Re: [FRnOG] [TECH] Ip d'interco bgp

[Olivier Benghozi]

Non il ne fait pas de RPF, étant entendu qu'on parle de réseau sur le trajet 
qui fait passer du vrai trafic, et non pas de beigebox sous minux hébergée sous 
la table de la cuisine :P
Ou disons, d'infrastructure très spécifique.

Et en effet les sources privées sont naturellement filtrées à l'entrée.

Ceci étant dit je pense qu'en l'occurrence le client de Cédric se moquait de 
toutes façons des traceroutes dans l'immédiat, ayant un service à faire tourner.


> Le 17 sept. 2015 à 14:55, Stephane Bortzmeyer  a écrit :
> Cédric Tabary  wrote 
> 
>> D'autre part ca génère des paquets ICMP (au traceroute par exemple)
>> en IP source RFC1918 qui passent par Internet donc potentiellement
>> filtrés
> 
> Euh, si le réseau sur le trajet fait du RPF, le bloc d'interco
> non-1918 mais non annoncé sera autant filtré que des adresses RFC
> 1918, non ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Emmanuel Lacour]

Le 15/09/2015 13:28, Jeremy a écrit :
> Probablement plus simple, aucune idée. On m'a proposé cette solution, je
> l'accepte, c'est tout :)
> Tu sais quand tu est dos au mur, tu prends la première solution qui vient !
> 
> 


je compatis ...

un truc que je ne comprends pas, c'est que s'ils ont ciblé tes IPs
d'interco, une fois que tu as bloqué cette attaque, ils n'ont pas ciblé
tes blocs à toi?

-- 
Easter-eggs  Spécialiste GNU/Linux
44-46 rue de l'Ouest  -  75014 Paris  -  France -  Métro Gaité
Phone: +33 (0) 1 43 35 00 37-   Fax: +33 (0) 1 43 35 00 76
mailto:elac...@easter-eggs.com  -   http://www.easter-eggs.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Jeremy]

Bah si, le mec attaque notre site web maintenant, mais là on est blindé 
de ce coté là. Du coup, on est beaucoup plus tranquille.

Et au pire, on peut toujours blackhole en /32 la cible de l'attaque...

Jérémy

Le 16/09/2015 10:07, Emmanuel Lacour a écrit :

Le 15/09/2015 13:28, Jeremy a écrit :

Probablement plus simple, aucune idée. On m'a proposé cette solution, je
l'accepte, c'est tout :)
Tu sais quand tu est dos au mur, tu prends la première solution qui vient !




je compatis ...

un truc que je ne comprends pas, c'est que s'ils ont ciblé tes IPs
d'interco, une fois que tu as bloqué cette attaque, ils n'ont pas ciblé
tes blocs à toi?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Emmanuel Lacour]

Le 16/09/2015 11:24, Jeremy a écrit :
> Bah si, le mec attaque notre site web maintenant, mais là on est blindé
> de ce coté là. Du coup, on est beaucoup plus tranquille.
> Et au pire, on peut toujours blackhole en /32 la cible de l'attaque...
> 
> 

ok, bon courage !



-- 
Easter-eggs  Spécialiste GNU/Linux
44-46 rue de l'Ouest  -  75014 Paris  -  France -  Métro Gaité
Phone: +33 (0) 1 43 35 00 37-   Fax: +33 (0) 1 43 35 00 76
mailto:elac...@easter-eggs.com  -   http://www.easter-eggs.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Julien Escario]

Le 15/09/2015 00:51, Frederic Dhieux a écrit :



Le 14/09/2015 22:12, Raphael Mazelier a écrit :



J'ai pas dit que cela devait être forcement le cas en nominal, certain
le font (jaguar de souvenir), d'autre (moi le premier) non. En
revanche avoir un /24 en stock qui peut servir en cas de besoin, et le
dédier temporairement à tel ou tel besoin c'est quand même bien
pratique. (surtout quand il s'agit de dépanner un client).



