Re: [FRnOG] [TECH] Ip d'interco bgp
Non il ne fait pas de RPF, étant entendu qu'on parle de réseau sur le trajet qui fait passer du vrai trafic, et non pas de beigebox sous minux hébergée sous la table de la cuisine :P Ou disons, d'infrastructure très spécifique. Et en effet les sources privées sont naturellement filtrées à l'entrée. Ceci étant dit je pense qu'en l'occurrence le client de Cédric se moquait de toutes façons des traceroutes dans l'immédiat, ayant un service à faire tourner. > Le 17 sept. 2015 à 14:55, Stephane Bortzmeyera écrit : > Cédric Tabary wrote > >> D'autre part ca génère des paquets ICMP (au traceroute par exemple) >> en IP source RFC1918 qui passent par Internet donc potentiellement >> filtrés > > Euh, si le réseau sur le trajet fait du RPF, le bloc d'interco > non-1918 mais non annoncé sera autant filtré que des adresses RFC > 1918, non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 15/09/2015 13:28, Jeremy a écrit : > Probablement plus simple, aucune idée. On m'a proposé cette solution, je > l'accepte, c'est tout :) > Tu sais quand tu est dos au mur, tu prends la première solution qui vient ! > > je compatis ... un truc que je ne comprends pas, c'est que s'ils ont ciblé tes IPs d'interco, une fois que tu as bloqué cette attaque, ils n'ont pas ciblé tes blocs à toi? -- Easter-eggs Spécialiste GNU/Linux 44-46 rue de l'Ouest - 75014 Paris - France - Métro Gaité Phone: +33 (0) 1 43 35 00 37- Fax: +33 (0) 1 43 35 00 76 mailto:elac...@easter-eggs.com - http://www.easter-eggs.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Bah si, le mec attaque notre site web maintenant, mais là on est blindé de ce coté là. Du coup, on est beaucoup plus tranquille. Et au pire, on peut toujours blackhole en /32 la cible de l'attaque... Jérémy Le 16/09/2015 10:07, Emmanuel Lacour a écrit : Le 15/09/2015 13:28, Jeremy a écrit : Probablement plus simple, aucune idée. On m'a proposé cette solution, je l'accepte, c'est tout :) Tu sais quand tu est dos au mur, tu prends la première solution qui vient ! je compatis ... un truc que je ne comprends pas, c'est que s'ils ont ciblé tes IPs d'interco, une fois que tu as bloqué cette attaque, ils n'ont pas ciblé tes blocs à toi? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 16/09/2015 11:24, Jeremy a écrit : > Bah si, le mec attaque notre site web maintenant, mais là on est blindé > de ce coté là. Du coup, on est beaucoup plus tranquille. > Et au pire, on peut toujours blackhole en /32 la cible de l'attaque... > > ok, bon courage ! -- Easter-eggs Spécialiste GNU/Linux 44-46 rue de l'Ouest - 75014 Paris - France - Métro Gaité Phone: +33 (0) 1 43 35 00 37- Fax: +33 (0) 1 43 35 00 76 mailto:elac...@easter-eggs.com - http://www.easter-eggs.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 15/09/2015 00:51, Frederic Dhieux a écrit : Le 14/09/2015 22:12, Raphael Mazelier a écrit : J'ai pas dit que cela devait être forcement le cas en nominal, certain le font (jaguar de souvenir), d'autre (moi le premier) non. En revanche avoir un /24 en stock qui peut servir en cas de besoin, et le dédier temporairement à tel ou tel besoin c'est quand même bien pratique. (surtout quand il s'agit de dépanner un client). C'est moche et ça va faire râler du monde, mais au pire dans l'urgence de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être un moindre mal le temps de trouver une solution plus propre et pérenne. Frédéric C'est aussi la solution qui m'est venue à l'esprit. Plus crade : jouer avec des ips dans la plage 127.0.0.0/24 pour établir la session BGP. J'ignore si c'est possible mais ça retournerait l'attaque. Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP en ipv6 pour annoncer des routes en v4. Le pourcentage du botnet ayant un stack ipv6 devant être quasi négligeable (désolé les gars), ça doit au minimum fortement diminuer l'attaque voir la stopper. Et la dernière en guise d'hypothèse : faire mentir les réponses ICMP ou tout simplement filtrer l'ICMP AVANT de changer l'ip d'interco (pour les autres hosts que le routeur en face bien entendu). A ma connaissance, rien n'interdit de mettre de la merde dans le reply ICMP, ca arrivera quand même. Du coup, le mec va voir rien ou n'importe quoi quand il fera son traceroute pour trouver ton IP d'interco. Des solutions en vrac, rien de testé bien entendu ... Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
