Re: [FRnOG] [TECH] Peering et attaques
Salut Nicolas :) ah oui sur l'upstream ne gère pas de CS cela peut poser problème mais il y a des fournisseurs de service de CS en remote (après je ne connais pas l'efficacité d'une telle utilisation): http://www.arbornetworks.com/products/cloud-signaling-coalition A+ Le 16 mai 2013 07:29, Nicolas Strina nicolas.str...@jaguar-network.com a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Sauf que dans son cas il faut que son upstream provider supporte le cloud signaling. On est 1 ou 2 en France à pouvoir le faire. Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas ça .. C'est la seule alternative viable pour le moment (pour bien avoir bossé sur le sujet). On avait déjà signalié ce type d'attaque lors d'une présentation avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). A+ Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-tech@frnog.orgSubject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ - -- Nicolas STRINA Jaguar Network Switzerland Boulevard Georges Favon, 19 CH - 1024 Genève More Than Your Hosting Company Tel : +33 4 88 00 65 16 Gsm : +33 6 18 20 49 55 Std : +41 8 40 65 61 11 Fax : +33 4 88 00 65 25 URL: http://www.jaguar-network.ch/ Support 24+7 : supp...@jaguar-network.ch -BEGIN PGP SIGNATURE- Version: GnuPG/MacGPG2 v2.0.18 (Darwin) Comment: GPGTools - http://gpgtools.org Comment: Using GnuPG with undefined - http://www.enigmail.net/ iEYEARECAAYFAlGUbpwACgkQhVupqbmzoseLTACgpoEBCPs1dr34r6EbFVNSj/gd 3xMAoJZOrjPKGM+71Z2S+xeWpiaemTjc =rnGs -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/ -- David Ramahefason r...@netfacile.net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering et attaques
De manière plus générale, une communauté rate-limit avec les upstream et une simple règle qui dit rate-limit DNS SNMP à 50 Mb/s Ca serais largement suffisant. Non ? Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé d'arrêter de nous bombarder avec leur root-server :( Cordialement, Jérémy Martin Le 16/05/2013 09:23, David Ramahefason a écrit : ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y a pour le moment pas de solution si l'upstream ne gère pas la fonctionalité. Pour en revenir au post initial, s'il y a déjà un TMS en place il serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? :p) pour la partie services (en coupure) non ?? De ma compréhension du produit c'est exactement ce pour quoi il est fait. Apres je ne sais pas si le CS du coup en local est utile par contre. Le 16 mai 2013 09:09, David Ramahefason r...@netfacile.net a écrit : Salut Nicolas :) ah oui sur l'upstream ne gère pas de CS cela peut poser problème mais il y a des fournisseurs de service de CS en remote (après je ne connais pas l'efficacité d'une telle utilisation): http://www.arbornetworks.com/products/cloud-signaling-coalition A+ Le 16 mai 2013 07:29, Nicolas Strina nicolas.str...@jaguar-network.coma écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Sauf que dans son cas il faut que son upstream provider supporte le cloud signaling. On est 1 ou 2 en France à pouvoir le faire. Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas ça .. C'est la seule alternative viable pour le moment (pour bien avoir bossé sur le sujet). On avait déjà signalié ce type d'attaque lors d'une présentation avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). A+ Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ - -- Nicolas STRINA Jaguar Network Switzerland Boulevard Georges Favon, 19 CH - 1024 Genève More Than Your Hosting Company Tel : +33 4 88 00 65 16 Gsm : +33 6 18 20 49 55 Std : +41 8 40 65 61 11 Fax : +33 4 88 00 65 25 URL: http://www.jaguar-network.ch/ Support 24+7 : supp...@jaguar-network.ch -BEGIN PGP SIGNATURE- Version: GnuPG/MacGPG2 v2.0.18 (Darwin) Comment: GPGTools - http://gpgtools.org
Re: [FRnOG] [TECH] Peering et attaques
