce débat en Off ... Alexandre On 27/02/2015 17:26, Christopher Johnson wrote: Oui je pense que l'on fait parti des rares GSP à avoir un AS (Myriapulse.com AS50535), mais le marcher est entrain de chuter, car il y a de plus en plus de petit qui n'on pas un service aussi avancé que nous, ils hébergent chez online ou ovh et on plus de flexibilité, car ils n'ont pas à gérer leurs infrastructure hardware. c'est pour cela que nous sommes passé au cloud, avec nodilex.com, car les technique sont plus ou moins les mêmes, sauf qu'au lieux de gérer des serveur de jeux (processus) nous gérons des VM. De plus quand tu débarque dans des meeting et que tu dit que tu est fait du jeux, on te prend pour un guignol, alors que les techniques sont plus poussé et l’infrastructure est plus critique que dans du hosting traditionnel car c'est tu temps réel et que l'on ne peux pas ce permettre d'avoir des problèmes de performances ou de lantences, un peux comme dans de la voip. Le 2015-02-27 16:43, Alexandre Allard-Jacquin a écrit : Bonjour la liste, Neo / Zayo, de mon expérience a toujours, avec leur solution IP Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s. Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne plus annoncer le /24 sur cogent voir tomber la session Cogent quand ils prennent une attaque. Bref, Zayo a fait ses preuves avec leur ARBOR lors d'attaques sur les GSP sur tout type de jeu une fois les contre mesures bien setup. trolldi Il a l'air super expérimenté le gars, je comprends pas pourquoi on se moque de lui :p /trolldi Alexandre On 27/02/2015 16:26, Christopher Johnson wrote: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- *Romain Guichard* * | rom...@rguichard.fr rom...@rguichard.frNetwork and Cloud engineer* *~ Blog http://blog.vsense.fr * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Pour cela qu’il faut parfois utiliser son transitaire pour le capacitaire afin que les device DDoS interne fasse leur travail sans étouffer. Le mieux que rien en cas de DDoS capacitaire c’est … rien si tu as pas ce qu’il faut hélas. David On 27 Feb 2015, at 14:13, David CHANIAL david.chan...@davixx.fr wrote: Raphael, Le 27 févr. 2015 à 14:04, Raphael Maunier raph...@maunier.net a écrit : Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une autre attaque qui forge les ip ton routeur tes routages ne te seront pas d’une grande utilité Je suis complètement d’accord. Je rebondissais à un de tes messages qui laissait entendre qu’il fallait la meilleure solution - ou rien. Je disais juste que si je ne peut pas acheter la meilleure des solutions, alors en connaissance de cause, les solutions intermédiaires seront toujours mieux que rien. Cordialement, -- David CHANIAL --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
je parlais dans le cas où tu peux avoir une remonté d'info vers ton transitaire . Biensur que le fait de rajouter une route null sur ton backbone c'est trop tard. cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Pour démarrer peut être voir si tes upstreams n’ont pas l’option mitigation Arbor ca évitera d’acheter la machine à laver. Mettre du TMS ou équivalent chez soi c’est cher. Ensuite faire attention si tu as plusieurs upstream à comment tu veux gérer cela (ie arrêter l’annonce vers un transitaire pour nettoyer via l’autre ou pas.. mais ca peu devenir compliqué) Et d’accord avec Raph sur le BlackHole qui est totalement inutile sur du DDos capacitaire comme les device avec “option” DDoS précédemment cités David On 27 Feb 2015, at 13:57, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant d'atteindre la cible potentiellement chez toi. cédric Le 27/02/2015 13:51, Raphael Maunier a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. Raphael On 27 Feb 2015, at 00:31, cedric lamouche cedric.lamou...@ac-clermont.fr wrote: salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Oui, mais ce n’est pas une protection ddos :) Mon propos est la On 27 Feb 2015, at 05:13, David CHANIAL david.chan...@davixx.fr wrote: Raphael, Le 27 févr. 2015 à 14:04, Raphael Maunier raph...@maunier.net a écrit : Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une autre attaque qui forge les ip ton routeur tes routages ne te seront pas d’une grande utilité Je suis complètement d’accord. Je rebondissais à un de tes messages qui laissait entendre qu’il fallait la meilleure solution - ou rien. Je disais juste que si je ne peut pas acheter la meilleure des solutions, alors en connaissance de cause, les solutions intermédiaires seront toujours mieux que rien. Cordialement, -- David CHANIAL --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour la liste, Neo / Zayo, de mon expérience a toujours, avec leur solution IP Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s. Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne plus annoncer le /24 sur cogent voir tomber la session Cogent quand ils prennent une attaque. Bref, Zayo a fait ses preuves avec leur ARBOR lors d'attaques sur les GSP sur tout type de jeu une fois les contre mesures bien setup. trolldi Il a l'air super expérimenté le gars, je comprends pas pourquoi on se moque de lui :p /trolldi Alexandre On 27/02/2015 16:26, Christopher Johnson wrote: Ma solution est simple, je recherche juste un software capable de détecter les attaques ddos afin de pouvoir router les IP sources/cibles dans un blackhole, car jusqu’à présent nous utilisons un système homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un service qui permet de null router les IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP à risque soit joignable de préférence par Corent. Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous est de limité l’impacte sur la totalité du réseaux, car nous ne disposons que de 2x1GBps. Précision sur les attaques ddos: Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, hulk.py, etc...) En effet, les attaques ddos sont des représailles suite a un ban d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma maison: je te kick, tu m'a kick, je te ddos) La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement de Minecraft. (ce qui explique les horraires) Il est devenu très facile pour ces gamins de déclencher une attaque ddos grâce à ce qu'ils appellent des API DDoS disponible un peux partout: http://down-api.eu/ Ces API sont mises en place par des guignols de 15 ans qui loue une dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité précédemment. Il on généralement un petit site web avec un formulaire qui leurs permet de prendre des commandes, mais je doute fort que leurs technique pour déclencher ces attaques soit très élaborer, ils le font manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à un serveur IRC. Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) Le 2015-02-27 13:37, Romain GUICHARD a écrit : Le 27 février 2015 13:34, Christopher Johnson christopher.john...@euskill.com a écrit : Le 2015-02-27 08:35, Amaury DUCHENE a écrit : Bonjour, A qu'elle hauteur devez vous mitiger les attaques ? Les attaques sont essentiellement le soir, le mercredi, le week-end, et en période de vacances. Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis Internet ;) Cordialement, On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte fdelmot...@mac.com [1] wrote: Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] mailto:fdelmot...@mac.com --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Merci pour ce moment ;-) @+ Le 27 février 2015 16:52, Pierre DOLIDON sn...@sn4ky.net a écrit : Le 27/02/2015 16:26, Christopher Johnson a écrit : Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... je sais pas... --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Youssef BENGELLOUN-ZAHR --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Salut la liste, C'est triste quand même que la grande majorité des DDoS soient aujourd'hui l’œuvre de script kiddies... Il faudrait quand même que l'on commence à se poser sérieusement des questions concernant ce problème majeur sur Internet, et que l'on traite les causes plutôt que les symptômes. La clé, c'est sans doute la collaboration de tous les opérateurs de réseau afin d'être en mesure d'identifier rapidement les attaques, de les bloquer au plus proche possible des sources, mais aussi et surtout d'identifier les auteurs, pirates en herbe ou autre, afin de les traduire systématiquement en justice. Ça peut paraître exagéré, mais on tolère encore trop ce genre de chose, ce qui fait qu'il y a un sentiment d'impunité et de banalité qui s'installe et qui ne fait qu'amplifier le problème. L'autre aspect de cette problématique, c'est qu'un certain nombre de grands hébergeurs font désormais de leurs systèmes anti-DDoS un argument commercial, et n'ont pas forcément intérêt à voir ces attaques diminuer, ce qui permettrait à des plus petits concurrents d'émerger plus facilement... Bref, pas simple tout ça... Josselin Lecocq Quantic Telecom Le 27/02/2015 16:52, Pierre DOLIDON a écrit : Le 27/02/2015 16:26, Christopher Johnson a écrit : Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... je sais pas... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Le 2015-02-27 16:52, Pierre DOLIDON a écrit : Le 27/02/2015 16:26, Christopher Johnson a écrit : Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en matière d'informatique: https://www.youtube.com/watch?v=CN5PDhYnXqo Vidéo a regarder absolument si vous voulez bien rigoler. ;-) j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... je sais pas... --- Liste de diffusion du FRnOG http://www.frnog.org/ Ce qu'il n'a jamais su, c'est que le BEFTI nous a envoyé une réquisition judiciaire suite à ces ddos. --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour Frédéric, Oui, je suis d'accord et j'ai aussi penser à la solution du transit poubelle pour le /24 infecté à pas de 0 cts/Mbits. Dans l'absolu, tout dépend de ton business case (la nature de clients adressés + SLAs). Il y a un juste milieu à trouver entre la foultitude d'outils à notre disposition. Après, il faut juste espérer que ça ne te tombe pas dessus (trop) souvent ? En ce moment, la météo est mauvaise... Y. Le 27 février 2015 15:51, Frederic Dhieux frede...