C'est moche et ça va faire râler du monde, mais au pire dans l'urgence
de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être
un moindre mal le temps de trouver une solution plus propre et pérenne.

Frédéric


C'est aussi la solution qui m'est venue à l'esprit.

Plus crade : jouer avec des ips dans la plage 127.0.0.0/24 pour établir 
la session BGP. J'ignore si c'est possible mais ça retournerait l'attaque.


Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP 
en ipv6 pour annoncer des routes en v4.


Le pourcentage du botnet ayant un stack ipv6 devant être quasi 
négligeable (désolé les gars), ça doit au minimum fortement diminuer 
l'attaque voir la stopper.


Et la dernière en guise d'hypothèse : faire mentir les réponses ICMP ou 
tout simplement filtrer l'ICMP AVANT de changer l'ip d'interco (pour les 
autres hosts que le routeur en face bien entendu).
A ma connaissance, rien n'interdit de mettre de la merde dans le reply 
ICMP, ca arrivera quand même.
Du coup, le mec va voir rien ou n'importe quoi quand il fera son 
traceroute pour trouver ton IP d'interco.


Des solutions en vrac, rien de testé bien entendu ...

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Radu-Adrian Feurdean]

On Tue, Sep 15, 2015, at 10:32, Louis wrote:
> Je ne comprends pas. Ca fait une next-hop d'un subnet ipv4 en ipv6? Ca
> marche vraiment?

Non, ca ne marche pas en EBGP. 
En IBGP peut-etre, mais tu dois avoir MPLS avec signalisation over IPv6,
ce qui est uniquement disponible sur des nouvelles plate-formes
haut-de-gamme.
Par contre, en IBGP ca marche dans l'autre sens (prefixe v6, next-hop
v4, resolu via MPLS).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Radu-Adrian Feurdean]

On Tue, Sep 15, 2015, at 08:16, Julien Escario wrote:
> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP 
> en ipv6 pour annoncer des routes en v4.

En EBGP tu as toujours besoin d'un next-hop v4 pour faire passer du
traffic.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Julien Escario]

Le 15/09/2015 10:30, Radu-Adrian Feurdean a écrit :
> On Tue, Sep 15, 2015, at 08:16, Julien Escario wrote:
>> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP 
>> en ipv6 pour annoncer des routes en v4.
> 
> En EBGP tu as toujours besoin d'un next-hop v4 pour faire passer du
> traffic.
> 

Ah oui, très juste donc même si le routeur d'annonce est en ipv6, c'est le
next-hop qui sera attaqué de toute façon. Ca ne règle rien.
Merci de la précision.

Julien



smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [TECH] Ip d'interco bgp / Solution IELO

[Cédric Tabary]

Bonjour à tous,

On s'est effectivement pris du DDoS de plus de 50 Gbps, arrivant d'un peu 
partout, y compris les IX. Mais le problème c'est que le RTBH se déclenche en 
/32 sur l'IP d'interco BGP coté client, celle qui se prend le DDOS, ce qui lui 
coupe la session :/

Voila la solution retenue avec Firstheberg :

On a décidé de griller le "last /22" que le RIPE nous a alloué pour les interco 
BGP à risque et on ne l'annoncera pas. On pourra éventuellement annoncer des 
plus spécifiques (/23 ou /24) si on en a besoin.

Ca permet de ne pas en venir à des solutions du type interco en RFC1918, que je 
trouve vraiment sale.

Cédric Tabary


(PS: desole pour le doublon éventuel, avec le bon From ca passe mieux)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Raphael Mazelier]

Le 15/09/15 00:51, Frederic Dhieux a écrit :


C'est moche et ça va faire râler du monde, mais au pire dans l'urgence
de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être
un moindre mal le temps de trouver une solution plus propre et pérenne.



Oui tout à fait. Je n'avez pas mentionné dans mon premier mail mais 
c'est un des idée qui m'est venu a l'esprit.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Louis]

> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP en
ipv6 pour annoncer des routes en v4.