On Tue, Sep 15, 2015, at 10:32, Louis wrote: > Je ne comprends pas. Ca fait une next-hop d'un subnet ipv4 en ipv6? Ca > marche vraiment? Non, ca ne marche pas en EBGP. En IBGP peut-etre, mais tu dois avoir MPLS avec signalisation over IPv6, ce qui est uniquement disponible sur des nouvelles plate-formes haut-de-gamme. Par contre, en IBGP ca marche dans l'autre sens (prefixe v6, next-hop v4, resolu via MPLS). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
On Tue, Sep 15, 2015, at 08:16, Julien Escario wrote: > Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP > en ipv6 pour annoncer des routes en v4. En EBGP tu as toujours besoin d'un next-hop v4 pour faire passer du traffic. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 15/09/2015 10:30, Radu-Adrian Feurdean a écrit : > On Tue, Sep 15, 2015, at 08:16, Julien Escario wrote: >> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP >> en ipv6 pour annoncer des routes en v4. > > En EBGP tu as toujours besoin d'un next-hop v4 pour faire passer du > traffic. > Ah oui, très juste donc même si le routeur d'annonce est en ipv6, c'est le next-hop qui sera attaqué de toute façon. Ca ne règle rien. Merci de la précision. Julien smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [TECH] Ip d'interco bgp / Solution IELO
Bonjour à tous, On s'est effectivement pris du DDoS de plus de 50 Gbps, arrivant d'un peu partout, y compris les IX. Mais le problème c'est que le RTBH se déclenche en /32 sur l'IP d'interco BGP coté client, celle qui se prend le DDOS, ce qui lui coupe la session :/ Voila la solution retenue avec Firstheberg : On a décidé de griller le "last /22" que le RIPE nous a alloué pour les interco BGP à risque et on ne l'annoncera pas. On pourra éventuellement annoncer des plus spécifiques (/23 ou /24) si on en a besoin. Ca permet de ne pas en venir à des solutions du type interco en RFC1918, que je trouve vraiment sale. Cédric Tabary (PS: desole pour le doublon éventuel, avec le bon From ca passe mieux) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 15/09/15 00:51, Frederic Dhieux a écrit : C'est moche et ça va faire râler du monde, mais au pire dans l'urgence de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être un moindre mal le temps de trouver une solution plus propre et pérenne. Oui tout à fait. Je n'avez pas mentionné dans mon premier mail mais c'est un des idée qui m'est venu a l'esprit. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP en ipv6 pour annoncer des routes en v4. Je ne comprends pas. Ca fait une next-hop d'un subnet ipv4 en ipv6? Ca marche vraiment? Louis Le 15 septembre 2015 08:16, Julien Escarioa écrit : > Le 15/09/2015 00:51, Frederic Dhieux a écrit : > >> >> >> Le 14/09/2015 22:12, Raphael Mazelier a écrit : >> >>> >>> >>> J'ai pas dit que cela devait être forcement le cas en nominal, certain >>> le font (jaguar de souvenir), d'autre (moi le premier) non. En >>> revanche avoir un /24 en stock qui peut servir en cas de besoin, et le >>> dédier temporairement à tel ou tel besoin c'est quand même bien >>> pratique. (surtout quand il s'agit de dépanner un client). >>> >>> >> C'est moche et ça va faire râler du monde, mais au pire dans l'urgence >> de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être >> un moindre mal le temps de trouver une solution plus propre et pérenne. >> >> Frédéric >> > > C'est aussi la solution qui m'est venue à l'esprit. > > Plus crade : jouer avec des ips dans la plage 127.0.0.0/24 pour établir > la session BGP. J'ignore si c'est possible mais ça retournerait l'attaque. > > Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP en > ipv6 pour annoncer des routes en v4. > > Le pourcentage du botnet ayant un stack ipv6 devant être quasi négligeable > (désolé les gars), ça doit au minimum fortement diminuer l'attaque voir la > stopper. > > Et la dernière en guise d'hypothèse : faire mentir les réponses ICMP ou > tout simplement filtrer l'ICMP AVANT de changer l'ip d'interco (pour les > autres hosts que le routeur en face bien entendu). > A ma connaissance, rien n'interdit de mettre de la merde dans le reply > ICMP, ca arrivera quand même. > Du coup, le mec va voir rien ou n'importe quoi quand il fera son > traceroute pour trouver ton IP d'interco. > > Des solutions en vrac, rien de testé bien entendu ... > > Julien > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp / Solution IELO
