Bonjour,
Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de
service depuis dimanche matin 7h heure locale. La très grosse majorité des
paquets est en udp/80 à destination de nos deux liens, completel
(213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi
Nous avons subi ce genre d'attaque également il y a quelques semaines, le
firewall a saturé car les connexions étaient ouvertes très très vites à
priori (peu de logs à cause de la saturation), en tout cas plus vite que ce
que le firewall ne savait traiter.
En bref, 150Mbits/s de trafic inopiné
On 12/26/11 12:04 PM, Charles Delorme wrote:
Bonjour,
Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de
service depuis dimanche matin 7h heure locale. La très grosse majorité des
paquets est en udp/80 à destination de nos deux liens, completel
Bonjour,
Un grand classique, surement déjà vécu par beaucoup ici.
Et malheureusement peu d'options efficaces.
Quelques techniques sont pourtant intéressantes à étudier, la plus
intéressante étant celle du remote triggered black-hole pour peu que
l'opérateur le supporte
S'agissant très probablement d'IPs spoofées, je le vois mal blackholer
200k /32 générées aléatoirement ?
Nan parce qu'au bout d'un moment le routeur upstream va en avoir marre,
déjà, et ensuite au bout d'un moment ça va bloquer des vrais clients
légitimes qui auront eu la malchance que leur IP
Merci pour vos suggestions.
Ma priorité est effectivement de bloquer le traffic udp/80 en amont de mes
liens. Les équipements en tête de réseau supportent bien la charge mais ce sont
les liens qui saturent.
Damien Fleuriot m...@my.gd a écrit :
Bah oui mais du coup il va se couper le
Oui, il faut bien comprendre que de toute façon, le service est down mais
que l'attaque impacte toute une plateforme, down elle aussi du coup. Ce qui
inclus dans l'exemple, les services mail notamment qui pourtant ne sont pas
visés initialement.
Comme dit précédemment, la priorité est de
IMHO, pour dropper 80/udp, le mieux que tu puisses faire c'est te
rapprocher des NOCs de tes upstreams (completel / GBLX) et leur demander
de le dropper à destination de tes supernets/subnets.
On 12/26/11 12:47 PM, Charles Delorme wrote:
Merci pour vos suggestions.
Ma priorité est
L'ideal de ce genre de situation serait d'avoir souscrit à un service de
détection et de mitigation d'attaque auprès de ses fournisseurs d'accès
Internet.
Le blackhole BGP étant techniquement une approche valide mais donnant raison
aux attaquants. BGP flow spec n'est applicable que rarement
Le 26 décembre 2011 14:08, Texier, Matthieu mtex...@arbor.net a écrit :
BGP flow spec n'est applicable que rarement sur les attaques distribuées ou à
base d'IP spoofées. Je n'ai bien peur que seul un boitier de mitigation placé
dans l'infrastructure du carrier ne puisse vous sortir de cette
Oui c'est très bien.
On Dec 26, 2011, at 2:08 PM, Texier, Matthieu wrote:
L'ideal de ce genre de situation serait d'avoir souscrit à un service de
détection et de mitigation d'attaque auprès de ses fournisseurs d'accès
Internet.
Le blackhole BGP étant techniquement une approche valide
Je rajoute ma pierre à l'édifice au lieu d'ouvrir un autre topic.
Depuis le 23/12, c'est la déferlante, on a rarement vu ça depuis 5 ans
qu'on existe.
DDOS UDP hier sur port aléatoire, non saturé mais qui a bien pourrit les
graph et les soirées de nos clients.
Et aujourd'hui, du scan
Cela dépend surtout du profil de l'attaque. Pour un UDP flood sur un serveur
web, un fournisseur qui peux ajouter un filtre flowspec sur ses connections
EBGP ça aide surement beaucoup.
Face a une attaque sur le L7 - la vie devient très dure ...
Thomas
On 26 Dec 2011, at 13:08, Texier,
Voila un réponse qui me semble faire preuve d'expérience :-) !
Sans compter que nos amis attaquants font souvent preuve d'une malice certaine
et emmenant les administrateurs réseaux dans une direction afin de masquer une
autre action mené en parallèle au niveau L7.