Je ne comprends pas. Ca fait une next-hop d'un subnet ipv4 en ipv6? Ca
marche vraiment?

Louis

Le 15 septembre 2015 08:16, Julien Escario  a écrit :

> Le 15/09/2015 00:51, Frederic Dhieux a écrit :
>
>>
>>
>> Le 14/09/2015 22:12, Raphael Mazelier a écrit :
>>
>>>
>>>
>>> J'ai pas dit que cela devait être forcement le cas en nominal, certain
>>> le font (jaguar de souvenir), d'autre (moi le premier) non. En
>>> revanche avoir un /24 en stock qui peut servir en cas de besoin, et le
>>> dédier temporairement à tel ou tel besoin c'est quand même bien
>>> pratique. (surtout quand il s'agit de dépanner un client).
>>>
>>>
>> C'est moche et ça va faire râler du monde, mais au pire dans l'urgence
>> de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être
>> un moindre mal le temps de trouver une solution plus propre et pérenne.
>>
>> Frédéric
>>
>
> C'est aussi la solution qui m'est venue à l'esprit.
>
> Plus crade : jouer avec des ips dans la plage 127.0.0.0/24 pour établir
> la session BGP. J'ignore si c'est possible mais ça retournerait l'attaque.
>
> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP en
> ipv6 pour annoncer des routes en v4.
>
> Le pourcentage du botnet ayant un stack ipv6 devant être quasi négligeable
> (désolé les gars), ça doit au minimum fortement diminuer l'attaque voir la
> stopper.
>
> Et la dernière en guise d'hypothèse : faire mentir les réponses ICMP ou
> tout simplement filtrer l'ICMP AVANT de changer l'ip d'interco (pour les
> autres hosts que le routeur en face bien entendu).
> A ma connaissance, rien n'interdit de mettre de la merde dans le reply
> ICMP, ca arrivera quand même.
> Du coup, le mec va voir rien ou n'importe quoi quand il fera son
> traceroute pour trouver ton IP d'interco.
>
> Des solutions en vrac, rien de testé bien entendu ...
>
> Julien
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp / Solution IELO

[Raphael Mazelier]

Le 15/09/15 11:20, Cédric Tabary a écrit :


On a décidé de griller le "last /22" que le RIPE nous a alloué pour les interco 
BGP à risque et on ne l'annoncera pas. On pourra éventuellement annoncer des plus 
spécifiques (/23 ou /24) si on en a besoin.

Ca permet de ne pas en venir à des solutions du type interco en RFC1918, que je 
trouve vraiment sale.



Yep voila. Pour le rfc1918 en temporaire ça passe (mais on sait tous que 
le temporaire est définitif et inversement).


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Jeremy]

Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on 
a trouvé une solution qui va fonctionner. La solution retenue sera 
finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer 
du tout.


Merci à tous pour vos idées, ça nous a bien aidé !

Et merci surtout à Cédric chez IELO qui a cogité un bon moment pour 
trouver cette solution.


Jérémy

Le 14/09/2015 19:01, Jeremy a écrit :

Salut les barbus,

Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s 
contre les IP d'interco BGP qu'on a avec nos transitaires.
Ces derniers ayant leurs propres limites, bah on est un peu dans le 
noir là...


Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui 
est capable d'annoncer notre réseau sans se faire bombarder ses prefix 
de routage (et présent sur franceIX) ?


Merci.
Jérémy

__
FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle !
PHP + Mysql + Espace 2 � 20 Go


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[David Touitou]

'jour,

> Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
> a trouvé une solution qui va fonctionner. La solution retenue sera
> finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer
> du tout.

Question certainement idiote : quelle différence par rapport à utiliser des 
RFC1918 ?

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Samuel Thibault]

David Touitou, le Tue 15 Sep 2015 13:13:14 +0200, a écrit :
> > Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
> > a trouvé une solution qui va fonctionner. La solution retenue sera
> > finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer
> > du tout.
> 
> Question certainement idiote : quelle différence par rapport à utiliser des 
> RFC1918 ?