Le 15/09/15 11:20, Cédric Tabary a écrit : On a décidé de griller le "last /22" que le RIPE nous a alloué pour les interco BGP à risque et on ne l'annoncera pas. On pourra éventuellement annoncer des plus spécifiques (/23 ou /24) si on en a besoin. Ca permet de ne pas en venir à des solutions du type interco en RFC1918, que je trouve vraiment sale. Yep voila. Pour le rfc1918 en temporaire ça passe (mais on sait tous que le temporaire est définitif et inversement). -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on a trouvé une solution qui va fonctionner. La solution retenue sera finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer du tout. Merci à tous pour vos idées, ça nous a bien aidé ! Et merci surtout à Cédric chez IELO qui a cogité un bon moment pour trouver cette solution. Jérémy Le 14/09/2015 19:01, Jeremy a écrit : Salut les barbus, Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les IP d'interco BGP qu'on a avec nos transitaires. Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là... Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est capable d'annoncer notre réseau sans se faire bombarder ses prefix de routage (et présent sur franceIX) ? Merci. Jérémy __ FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle ! PHP + Mysql + Espace 2 � 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
'jour, > Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on > a trouvé une solution qui va fonctionner. La solution retenue sera > finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer > du tout. Question certainement idiote : quelle différence par rapport à utiliser des RFC1918 ? David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
David Touitou, le Tue 15 Sep 2015 13:13:14 +0200, a écrit : > > Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on > > a trouvé une solution qui va fonctionner. La solution retenue sera > > finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer > > du tout. > > Question certainement idiote : quelle différence par rapport à utiliser des > RFC1918 ? Que tu es sûr qu'elles sont uniques, même si tu fusionnes des trucs existants ? Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 15/09/2015 13:13, David Touitou a écrit : Question certainement idiote : quelle différence par rapport à utiliser des RFC1918 ? La réversibilité ? Les attaquants passeront bien à une autre cible et il sera alors possible de ré-annoncer les intercos ? -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
en même temps ça sert à quoi d'annoncer des intercos à l'extérieur? Le 15 septembre 2015 13:35, Jérôme BERTHIERa écrit : > Le 15/09/2015 13:13, David Touitou a écrit : > >> Question certainement idiote : quelle différence par rapport à utiliser >> des RFC1918 ? >> > La réversibilité ? > > Les attaquants passeront bien à une autre cible et il sera alors possible > de ré-annoncer les intercos ? > > -- > Jérôme BERTHIER > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le Tue, Sep 15, 2015 at 01:55:55PM +0200, Louis [luigi.1...@gmail.com] a écrit: > en même temps ça sert à quoi d'annoncer des intercos à l'extérieur? Ça peut servir à ce que ton client joigne son routeur depuis l'internet public en dehors de ses ips (en cas de problem d'annonce, par exemple). Et le plus souvent, c'est juste parceque le subnet d'interco fait partir d'un préfixe plus large qui est annoncé. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
+1 Le 15 sept. 2015 à 13:13, David Touitoua écrit : > 'jour, > >> Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on >> a trouvé une solution qui va fonctionner. La solution retenue sera >> finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer >> du tout. > > Question certainement idiote : quelle différence par rapport à utiliser des > RFC1918 ? > > David > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Probablement plus simple, aucune idée. On m'a proposé cette solution, je l'accepte, c'est tout :) Tu sais quand tu est dos au mur, tu prends la première solution qui vient ! Jérémy Le 15/09/2015 13:15, David Ponzone a écrit : +1 Le 15 sept. 2015 à 13:13, David Touitoua écrit : 