Les attaques sont de plus en
Flow spec, c'est bien beau, mais tant que le client ne peut pas activer
seul le filtrage il est difficile de l'exploiter de façon efficace, les
attaquant étant généralement très réactifs et les services opérateurs lents
à la détente...
Enfin, quels sont les opérateurs à l'exploiter réellement ?
C'est pour cela qu'il me semble sain de s'appuyer sur une offre de service
opérateur spécialisé qui donne un engament de SLA associé.
Des opérateurs proposent ce type de service et s'appuient pour cela sur une
structure type SoC mettant à disposition des outils et des experts dans le
domaine.
Si tu as des exemples à citer, je pense que nombre d'entre nous sera
preneur, ne serait-ce qu'à titre informatif.
2011/12/26 Texier, Matthieu mtex...@arbor.net
C'est pour cela qu'il me semble sain de s'appuyer sur une offre de service
opérateur spécialisé qui donne un engament de SLA associé.
Alexis,
Une des societe specialise est Prolexic, Jay Coley parle souvent de ce qu'il
voit comme attaques a LINX, EFP, GPF, ...
Les informations présentées ne sont normalement pas publiques (Prolexic ne voit
pas de raison de former l'industrie qu'ils combattent).
Un peu d'info dans
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
Texier, Matthieu
Envoyé : lundi 26 décembre 2011 15:10
À : Alexis Savin
Cc : Thomas Mangin; Charles Delorme; frnog-al...@frnog.org; sys...@senat.fr
Objet : Re: [FRnOG] [ALERT] Attaque en déni de
J ai une question qui peut sembler idiote car je ne sais pas quels sont les
services impactés et quelles en sont les utilisations mais rendre les services
down (eteindre tout par exemple, blacklister les ip turcs) ne me semble pas
etre une option ayatolesque.
Ensuite ce n est pas forcement une
J'avais vaguement entendu parler de ce genre d'offre, il me semble
d'ailleurs qu'il existe d'autres acteurs que Prolexic.
Cependant, je trouve dommage de devoir re-router son trafic vers un tiers
(de confiance ?) jouant le rôle d'intermédiaire.
Implémenter une solution plus ou moins automatisée
Argument tout a fait recevable et même, pour ce qui est la législation
Française, juridiquement recevable … sauf erreur de ma part, un trafic entré en
France n'est pas sensé aller faire un petit tour aux US ou ailleurs et revenir…
Si il y a des juristes dans cette liste de diffusion, ils
Hello,
Le 26 décembre 2011 16:44, François-Frédéric Ozog f...@ozog.com a écrit :
A supposer qu'il existe une offre de firewall virtuel par abonné avec
self-provisioning. Quels seraient les services à offrir (à part bien sûr le
minimum syndical façon blocage de port)
- blocage d'URL à
'soir,
Le 26 décembre 2011 17:35, Texier, Matthieu mtex...@arbor.net a écrit :
Argument tout a fait recevable et même, pour ce qui est la législation
Française, juridiquement recevable … sauf erreur de ma part, un trafic
entré en France n'est pas sensé aller faire un petit tour aux US ou
On 12/26/11 12:04 PM, Charles Delorme wrote:
Bonjour,
Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de
service depuis dimanche matin 7h heure locale. La très grosse majorité des
paquets est en udp/80 à destination de nos deux liens, completel
Ca se discute.
Ici, l'OP n'a pas précisé quels liens étaient saturés.
J'assume qu'il parlait de ses propres liens à lui (l'uplink avec ses 2
upstreams) et non pas les liens de ses opérateurs upstream, qui doivent
être un peu plus costauds.
Ainsi, s'il fait dropper par ses upstreams le trafic
Bonsoir Antoine,
Vous êtes juriste ?
Chinois peut-être :-) ?
Si l'on prend un exemple d'une entreprise ayant des échanges commerciaux ou à
caractères confidentiels, je pense qu'elle n'aimerait pas trop que son trafic
fasse un petit tour sur un plate-forme prenant des engagements vagues ou
Hello,
D'un point de vu plus pratique, un opérateur de transit ne propose pas ce
genre de service en standard.
Nous fournissons des communautés de blackhole ou nous blackholons le
trafic lorsque cela est vraiment ultra justifié. Le blackhole sur un
réseau opérateur impacte l'ensemble de ses
28 matches
Mail list logo