Que tu es sûr qu'elles sont uniques, même si tu fusionnes des trucs
existants ?

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Jérôme BERTHIER]

Le 15/09/2015 13:13, David Touitou a écrit :

Question certainement idiote : quelle différence par rapport à utiliser des 
RFC1918 ?

La réversibilité ?

Les attaquants passeront bien à une autre cible et il sera alors 
possible de ré-annoncer les intercos ?


--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Louis]

en même temps ça sert à quoi d'annoncer des intercos à l'extérieur?

Le 15 septembre 2015 13:35, Jérôme BERTHIER  a écrit :

> Le 15/09/2015 13:13, David Touitou a écrit :
>
>> Question certainement idiote : quelle différence par rapport à utiliser
>> des RFC1918 ?
>>
> La réversibilité ?
>
> Les attaquants passeront bien à une autre cible et il sera alors possible
> de ré-annoncer les intercos ?
>
> --
> Jérôme BERTHIER
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Dominique Rousseau]

Le Tue, Sep 15, 2015 at 01:55:55PM +0200, Louis [luigi.1...@gmail.com] a écrit:
> en même temps ça sert à quoi d'annoncer des intercos à l'extérieur?

Ça peut servir à ce que ton client joigne son routeur depuis l'internet
public en dehors de ses ips (en cas de problem d'annonce, par exemple).

Et le plus souvent, c'est juste parceque le subnet d'interco fait partir
d'un préfixe plus large qui est annoncé.


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[David Ponzone]

+1


Le 15 sept. 2015 à 13:13, David Touitou  a écrit :

> 'jour,
> 
>> Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
>> a trouvé une solution qui va fonctionner. La solution retenue sera
>> finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer
>> du tout.
> 
> Question certainement idiote : quelle différence par rapport à utiliser des 
> RFC1918 ?
> 
> David
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Jeremy]

Probablement plus simple, aucune idée. On m'a proposé cette solution, je 
l'accepte, c'est tout :)

Tu sais quand tu est dos au mur, tu prends la première solution qui vient !

Jérémy

Le 15/09/2015 13:15, David Ponzone a écrit :

+1


Le 15 sept. 2015 à 13:13, David Touitou  a écrit :


'jour,


Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
a trouvé une solution qui va fonctionner. La solution retenue sera
finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer
du tout.

Question certainement idiote : quelle différence par rapport à utiliser des 
RFC1918 ?

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Cédric Tabary]

Je trouve la solution du RFC1918 assez sale dans le sens où ca ajoute des IP 
privées dans l'IGP de la table de routage globale, ce qui peut porter à 
confusion. D'autre part ca génère des paquets ICMP (au traceroute par exemple) 
en IP source RFC1918 qui passent par Internet donc potentiellement filtrés 
et/ou en conflit avec des réseaux locaux à destination.
Bref pas de ça chez moi :)

Cédric

- Le 15 Sep 15, à 13:28, Jeremy li...@freeheberg.com a écrit :

> Probablement plus simple, aucune idée. On m'a proposé cette solution, je
> l'accepte, c'est tout :)
> Tu sais quand tu est dos au mur, tu prends la première solution qui vient !
> 
> Jérémy
> 
> Le 15/09/2015 13:15, David Ponzone a écrit :
>> +1
>>
>>
>> Le 15 sept. 2015 à 13:13, David Touitou  a écrit :
>>
>>> 'jour,
>>>
 Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
 a trouvé une solution qui va fonctionner. La solution retenue sera
 finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer
 du tout.
>>> Question certainement idiote : quelle différence par rapport à utiliser des
>>> RFC1918 ?
>>>
>>> David
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Radu-Adrian Feurdean]

On Tue, Sep 15, 2015, at 13:13, David Touitou wrote:
> Question certainement idiote : quelle différence par rapport à utiliser des 
> RFC1918 ?