@syn.fr a écrit : Bonjour, On retombe toujours sur les mêmes problèmes. Dans tous les cas quand on prend un bon DDoS, à moins d'avoir de gros moyens ou de souscrire à un service anti-DDoS chez ton transitaire (beaucoup le proposent et c'est bien parce qu'ils ont la capa pour le gérer correctement), il n'y a pas beaucoup de solutions. Pour ma part j'ai pris le parti de prendre un transit poubelle et d'y coller un serveur machine à laver à qui un outil d'analyse applique des ACLs en fonction des attaques. Après le jeu est d'appliquer des communautés BGP et des annonces pour faire converger le trafic DDoS sur ce transit poubelle et garder le reste sur les liens propres. Sinon de préserver les peerings sensibles et opérateurs clés de mon activité et basculer tout le reste sur le transit poubelle. Si le transit poubelle sature, au moins je préserve une partie du trafic. Sachant aussi qu'en cas d'attaque ciblée sur une IP, le /24 le contenant est annoncé indépendamment pour que le traitement ne concerne que cette /24 et pas tout le reste. C'est un compromis que je trouve plus acceptable chez nous que de dépenser des 100aines de milliers d'Euros dans une solution à la mode dont la capacité de traitement est plafonnée de toute manière par la taille du tuyau quand les attaques augmentent de mois en mois. Sinon quand on a pas de temps à perdre pour mettre ça en place, prendre un transit avec service anti-DDoS et tout basculer dessus en cas de problème. Ou faire les 2 quand on veut s'amuser et se backuper. Je pense qu'il faut vraiment avoir une taille critique et des moyens pour utiliser des solutions Anti-DDoS commerciales en propre. Frédéric Le 27/02/15 14:14, Youssef Bengelloun-Zahr a écrit : Sans compter que tout le monde n'a peut-être pas suffisement de TCAMs sur ses routeurs de coeur (qui a dit firewalls ;-) pour blackholer autant d'IP sources. My 2 cents. @++ Le 27 février 2015 14:04, Raphael Maunier raph...@maunier.net a écrit : On 27 Feb 2015, at 05:02, David CHANIAL david.chan...@davixx.fr wrote: Bonjour Raphael, Le 27 févr. 2015 à 13:51, Raphael Maunier raph...@maunier.net a écrit : Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. N’y a t’il pas « 50 nuances » de victoire de part et d’autre ? :) Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de l’infra reste un objectif louable. Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une autre attaque qui forge les ip ton routeur tes routages ne te seront pas d’une grande utilité Mais si le budget ne le permet pas, ne vaut-il pas mieux envisager des solutions intermédiaires, dont certaines te permettent de bloquer uniquement la cible, et pas le reste de ton infra ? Cordialement, -- David CHANIAL --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Youssef BENGELLOUN-ZAHR --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour, Il y a aussi 6cure à Caen qui fournit ce genre de solutions dont quelques hébergeurs. A+ -- Christophe Envoyé de mon téléphone, veuillez excuser ma brièveté. Le 27 févr. 2015 à 09:31, cedric lamouche cedric.lamou...@ac-clermont.fr a écrit : salut, tu peux regarder du coté de chez Border6 une société française basée sur Lille. Ils ont developpé une solution logicielle embarqué dans une appliance sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton infra et lors de trafic anormal peut prendre la décision de black listée des ips en les envoyant vers un black hole BGP. http://www.border6.com/ Cordialement Cédric Lamouche --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] DDoS / analyse de traffic
Bonjour, Depuis plusieurs mois j'ai constaté une recrudescence des attaques DDoS sur notre résaux. Nous avons déjà mis plusieurs solutions en places dont un blackhole BGP. Le problème ce situe au niveau de la détection des attaques. Pouvez vous me conseiller un bon software pour analyser le trafique via un port SAPN ? Cordialement, --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Est ce que quelqu'un a une idée des prix ds solutions Arbor PeakFlow SP CP ? Le 2015-02-26 17:06, Christopher Johnson a écrit : Bonjour, Depuis plusieurs mois j'ai constaté une recrudescence des attaques DDoS sur notre résaux. Nous avons déjà mis plusieurs solutions en places dont un blackhole BGP. Le problème ce situe au niveau de la détection des attaques. Pouvez vous me conseiller un bon software pour analyser le trafique via un port SAPN ? Cordialement, --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour, De mémoire 180k € pour le boitier de détection et le boitier de mitigation (90k€ l'U) et tu mitiges 40Gb/s d'attaque environ. Cordialement, Alexandre On 26/02/2015 18:43, Christopher Johnson wrote: Est ce que quelqu'un a une idée des prix ds solutions Arbor PeakFlow SP CP ? Le 2015-02-26 17:06, Christopher Johnson a écrit : Bonjour, Depuis plusieurs mois j'ai constaté une recrudescence des attaques DDoS sur notre résaux. Nous avons déjà mis plusieurs solutions en places dont un blackhole BGP. Le problème ce situe au niveau de la détection des attaques. Pouvez vous me conseiller un bon software pour analyser le trafique via un port SAPN ? Cordialement, --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Prend une licence chez Wanguard va :) Cf. Ma conf au frnog y a 2 ans (dailymotion). Jérémy Le 26/02/2015 17:06, Christopher Johnson a écrit : Bonjour, Depuis plusieurs mois j'ai constaté une recrudescence des attaques DDoS sur notre résaux. Nous avons déjà mis plusieurs solutions en places dont un blackhole BGP. Le problème ce situe au niveau de la détection des attaques. Pouvez vous me conseiller un bon software pour analyser le trafique via un port SAPN ? Cordialement, --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DDoS / analyse de traffic
Il y a aussi les produits de Andrisoft et flowtraq Fabien On Feb 26, 2015, at 9:26 PM, Raphael Mazelier r...@futomaki.net wrote: Le 26/02/2015 21:10, Jeremy a écrit : Prend une licence chez Wanguard va :) Je trouve que ce soft a un très bon rapport qualité/prix. Évidement c'est loin d’être parfait, mais à ce tarif c'est imbattable. Le support est réactif qui plus est. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