'jour, Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on a trouvé une solution qui va fonctionner. La solution retenue sera finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer du tout. Question certainement idiote : quelle différence par rapport à utiliser des RFC1918 ? David --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Je trouve la solution du RFC1918 assez sale dans le sens où ca ajoute des IP privées dans l'IGP de la table de routage globale, ce qui peut porter à confusion. D'autre part ca génère des paquets ICMP (au traceroute par exemple) en IP source RFC1918 qui passent par Internet donc potentiellement filtrés et/ou en conflit avec des réseaux locaux à destination. Bref pas de ça chez moi :) Cédric - Le 15 Sep 15, à 13:28, Jeremy li...@freeheberg.com a écrit : > Probablement plus simple, aucune idée. On m'a proposé cette solution, je > l'accepte, c'est tout :) > Tu sais quand tu est dos au mur, tu prends la première solution qui vient ! > > Jérémy > > Le 15/09/2015 13:15, David Ponzone a écrit : >> +1 >> >> >> Le 15 sept. 2015 à 13:13, David Touitoua écrit : >> >>> 'jour, >>> Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on a trouvé une solution qui va fonctionner. La solution retenue sera finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer du tout. >>> Question certainement idiote : quelle différence par rapport à utiliser des >>> RFC1918 ? >>> >>> David >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
On Tue, Sep 15, 2015, at 13:13, David Touitou wrote: > Question certainement idiote : quelle différence par rapport à utiliser des > RFC1918 ? Ce sont quand-meme des adresses "globalement uniques". Ce qui n'est pas le cas des RFC1918. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
On Tue, Sep 15, 2015, at 13:55, Louis wrote: > en même temps ça sert à quoi d'annoncer des intercos à l'extérieur? Vers le reste du monde - a rien. Modulo que generalement les intercos font partie d'un bloc plus grand ou il y a aussi des adresses qui doivent etre joignables. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 15 septembre 2015 14:25:55 CEST, Raphael Mazeliera écrit : > >> Ça peut servir à ce que ton client joigne son routeur depuis >l'internet >> public en dehors de ses ips (en cas de problem d'annonce, par >exemple). > > >Tout à fait. Avec une default vers ton transitaire, cela peut faire un >accès quand ton bgp est tout pété. Sans parler du fait que parfois, la source IP de paquets émis par le routeur peuvent avoir besoin d'un chemin de retour valide ;-) -- Sent from my phone. Please excuse any typos or mistakes. But not both... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Ça peut servir à ce que ton client joigne son routeur depuis l'internet public en dehors de ses ips (en cas de problem d'annonce, par exemple). Tout à fait. Avec une default vers ton transitaire, cela peut faire un accès quand ton bgp est tout pété. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Ip d'interco bgp
Salut les barbus, Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les IP d'interco BGP qu'on a avec nos transitaires. Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là... Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est capable d'annoncer notre réseau sans se faire bombarder ses prefix de routage (et présent sur franceIX) ? Merci. Jérémy __ FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle ! PHP + Mysql + Espace 2 � 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 14/09/2015 22:12, Raphael Mazelier a écrit : J'ai pas dit que cela devait être forcement le cas en nominal, certain le font (jaguar de souvenir), d'autre (moi le premier) non. En revanche avoir un /24 en stock qui peut servir en cas de besoin, et le dédier temporairement à tel ou tel besoin c'est quand même bien pratique. (surtout quand il s'agit de dépanner un client). C'est moche et ça va faire râler du monde, mais au pire dans l'urgence de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être un moindre mal le temps de trouver une solution plus propre et pérenne. Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 14/09/15 21:41, Johann a écrit : Ne pas annoncer ses IP d'interconnexion dans la DFZ demande à avoir un bloc J'ai pas dit que cela devait être forcement le cas en nominal, certain le font (jaguar de souvenir), d'autre (moi le premier) non. En revanche avoir un /24 en stock qui peut servir en cas de besoin, et le dédier temporairement à tel ou tel besoin c'est quand même bien pratique. (surtout quand il s'agit de dépanner un client). -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Si tu blackhole la /32 d'interco, les routeurs en amont ne savent plus pousser le trafic. Jérémy Le 14/09/2015 19:56, Boris Tassou a écrit : Bonjour, Question de noog BGP: pas de blackhole en place? Le 14/09/2015 19:01, Jeremy a écrit : Salut les barbus, Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les IP d'interco BGP qu'on a avec nos transitaires. Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là... Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est capable d'annoncer notre réseau sans se faire bombarder ses prefix de routage (et présent sur franceIX) ? Merci. Jérémy __ FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle ! PHP + Mysql + Espace 2 � 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Je comprends que ça fasse du boulot à IELO, mais c’est pas la fin du monde, et ça doit leur faire mal aussi, c’est un intérêt mutuel. Beaucoup de routeurs ? Euh, même à un routeur par transitaire et un routeur par IX, ça en fait pas 40 je pense. Cogent a pas une offre anti-DDoS ? Sinon, c’est peut-être le moment de chercher des transitaires peut-être un peu plus chers, mais qui te laissent pas te demmerder (si ça existe). Le 14 sept. 2015 à 20:00, Jeremya écrit : > Salut, > > Oui, on a essayé, le mec change la destination de son attaque au bout de 5 > minutes après changement d'IP. > Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est > souvent galère à faire car beaucoup de routeurs. > Chez Cogent, ils peuvent rien faire a priori, c'est hors process d'après le > support. > > Bref, belle galère. > Jérémy > > Le 14/09/2015 19:51, David Ponzone a écrit : >> Tu peux éclaircir un détail. >> Tu dis que les attaques arrivent vers les IP d’interco. >> Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant >> quelques minutes/heures. >> (les IP d’interco sont dans les blocs de vos transitaires j’imagine ?) >> Tu as essayé, c’est effectivement le cas ? >> >> Tu peux toujours demander à tes upstream de filtrer le plus en amont >> possible les paquets vers les IP d’interco. Ce n’est pas, à priori, >> dramatique si les IP d’interco sont filtrées. >> >> Après, sans assistance de tes transitaires, je vois mal comment tu vas t’en >> sortir. >> Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les >> compétences nécessaires en interne pour t’aider. >> >> Le 14 sept. 2015 à 19:01, Jeremy a écrit : >> >>> Salut les barbus, >>> >>> Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les >>> IP d'interco BGP qu'on a avec nos transitaires. >>> Ces derniers ayant leurs propres limites, bah on est un peu dans le noir >>> là... >>> >>> Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est >>> capable d'annoncer notre réseau sans se faire bombarder ses prefix de >>> routage (et présent sur franceIX) ? >>> >>> Merci. >>> Jérémy >>> >>> __ >>> FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle ! >>> PHP + Mysql + Espace 2 � 20 Go >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Zayo France? Jaguar? Telia? NTT? > Le 14 sept. 2015 à 20:18, David Ponzonea écrit : > > Je comprends que ça fasse du boulot à IELO, mais c’est pas la fin du monde, > et ça doit leur faire mal aussi, c’est un intérêt mutuel. > Beaucoup de routeurs ? Euh, même à un routeur par transitaire et un routeur > par IX, ça en fait pas 40 je pense. > > Cogent a pas une offre anti-DDoS ? > > Sinon, c’est peut-être le moment de chercher des transitaires peut-être un > peu plus chers, mais qui te laissent pas te demmerder (si ça existe). > > > Le 14 sept. 2015 à 20:00, Jeremy a écrit : > >> Salut, >> >> Oui, on a essayé, le mec change la destination de son attaque au bout de 5 >> minutes après changement d'IP. >> Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est >> souvent galère à faire car beaucoup de routeurs. >> Chez Cogent, ils peuvent rien faire a priori, c'est hors process d'après le >> support. >> >> Bref, belle galère. >> Jérémy >> >> Le 14/09/2015 19:51, David Ponzone a écrit : >>> Tu peux éclaircir un détail. >>> Tu dis que les attaques