Ce sont quand-meme des adresses "globalement uniques". Ce qui n'est pas
le cas des RFC1918.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Radu-Adrian Feurdean]

On Tue, Sep 15, 2015, at 13:55, Louis wrote:
> en même temps ça sert à quoi d'annoncer des intercos à l'extérieur?

Vers le reste du monde - a rien. Modulo que generalement les intercos
font partie d'un bloc plus grand ou il y a aussi des adresses qui
doivent etre joignables.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Clement Cavadore]

Le 15 septembre 2015 14:25:55 CEST, Raphael Mazelier  a 
écrit :
>
>> Ça peut servir à ce que ton client joigne son routeur depuis
>l'internet
>> public en dehors de ses ips (en cas de problem d'annonce, par
>exemple).
>
>
>Tout à fait. Avec une default vers ton transitaire, cela peut faire un 
>accès quand ton bgp est tout pété.

Sans parler du fait que parfois, la source IP de paquets émis par le routeur 
peuvent avoir besoin d'un chemin de retour valide ;-)
-- 
Sent from my phone.
Please excuse any typos or mistakes.
But not both...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Raphael Mazelier]

Ça peut servir à ce que ton client joigne son routeur depuis l'internet
public en dehors de ses ips (en cas de problem d'annonce, par exemple).



Tout à fait. Avec une default vers ton transitaire, cela peut faire un 
accès quand ton bgp est tout pété.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Ip d'interco bgp

[Jeremy]

Salut les barbus,

Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre 
les IP d'interco BGP qu'on a avec nos transitaires.
Ces derniers ayant leurs propres limites, bah on est un peu dans le noir 
là...


Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui 
est capable d'annoncer notre réseau sans se faire bombarder ses prefix 
de routage (et présent sur franceIX) ?


Merci.
Jérémy

__
FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle !
PHP + Mysql + Espace 2 � 20 Go


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Frederic Dhieux]

Le 14/09/2015 22:12, Raphael Mazelier a écrit :



J'ai pas dit que cela devait être forcement le cas en nominal, certain 
le font (jaguar de souvenir), d'autre (moi le premier) non. En 
revanche avoir un /24 en stock qui peut servir en cas de besoin, et le 
dédier temporairement à tel ou tel besoin c'est quand même bien 
pratique. (surtout quand il s'agit de dépanner un client).




C'est moche et ça va faire râler du monde, mais au pire dans l'urgence 
de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être 
un moindre mal le temps de trouver une solution plus propre et pérenne.


Frédéric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Raphael Mazelier]

Le 14/09/15 21:41, Johann a écrit :

Ne pas annoncer ses IP d'interconnexion dans la DFZ demande à avoir un bloc


J'ai pas dit que cela devait être forcement le cas en nominal, certain 
le font (jaguar de souvenir), d'autre (moi le premier) non. En revanche 
avoir un /24 en stock qui peut servir en cas de besoin, et le dédier 
temporairement à tel ou tel besoin c'est quand même bien pratique. 
(surtout quand il s'agit de dépanner un client).


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Jeremy]

Si tu blackhole la /32 d'interco, les routeurs en amont ne savent plus 
pousser le trafic.


Jérémy


Le 14/09/2015 19:56, Boris Tassou a écrit :

Bonjour,

Question de noog BGP: pas de blackhole en place?

Le 14/09/2015 19:01, Jeremy a écrit :

Salut les barbus,

Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s 
contre les IP d'interco BGP qu'on a avec nos transitaires.
Ces derniers ayant leurs propres limites, bah on est un peu dans le 
noir là...


Est ce que quelqu'un a une solution magique ? et/ou un transitaire 
qui est capable d'annoncer notre réseau sans se faire bombarder ses 
prefix de routage (et présent sur franceIX) ?


Merci.
Jérémy

__
FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle !
PHP + Mysql + Espace 2 � 20 Go


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[David Ponzone]

Je comprends que ça fasse du boulot à IELO, mais c’est pas la fin du monde, et 
ça doit leur faire mal aussi, c’est un intérêt mutuel.
Beaucoup de routeurs ? Euh, même à un routeur par transitaire et un routeur par 
IX, ça en fait pas 40 je pense.