Et pourquoi un opérateur prendrait la charge de rate-limit sur son backbone juste comme ça pour faire plaisir à un client :) L'impact sur la charge des routeurs est significatif. C'est pour cela que les opérateurs prennent des solutions qu'ils facturent. Apres speed - price - quality, pick any two Cordialement, -- Raphael MAUNIER Jaguar Network France On May 16, 2013, at 9:28 AM, Jérémy Martin li...@freeheberg.com wrote: De manière plus générale, une communauté rate-limit avec les upstream et une simple règle qui dit rate-limit DNS SNMP à 50 Mb/s Ca serais largement suffisant. Non ? Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé d'arrêter de nous bombarder avec leur root-server :( Cordialement, Jérémy Martin Le 16/05/2013 09:23, David Ramahefason a écrit : ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y a pour le moment pas de solution si l'upstream ne gère pas la fonctionalité. Pour en revenir au post initial, s'il y a déjà un TMS en place il serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? :p) pour la partie services (en coupure) non ?? De ma compréhension du produit c'est exactement ce pour quoi il est fait. Apres je ne sais pas si le CS du coup en local est utile par contre. Le 16 mai 2013 09:09, David Ramahefason r...@netfacile.net a écrit : Salut Nicolas :) ah oui sur l'upstream ne gère pas de CS cela peut poser problème mais il y a des fournisseurs de service de CS en remote (après je ne connais pas l'efficacité d'une telle utilisation): http://www.arbornetworks.com/products/cloud-signaling-coalition A+ Le 16 mai 2013 07:29, Nicolas Strina nicolas.str...@jaguar-network.coma écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Sauf que dans son cas il faut que son upstream provider supporte le cloud signaling. On est 1 ou 2 en France à pouvoir le faire. Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas ça .. C'est la seule alternative viable pour le moment (pour bien avoir bossé sur le sujet). On avait déjà signalié ce type d'attaque lors d'une présentation avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). A+ Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion
RE: [FRnOG] [TECH] Peering et attaques
Bonjour, Personnellement je n'ai jamais vu d'upstream qui acceptait de rate-limite à la place de leur client si je comprends bien ce que tu écris. Après sur tes équipements tu peux sans doute le faire, mais comment différencieras-tu le bon trafic du mauvais ? David -Original Message- From: Jérémy Martin [mailto:li...@freeheberg.com] Sent: jeudi 16 mai 2013 09:29 To: David Ramahefason Cc: Nicolas Strina; frnog@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques De manière plus générale, une communauté rate-limit avec les upstream et une simple règle qui dit rate-limit DNS SNMP à 50 Mb/s Ca serais largement suffisant. Non ? Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé d'arrêter de nous bombarder avec leur root-server :( Cordialement, Jérémy Martin Le 16/05/2013 09:23, David Ramahefason a écrit : ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y a pour le moment pas de solution si l'upstream ne gère pas la fonctionalité. Pour en revenir au post initial, s'il y a déjà un TMS en place il serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? :p) pour la partie services (en coupure) non ?? De ma compréhension du produit c'est exactement ce pour quoi il est fait. Apres je ne sais pas si le CS du coup en local est utile par contre. Le 16 mai 2013 09:09, David Ramahefason r...@netfacile.net a écrit : Salut Nicolas :) ah oui sur l'upstream ne gère pas de CS cela peut poser problème mais il y a des fournisseurs de service de CS en remote (après je ne connais pas l'efficacité d'une telle utilisation): http://www.arbornetworks.com/products/cloud-signaling-coalition A+ Le 16 mai 2013 07:29, Nicolas Strina nicolas.str...@jaguar-network.coma écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Sauf que dans son cas il faut que son upstream provider supporte le cloud signaling. On est 1 ou 2 en France à pouvoir le faire. Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas ça .. C'est la seule alternative viable pour le moment (pour bien avoir bossé sur le sujet). On avait déjà signalié ce type d'attaque lors d'une présentation avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). A+ Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org
Re: [FRnOG] [TECH] Peering et attaques