arrivent vers les IP d’interco. >>> Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant >>> quelques minutes/heures. >>> (les IP d’interco sont dans les blocs de vos transitaires j’imagine ?) >>> Tu as essayé, c’est effectivement le cas ? >>> >>> Tu peux toujours demander à tes upstream de filtrer le plus en amont >>> possible les paquets vers les IP d’interco. Ce n’est pas, à priori, >>> dramatique si les IP d’interco sont filtrées. >>> >>> Après, sans assistance de tes transitaires, je vois mal comment tu vas t’en >>> sortir. >>> Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les >>> compétences nécessaires en interne pour t’aider. >>> >>> Le 14 sept. 2015 à 19:01, Jeremy a écrit : >>> Salut les barbus, Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les IP d'interco BGP qu'on a avec nos transitaires. Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là... Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est capable d'annoncer notre réseau sans se faire bombarder ses prefix de routage (et présent sur franceIX) ? Merci. Jérémy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Tu peux éclaircir un détail. Tu dis que les attaques arrivent vers les IP d’interco. Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant quelques minutes/heures. (les IP d’interco sont dans les blocs de vos transitaires j’imagine ?) Tu as essayé, c’est effectivement le cas ? Tu peux toujours demander à tes upstream de filtrer le plus en amont possible les paquets vers les IP d’interco. Ce n’est pas, à priori, dramatique si les IP d’interco sont filtrées. Après, sans assistance de tes transitaires, je vois mal comment tu vas t’en sortir. Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les compétences nécessaires en interne pour t’aider. Le 14 sept. 2015 à 19:01, Jeremya écrit : > Salut les barbus, > > Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les > IP d'interco BGP qu'on a avec nos transitaires. > Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là... > > Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est > capable d'annoncer notre réseau sans se faire bombarder ses prefix de routage > (et présent sur franceIX) ? > > Merci. > Jérémy > > __ > FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle ! > PHP + Mysql + Espace 2 � 20 Go > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Bonjour, Question de noog BGP: pas de blackhole en place? Le 14/09/2015 19:01, Jeremy a écrit : Salut les barbus, Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les IP d'interco BGP qu'on a avec nos transitaires. Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là... Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est capable d'annoncer notre réseau sans se faire bombarder ses prefix de routage (et présent sur franceIX) ? Merci. Jérémy __ FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle ! PHP + Mysql + Espace 2 � 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Salut, Oui, on a essayé, le mec change la destination de son attaque au bout de 5 minutes après changement d'IP. Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est souvent galère à faire car beaucoup de routeurs. Chez Cogent, ils peuvent rien faire a priori, c'est hors process d'après le support. Bref, belle galère. Jérémy Le 14/09/2015 19:51, David Ponzone a écrit : Tu peux éclaircir un détail. Tu dis que les attaques arrivent vers les IP d’interco. Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant quelques minutes/heures. (les IP d’interco sont dans les blocs de vos transitaires j’imagine ?) Tu as essayé, c’est effectivement le cas ? Tu peux toujours demander à tes upstream de filtrer le plus en amont possible les paquets vers les IP d’interco. Ce n’est pas, à priori, dramatique si les IP d’interco sont filtrées. Après, sans assistance de tes transitaires, je vois mal comment tu vas t’en sortir. Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les compétences nécessaires en interne pour t’aider. Le 14 sept. 2015 à 19:01, Jeremya écrit : Salut les barbus, Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les IP d'interco BGP qu'on a avec nos transitaires. Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là... Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui est capable d'annoncer notre réseau sans se faire bombarder ses prefix de routage (et présent sur franceIX) ? Merci. Jérémy __ FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle ! PHP + Mysql + Espace 2 � 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Ne pas annoncer ses IP d'interconnexion dans la DFZ demande à avoir un bloc a écrit : > > > Le 14/09/15 21:08, Johann a écrit : > >> Hello, >> >> Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP >> d'interconnexion. >> Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP >> d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur >> adjacent et le tien. Ou à minima le trafic ICMP/UDP pour bloquer tout type >> de traceroute sur la partie interco. Puis rechange d'IP d'interconnexion. >> >> Ca devrait te laisser un peu de répit sur ce vecteur d'attaque. On a fait >> cela avec un client qui était dans la même situation que toi. >> >> > Bah oui c'est pas la mort de filtrer les ips d'interco(s), voir de pas les > annoncer du tout dans la DFZ. Cela demande peut être un peu de re factoring > sur le réseau de ton transitaire, mais bon franchement rien d'infaisable. > Que cogent ne le fasse pas c'est compréhensible, ielo je suis plus > dubitatif. > > -- > Raphael Mazelier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Hello, Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP d'interconnexion. Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur adjacent et le tien. Ou à minima le trafic ICMP/UDP pour bloquer tout type de traceroute sur la partie interco. Puis rechange d'IP d'interconnexion. Ca devrait te laisser un peu de répit sur ce vecteur d'attaque. On a fait cela avec un client qui était dans la même situation que toi. Johann Le 14 sept. 2015 20:00, "Jeremy"a écrit : > Salut, > > Oui, on a essayé, le mec change la destination de son attaque au bout de 5 > minutes après changement d'IP. > Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est > souvent galère à faire car beaucoup de routeurs. > Chez Cogent, ils peuvent rien faire a priori, c'est hors process d'après > le support. > > Bref, belle galère. > Jérémy > > Le 14/09/2015 19:51, David Ponzone a écrit : > >> Tu peux éclaircir un détail. >> Tu dis que les attaques arrivent vers les IP d’interco. >> Si oui, si tu renumérotes une des interco, tu dois être tranquille >> pendant quelques minutes/heures. >> (les IP d’interco sont dans les blocs de vos transitaires j’imagine ?) >> Tu as essayé, c’est effectivement le cas ? >> >> Tu peux toujours demander à tes upstream de filtrer le plus en amont >> possible les paquets vers les IP d’interco. Ce n’est pas, à priori, >> dramatique si les IP d’interco sont filtrées. >> >> Après, sans assistance de tes transitaires, je vois mal comment tu vas >> t’en sortir. >> Parmi ceux-ci, j’en connais au moins un, Magic On Line, qui a les >> compétences nécessaires en interne pour t’aider. >> >> Le 14 sept. 2015 à 19:01, Jeremy a écrit : >> >> Salut les barbus, >>> >>> Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre >>> les IP d'interco BGP qu'on a avec nos transitaires. >>> Ces derniers ayant leurs propres limites, bah on est un peu dans le noir >>> là... >>> >>> Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui >>> est capable d'annoncer notre réseau sans se faire bombarder ses prefix de >>> routage (et présent sur franceIX) ? >>> >>> Merci. >>> Jérémy >>> >>> __ >>> FreeHeberg.com : Osez l'h�bergement gratuit de qualit� professionnelle ! >>> PHP + Mysql + Espace 2 � 20 Go >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Le 14/09/15 21:08, Johann a écrit : Hello, Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP d'interconnexion. Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur adjacent et le tien. Ou à minima le trafic ICMP/UDP pour bloquer tout type de traceroute sur la partie interco. Puis rechange d'IP d'interconnexion. Ca devrait te laisser un peu de répit sur ce vecteur d'attaque. On a fait cela avec un client qui était dans la même situation que toi. Bah oui c'est pas la mort de filtrer les ips d'interco(s), voir de pas les annoncer du tout dans la DFZ. Cela demande peut être un peu de re factoring sur le réseau de ton transitaire, mais bon franchement rien d'infaisable. Que cogent ne le fasse pas c'est compréhensible, ielo je suis plus dubitatif. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/