Cogent a pas une offre anti-DDoS ?

Sinon, c’est peut-être le moment de chercher des transitaires peut-être un peu 
plus chers, mais qui te laissent pas te demmerder (si ça existe).


Le 14 sept. 2015 à 20:00, Jeremy  a écrit :

> Salut,
> 
> Oui, on a essayé, le mec change la destination de son attaque au bout de 5 
> minutes après changement d'IP.
> Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est 
> souvent galère à faire car beaucoup de routeurs.
> Chez Cogent, ils peuvent rien faire a priori, c'est hors process d'après le 
> support.
> 
> Bref, belle galère.
> Jérémy
> 
> Le 14/09/2015 19:51, David Ponzone a écrit :
>> Tu peux éclaircir un détail.
>> Tu dis que les attaques arrivent vers les IP d’interco.
>> Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant 
>> quelques minutes/heures.
>> (les IP d’interco sont dans les blocs de vos transitaires j’imagine ?)
>> Tu as essayé, c’est effectivement le cas ?
>> 
>> Tu peux toujours demander à tes upstream de filtrer le plus en amont 
>> possible les paquets vers les IP d’interco. Ce n’est pas, à priori, 
>> dramatique si les IP d’interco sont filtrées.
>> 
>> Après, sans assistance de tes transitaires, je vois mal comment tu vas t’en 
>> sortir.
>> Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les 
>> compétences nécessaires en interne pour t’aider.
>> 
>> Le 14 sept. 2015 à 19:01, Jeremy  a écrit :
>> 
>>> Salut les barbus,
>>> 
>>> Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les 
>>> IP d'interco BGP qu'on a avec nos transitaires.
>>> Ces derniers ayant leurs propres limites, bah on est un peu dans le noir 
>>> là...
>>> 
>>> Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est 
>>> capable d'annoncer notre réseau sans se faire bombarder ses prefix de 
>>> routage (et présent sur franceIX) ?
>>> 
>>> Merci.
>>> Jérémy
>>> 
>>> __
>>> FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle !
>>> PHP + Mysql + Espace 2 � 20 Go
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Olivier Benghozi]

Zayo France? Jaguar? Telia? NTT?

> Le 14 sept. 2015 à 20:18, David Ponzone  a écrit :
> 
> Je comprends que ça fasse du boulot à IELO, mais c’est pas la fin du monde, 
> et ça doit leur faire mal aussi, c’est un intérêt mutuel.
> Beaucoup de routeurs ? Euh, même à un routeur par transitaire et un routeur 
> par IX, ça en fait pas 40 je pense.
> 
> Cogent a pas une offre anti-DDoS ?
> 
> Sinon, c’est peut-être le moment de chercher des transitaires peut-être un 
> peu plus chers, mais qui te laissent pas te demmerder (si ça existe).
> 
> 
> Le 14 sept. 2015 à 20:00, Jeremy  a écrit :
> 
>> Salut,
>> 
>> Oui, on a essayé, le mec change la destination de son attaque au bout de 5 
>> minutes après changement d'IP.
>> Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est 
>> souvent galère à faire car beaucoup de routeurs.
>> Chez Cogent, ils peuvent rien faire a priori, c'est hors process d'après le 
>> support.
>> 
>> Bref, belle galère.
>> Jérémy
>> 
>> Le 14/09/2015 19:51, David Ponzone a écrit :
>>> Tu peux éclaircir un détail.
>>> Tu dis que les attaques arrivent vers les IP d’interco.
>>> Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant 
>>> quelques minutes/heures.
>>> (les IP d’interco sont dans les blocs de vos transitaires j’imagine ?)
>>> Tu as essayé, c’est effectivement le cas ?
>>> 
>>> Tu peux toujours demander à tes upstream de filtrer le plus en amont 
>>> possible les paquets vers les IP d’interco. Ce n’est pas, à priori, 
>>> dramatique si les IP d’interco sont filtrées.
>>> 
>>> Après, sans assistance de tes transitaires, je vois mal comment tu vas t’en 
>>> sortir.
>>> Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les 
>>> compétences nécessaires en interne pour t’aider.
>>> 
>>> Le 14 sept. 2015 à 19:01, Jeremy  a écrit :
>>> 
 Salut les barbus,
 
 Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre 
 les IP d'interco BGP qu'on a avec nos transitaires.
 Ces derniers ayant leurs propres limites, bah on est un peu dans le noir 
 là...
 
 Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est 
 capable d'annoncer notre réseau sans se faire bombarder ses prefix de 
 routage (et présent sur franceIX) ?
 
 Merci.
 Jérémy


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[David Ponzone]

Tu peux éclaircir un détail.
Tu dis que les attaques arrivent vers les IP d’interco.
Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant 
quelques minutes/heures.
(les IP d’interco sont dans les blocs de vos transitaires j’imagine ?)
Tu as essayé, c’est effectivement le cas ?

Tu peux toujours demander à tes upstream de filtrer le plus en amont possible 
les paquets vers les IP d’interco. Ce n’est pas, à priori, dramatique si les IP 
d’interco sont filtrées.

Après, sans assistance de tes transitaires, je vois mal comment tu vas t’en 
sortir.
Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les compétences 
nécessaires en interne pour t’aider.

Le 14 sept. 2015 à 19:01, Jeremy  a écrit :

> Salut les barbus,
> 
> Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les 
> IP d'interco BGP qu'on a avec nos transitaires.
> Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là...
> 
> Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est 
> capable d'annoncer notre réseau sans se faire bombarder ses prefix de routage 
> (et présent sur franceIX) ?
> 
> Merci.
> Jérémy
> 
> __
> FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle !
> PHP + Mysql + Espace 2 � 20 Go
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Boris Tassou]

Bonjour,

Question de noog BGP: pas de blackhole en place?

Le 14/09/2015 19:01, Jeremy a écrit :

Salut les barbus,

Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s 
contre les IP d'interco BGP qu'on a avec nos transitaires.
Ces derniers ayant leurs propres limites, bah on est un peu dans le 
noir là...


Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui 
est capable d'annoncer notre réseau sans se faire bombarder ses prefix 
de routage (et présent sur franceIX) ?


Merci.
Jérémy

__
FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle !
PHP + Mysql + Espace 2 � 20 Go


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Jeremy]

Salut,

Oui, on a essayé, le mec change la destination de son attaque au bout de 
5 minutes après changement d'IP.
Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est 
souvent galère à faire car beaucoup de routeurs.
Chez Cogent, ils peuvent rien faire a priori, c'est hors process d'après 
le support.


Bref, belle galère.
Jérémy

Le 14/09/2015 19:51, David Ponzone a écrit :

Tu peux éclaircir un détail.
Tu dis que les attaques arrivent vers les IP d’interco.
Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant 
quelques minutes/heures.
(les IP d’interco sont dans les blocs de vos transitaires j’imagine ?)
Tu as essayé, c’est effectivement le cas ?

Tu peux toujours demander à tes upstream de filtrer le plus en amont possible 
les paquets vers les IP d’interco. Ce n’est pas, à priori, dramatique si les IP 
d’interco sont filtrées.

Après, sans assistance de tes transitaires, je vois mal comment tu vas t’en 
sortir.
Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les compétences 
nécessaires en interne pour t’aider.

Le 14 sept. 2015 à 19:01, Jeremy  a écrit :


Salut les barbus,

Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les IP 
d'interco BGP qu'on a avec nos transitaires.
Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là...

Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est 
capable d'annoncer notre réseau sans se faire bombarder ses prefix de routage 
(et présent sur franceIX) ?