Bah on impose l'utilisation d'un serveur DNS interne qui passe par un chemin non impacté par un rate-limit. L'intérêt de l'opérateur de le faire, c'est d'éviter que le port de livraison soit saturé par du trafic non légitime. On suppose que si on est livré en 1 Gb/s, l'upstream est en 10G et est capable d'encaisser la charge. Pour le coup, c'est le genre d'option qui est tout à fait facturable et sur lequel on est prêt à sortir 2-3 € :) Ca coutera toujours moins cher que de passer en port 10G. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr Web : http://www.firstheberg.com Le 16/05/2013 09:33, David Ramahefason a écrit : Bonjour, Personnellement je n'ai jamais vu d'upstream qui acceptait de rate-limite à la place de leur client si je comprends bien ce que tu écris. Après sur tes équipements tu peux sans doute le faire, mais comment différencieras-tu le bon trafic du mauvais ? David -Original Message- From: Jérémy Martin [mailto:li...@freeheberg.com] Sent: jeudi 16 mai 2013 09:29 To: David Ramahefason Cc: Nicolas Strina; frnog@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques De manière plus générale, une communauté rate-limit avec les upstream et une simple règle qui dit rate-limit DNS SNMP à 50 Mb/s Ca serais largement suffisant. Non ? Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé d'arrêter de nous bombarder avec leur root-server :( Cordialement, Jérémy Martin Le 16/05/2013 09:23, David Ramahefason a écrit : ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y a pour le moment pas de solution si l'upstream ne gère pas la fonctionalité. Pour en revenir au post initial, s'il y a déjà un TMS en place il serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? :p) pour la partie services (en coupure) non ?? De ma compréhension du produit c'est exactement ce pour quoi il est fait. Apres je ne sais pas si le CS du coup en local est utile par contre. Le 16 mai 2013 09:09, David Ramahefason r...@netfacile.net a écrit : Salut Nicolas :) ah oui sur l'upstream ne gère pas de CS cela peut poser problème mais il y a des fournisseurs de service de CS en remote (après je ne connais pas l'efficacité d'une telle utilisation): http://www.arbornetworks.com/products/cloud-signaling-coalition A+ Le 16 mai 2013 07:29, Nicolas Strina nicolas.str...@jaguar-network.coma écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Sauf que dans son cas il faut que son upstream provider supporte le cloud signaling. On est 1 ou 2 en France à pouvoir le faire. Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas ça .. C'est la seule alternative viable pour le moment (pour bien avoir bossé sur le sujet). On avait déjà signalié ce type d'attaque lors d'une présentation avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). A+ Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense
RE: [FRnOG] [TECH] Peering et attaques
Bonjour, L'opérateur ne regarde pas ce qu'il passe dans le lien qu'il fournit au client enfin normalement :p (sauf si ça impacte sa prod) ... et si ça sature son intérêt à lui est de te vendre plus gros :) David -Original Message- From: Jérémy Martin [mailto:li...@freeheberg.com] Sent: jeudi 16 mai 2013 09:37 To: David Ramahefason Cc: 'Nicolas Strina'; frnog@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Bah on impose l'utilisation d'un serveur DNS interne qui passe par un chemin non impacté par un rate-limit. L'intérêt de l'opérateur de le faire, c'est d'éviter que le port de livraison soit saturé par du trafic non légitime. On suppose que si on est livré en 1 Gb/s, l'upstream est en 10G et est capable d'encaisser la charge. Pour le coup, c'est le genre d'option qui est tout à fait facturable et sur lequel on est prêt à sortir 2-3 € :) Ca coutera toujours moins cher que de passer en port 10G. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr Web : http://www.firstheberg.com Le 16/05/2013 09:33, David Ramahefason a écrit : Bonjour, Personnellement je n'ai jamais vu d'upstream qui acceptait de rate-limite à la place de leur client si je comprends bien ce que tu écris. Après sur tes équipements tu peux sans doute le faire, mais comment différencieras-tu le bon trafic du mauvais ? David -Original Message- From: Jérémy Martin [mailto:li...@freeheberg.com] Sent: jeudi 16 mai 2013 09:29 To: David Ramahefason Cc: Nicolas Strina; frnog@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques De manière plus générale, une communauté rate-limit avec les upstream et une simple règle qui dit rate-limit DNS SNMP à 50 Mb/s Ca serais largement suffisant. Non ? Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé d'arrêter de nous bombarder avec leur root-server :( Cordialement, Jérémy Martin Le 16/05/2013 09:23, David Ramahefason a écrit : ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y a pour le moment pas de solution si l'upstream ne gère pas la fonctionalité. Pour en revenir au post initial, s'il y a déjà un TMS en place il serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? :p) pour la partie services (en coupure) non ?? De ma compréhension du produit c'est exactement ce pour quoi il est fait. Apres je ne sais pas si le CS du coup en local est utile par contre. Le 16 mai 2013 09:09, David Ramahefason r...@netfacile.net a écrit : Salut Nicolas :) ah oui sur l'upstream ne gère pas de CS cela peut poser problème mais il y a des fournisseurs de service de CS en remote (après je ne connais pas l'efficacité d'une telle utilisation): http://www.arbornetworks.com/products/cloud-signaling-coalition A+ Le 16 mai 2013 07:29, Nicolas Strina nicolas.str...@jaguar-network.coma écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Sauf que dans son cas il faut que son upstream provider supporte le cloud signaling. On est 1 ou 2 en France à pouvoir le faire. Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas ça .. C'est la seule alternative viable pour le moment (pour bien avoir bossé sur le sujet). On avait déjà signalié ce type d'attaque lors d'une présentation avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). A+ Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème
Re: [FRnOG] [TECH] Peering et attaques
On Wed, May 15, 2013, at 22:51, Moncef ZID wrote: Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Arbor PeakFlow est une tres bonne solution a condition d'erte deploye la ou ca peut avoir un impact: chez son upstream (il y a plusieurs un sur la liste qui offrent des services anti-DDoS base sur du Arbor en complement de leur transit). Ca ne protege strictement rien une fois le DDoS arive sur son reseau. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering et attaques
On Thu, May 16, 2013, at 9:36, Jérémy Martin wrote: L'intérêt de l'opérateur de le faire, c'est d'éviter que le port de livraison soit saturé par du trafic non légitime. On suppose que si on est livré en 1 Gb/s, l'upstream est en 10G et est capable d'encaisser la charge. L'interet de ne pas le faire c'est de garder son reseau gerable. Tu n'est pas ni le seul ni le plus grand client. Si tout le monde se met a demander le meme chose, ca devient vite ingerable. Ce n'est pas parce-que quelque-chose est techniquement faisable qu'il faut le faire. Il y a certes quelques-uns qui le font, de differents facons, mais ca a un impact sur le prix. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering et attaques
(...) Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Il y a certain moment quand je bossais pour une boite francaise qui fait des gtld... Il y avais un certain nombre de discussions dans des mailing listes ouvertes (type dns-ops) qui parlais des trucs : - patch de bind9 pour faire du rate limit - quelques options a bind9 / nsd ... pour limiter les degâts. Evidement il faut pousser au cul les gens qui te pourrissent la vie (cogent dans ton cas), avec le truc bête : cette ip viens de chez vous ? je vous envoie mes avocats... Tu vas voir ils vont se bouger le cul. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering et attaques
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 5/16/13 12:25 PM, Xavier Beaudouin wrote: (...) Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Il y a certain moment quand je bossais pour une boite francaise qui fait des gtld... Il y avais un certain nombre de discussions dans des mailing listes ouvertes (type dns-ops) qui parlais des trucs : - patch de bind9 pour faire du rate limit - quelques options a bind9 / nsd ... pour limiter les degâts. Evidement il faut pousser au cul les gens qui te pourrissent la vie (cogent dans ton cas), avec le truc bête : cette ip viens de chez vous ? je vous envoie mes avocats... Tu vas voir ils vont se bouger le cul. IMO ça ne changera rien. Pour bien connaitre le sujet (il me semble) personne ne se bouge .. Cogent encore moins. On en a pour son argent. Après maintenir les applis c'est bien aussi mais quand c'est toi qui mange .. Le temps de trouver la bonne personne .. tu peux attendre. Si on avait dû faire ça sur nos DNS .. Ca fait longtemps que JN aurait mis la clef sous la porte. Pour le coup je suis content d'avoir investi dans une assurance (si on peut faire le lien avec ça ..). A+ Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ - -- Nicolas STRINA Jaguar Network Switzerland Boulevard Georges Favon, 19 CH - 1024 Genève More Than Your Hosting Company Tel : +33 4 88 00 65 16 Gsm : +33 6 18 20 49 55 Std : +41 8 40 65 61 11 Fax : +33 4 88 00 65 25 URL: http://www.jaguar-network.ch/ Support 24+7 : supp...@jaguar-network.ch -BEGIN PGP SIGNATURE- Version: GnuPG/MacGPG2 v2.0.18 (Darwin) Comment: GPGTools - http://gpgtools.org Comment: Using GnuPG with undefined - http://www.enigmail.net/ iEYEARECAAYFAlGUtU4ACgkQhVupqbmzosc2SgCeOSM3k4ikwakqEC9jqAZyXHK0 SnUAoLls4o7TXgnQNic069ftv/0b+/JS =YCUe -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering et attaques