Merci.
Jérémy

__
FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle !
PHP + Mysql + Espace 2 � 20 Go


---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Johann]

Ne pas annoncer ses IP d'interconnexion dans la DFZ demande à avoir un bloc
 a écrit :

>
>
> Le 14/09/15 21:08, Johann a écrit :
>
>> Hello,
>>
>> Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP
>> d'interconnexion.
>> Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP
>> d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur
>> adjacent et le tien. Ou à minima le trafic ICMP/UDP pour bloquer tout type
>> de traceroute sur la partie interco. Puis rechange d'IP d'interconnexion.
>>
>> Ca devrait te laisser un peu de répit sur ce vecteur d'attaque. On a fait
>> cela avec un client qui était dans la même situation que toi.
>>
>>
> Bah oui c'est pas la mort de filtrer les ips d'interco(s), voir de pas les
> annoncer du tout dans la DFZ. Cela demande peut être un peu de re factoring
> sur le réseau de ton transitaire, mais bon franchement rien d'infaisable.
> Que cogent ne le fasse pas c'est compréhensible, ielo je suis plus
> dubitatif.
>
> --
> Raphael Mazelier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Johann]

Hello,

Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP
d'interconnexion.
Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP
d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur
adjacent et le tien. Ou à minima le trafic ICMP/UDP pour bloquer tout type
de traceroute sur la partie interco. Puis rechange d'IP d'interconnexion.

Ca devrait te laisser un peu de répit sur ce vecteur d'attaque. On a fait
cela avec un client qui était dans la même situation que toi.

Johann
Le 14 sept. 2015 20:00, "Jeremy"  a écrit :

> Salut,
>
> Oui, on a essayé, le mec change la destination de son attaque au bout de 5
> minutes après changement d'IP.
> Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est
> souvent galère à faire car beaucoup de routeurs.
> Chez Cogent, ils peuvent rien faire a priori, c'est hors process d'après
> le support.
>
> Bref, belle galère.
> Jérémy
>
> Le 14/09/2015 19:51, David Ponzone a écrit :
>
>> Tu peux éclaircir un détail.
>> Tu dis que les attaques arrivent vers les IP d’interco.
>> Si oui, si tu renumérotes une des interco, tu dois être tranquille
>> pendant quelques minutes/heures.
>> (les IP d’interco sont dans les blocs de vos transitaires j’imagine ?)
>> Tu as essayé, c’est effectivement le cas ?
>>
>> Tu peux toujours demander à tes upstream de filtrer le plus en amont
>> possible les paquets vers les IP d’interco. Ce n’est pas, à priori,
>> dramatique si les IP d’interco sont filtrées.
>>
>> Après, sans assistance de tes transitaires, je vois mal comment tu vas
>> t’en sortir.
>> Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les
>> compétences nécessaires en interne pour t’aider.
>>
>> Le 14 sept. 2015 à 19:01, Jeremy  a écrit :
>>
>> Salut les barbus,
>>>
>>> Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre
>>> les IP d'interco BGP qu'on a avec nos transitaires.
>>> Ces derniers ayant leurs propres limites, bah on est un peu dans le noir
>>> là...
>>>
>>> Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui
>>> est capable d'annoncer notre réseau sans se faire bombarder ses prefix de
>>> routage (et présent sur franceIX) ?
>>>
>>> Merci.
>>> Jérémy
>>>
>>> __
>>> FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle !
>>> PHP + Mysql + Espace 2 � 20 Go
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Ip d'interco bgp

[Raphael Mazelier]

Le 14/09/15 21:08, Johann a écrit :

Hello,

Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP
d'interconnexion.
Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP
d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur
adjacent et le tien. Ou à minima le trafic ICMP/UDP pour bloquer tout type
de traceroute sur la partie interco. Puis rechange d'IP d'interconnexion.

Ca devrait te laisser un peu de répit sur ce vecteur d'attaque. On a fait
cela avec un client qui était dans la même situation que toi.



Bah oui c'est pas la mort de filtrer les ips d'interco(s), voir de pas 
les annoncer du tout dans la DFZ. Cela demande peut être un peu de re 
factoring sur le réseau de ton transitaire, mais bon franchement rien 
d'infaisable. Que cogent ne le fasse pas c'est compréhensible, ielo je 
suis plus dubitatif.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/