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Salut David :) ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y a pour le moment pas de solution si l'upstream ne gère pas la fonctionalité. Pour en revenir au post initial, s'il y a déjà un TMS en place il serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? :p) pour la partie services (en coupure) non ?? De ma compréhension du produit c'est exactement ce pour quoi il est fait. Apres je ne sais pas si le CS du coup en local est utile par contre. Si tu peux mettre un pravail mais il faut capa++. Tant que tu ne satures pas c'est OK la machine fera son taf. Donc en gros .. Achetez des gros liens et priez .. Sinon - service chez un membre de la CSC (France ou autre of course). A+ Le 16 mai 2013 09:09, David Ramahefason r...@netfacile.net a écrit : Salut Nicolas :) ah oui sur l'upstream ne gère pas de CS cela peut poser problème mais il y a des fournisseurs de service de CS en remote (après je ne connais pas l'efficacité d'une telle utilisation): http://www.arbornetworks.com/products/cloud-signaling-coalition A+ Le 16 mai 2013 07:29, Nicolas Strina nicolas.str...@jaguar-network.coma écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Sauf que dans son cas il faut que son upstream provider supporte le cloud signaling. On est 1 ou 2 en France à pouvoir le faire. Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas ça .. C'est la seule alternative viable pour le moment (pour bien avoir bossé sur le sujet). On avait déjà signalié ce type d'attaque lors d'une présentation avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). A+ Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ - -- Nicolas STRINA Jaguar Network Switzerland Boulevard Georges Favon, 19 CH - 1024 Genève More Than Your Hosting Company Tel : +33 4 88 00 65 16 Gsm : +33 6 18 20 49 55 Std : +41 8 40 65 61 11 Fax : +33 4 88 00 65 25 URL: http://www.jaguar-network.ch/ Support 24+7 : supp...@jaguar-network.ch -BEGIN PGP SIGNATURE- Version: GnuPG/MacGPG2
Re: [FRnOG] [TECH] Peering et attaques
Chez Cogent? C'est sûrement le contraire non ? :) Le 16 mai 2013 à 09:36, Jérémy Martin li...@freeheberg.com a écrit : Ca coutera toujours moins cher que de passer en port 10G. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Peering et attaques
Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Peering et attaques
Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering et attaques
Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Peering et attaques
Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering et attaques
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Sauf que dans son cas il faut que son upstream provider supporte le cloud signaling. On est 1 ou 2 en France à pouvoir le faire. Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas ça .. C'est la seule alternative viable pour le moment (pour bien avoir bossé sur le sujet). On avait déjà signalié ce type d'attaque lors d'une présentation avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). A+ Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ - -- Nicolas STRINA Jaguar Network Switzerland Boulevard Georges Favon, 19 CH - 1024 Genève More Than Your Hosting Company Tel : +33 4 88 00 65 16 Gsm : +33 6 18 20 49 55 Std : +41 8 40 65 61 11 Fax : +33 4 88 00 65 25 URL: http://www.jaguar-network.ch/ Support 24+7 : supp...@jaguar-network.ch -BEGIN PGP SIGNATURE- Version: GnuPG/MacGPG2 v2.0.18 (Darwin) Comment: GPGTools - http://gpgtools.org Comment: Using GnuPG with undefined - http://www.enigmail.net/ iEYEARECAAYFAlGUbpwACgkQhVupqbmzoseLTACgpoEBCPs1dr34r6EbFVNSj/gd 3xMAoJZOrjPKGM+71Z2S+xeWpiaemTjc =rnGs -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/