Re: [FRnOG] [TECH] Ip d'interco bgp

Non il ne fait pas de RPF, étant entendu qu'on parle de réseau sur le trajet qui fait passer du vrai trafic, et non pas de beigebox sous minux hébergée sous la table de la cuisine :P Ou disons, d'infrastructure très spécifique. Et en effet les sources privées sont naturellement filtrées à

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 15/09/2015 13:28, Jeremy a écrit : > Probablement plus simple, aucune idée. On m'a proposé cette solution, je > l'accepte, c'est tout :) > Tu sais quand tu est dos au mur, tu prends la première solution qui vient ! > > je compatis ... un truc que je ne comprends pas, c'est que s'ils ont

Re: [FRnOG] [TECH] Ip d'interco bgp

Bah si, le mec attaque notre site web maintenant, mais là on est blindé de ce coté là. Du coup, on est beaucoup plus tranquille. Et au pire, on peut toujours blackhole en /32 la cible de l'attaque... Jérémy Le 16/09/2015 10:07, Emmanuel Lacour a écrit : Le 15/09/2015 13:28, Jeremy a écrit :

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 16/09/2015 11:24, Jeremy a écrit : > Bah si, le mec attaque notre site web maintenant, mais là on est blindé > de ce coté là. Du coup, on est beaucoup plus tranquille. > Et au pire, on peut toujours blackhole en /32 la cible de l'attaque... > > ok, bon courage ! -- Easter-eggs

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 15/09/2015 00:51, Frederic Dhieux a écrit : Le 14/09/2015 22:12, Raphael Mazelier a écrit : J'ai pas dit que cela devait être forcement le cas en nominal, certain le font (jaguar de souvenir), d'autre (moi le premier) non. En revanche avoir un /24 en stock qui peut servir en cas de

Re: [FRnOG] [TECH] Ip d'interco bgp

On Tue, Sep 15, 2015, at 10:32, Louis wrote: > Je ne comprends pas. Ca fait une next-hop d'un subnet ipv4 en ipv6? Ca > marche vraiment? Non, ca ne marche pas en EBGP. En IBGP peut-etre, mais tu dois avoir MPLS avec signalisation over IPv6, ce qui est uniquement disponible sur des nouvelles

Re: [FRnOG] [TECH] Ip d'interco bgp

On Tue, Sep 15, 2015, at 08:16, Julien Escario wrote: > Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP > en ipv6 pour annoncer des routes en v4. En EBGP tu as toujours besoin d'un next-hop v4 pour faire passer du traffic. --- Liste de diffusion

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 15/09/2015 10:30, Radu-Adrian Feurdean a écrit : > On Tue, Sep 15, 2015, at 08:16, Julien Escario wrote: >> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP >> en ipv6 pour annoncer des routes en v4. > > En EBGP tu as toujours besoin d'un next-hop v4 pour faire passer du

Re: [FRnOG] [TECH] Ip d'interco bgp / Solution IELO

Bonjour à tous, On s'est effectivement pris du DDoS de plus de 50 Gbps, arrivant d'un peu partout, y compris les IX. Mais le problème c'est que le RTBH se déclenche en /32 sur l'IP d'interco BGP coté client, celle qui se prend le DDOS, ce qui lui coupe la session :/ Voila la solution retenue

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 15/09/15 00:51, Frederic Dhieux a écrit : C'est moche et ça va faire râler du monde, mais au pire dans l'urgence de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être un moindre mal le temps de trouver une solution plus propre et pérenne. Oui tout à fait. Je n'avez

Re: [FRnOG] [TECH] Ip d'interco bgp

> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP en ipv6 pour annoncer des routes en v4. Je ne comprends pas. Ca fait une next-hop d'un subnet ipv4 en ipv6? Ca marche vraiment? Louis Le 15 septembre 2015 08:16, Julien Escario a écrit : > Le

Re: [FRnOG] [TECH] Ip d'interco bgp / Solution IELO

Le 15/09/15 11:20, Cédric Tabary a écrit : On a décidé de griller le "last /22" que le RIPE nous a alloué pour les interco BGP à risque et on ne l'annoncera pas. On pourra éventuellement annoncer des plus spécifiques (/23 ou /24) si on en a besoin. Ca permet de ne pas en venir à des

Re: [FRnOG] [TECH] Ip d'interco bgp

Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on a trouvé une solution qui va fonctionner. La solution retenue sera finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer du tout. Merci à tous pour vos idées, ça nous a bien aidé ! Et merci surtout à

Re: [FRnOG] [TECH] Ip d'interco bgp

'jour, > Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on > a trouvé une solution qui va fonctionner. La solution retenue sera > finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer > du tout. Question certainement idiote : quelle différence par rapport

Re: [FRnOG] [TECH] Ip d'interco bgp

David Touitou, le Tue 15 Sep 2015 13:13:14 +0200, a écrit : > > Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on > > a trouvé une solution qui va fonctionner. La solution retenue sera > > finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer > > du tout. >

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 15/09/2015 13:13, David Touitou a écrit : Question certainement idiote : quelle différence par rapport à utiliser des RFC1918 ? La réversibilité ? Les attaquants passeront bien à une autre cible et il sera alors possible de ré-annoncer les intercos ? -- Jérôme BERTHIER

Re: [FRnOG] [TECH] Ip d'interco bgp

en même temps ça sert à quoi d'annoncer des intercos à l'extérieur? Le 15 septembre 2015 13:35, Jérôme BERTHIER a écrit : > Le 15/09/2015 13:13, David Touitou a écrit : > >> Question certainement idiote : quelle différence par rapport à utiliser >> des RFC1918 ? >> > La

Re: [FRnOG] [TECH] Ip d'interco bgp

Le Tue, Sep 15, 2015 at 01:55:55PM +0200, Louis [luigi.1...@gmail.com] a écrit: > en même temps ça sert à quoi d'annoncer des intercos à l'extérieur? Ça peut servir à ce que ton client joigne son routeur depuis l'internet public en dehors de ses ips (en cas de problem d'annonce, par exemple). Et

Re: [FRnOG] [TECH] Ip d'interco bgp

+1 Le 15 sept. 2015 à 13:13, David Touitou a écrit : > 'jour, > >> Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on >> a trouvé une solution qui va fonctionner. La solution retenue sera >> finalement de changer le bloc d'interconnexion, et de

Re: [FRnOG] [TECH] Ip d'interco bgp

Probablement plus simple, aucune idée. On m'a proposé cette solution, je l'accepte, c'est tout :) Tu sais quand tu est dos au mur, tu prends la première solution qui vient ! Jérémy Le 15/09/2015 13:15, David Ponzone a écrit : +1 Le 15 sept. 2015 à 13:13, David Touitou

Re: [FRnOG] [TECH] Ip d'interco bgp

Je trouve la solution du RFC1918 assez sale dans le sens où ca ajoute des IP privées dans l'IGP de la table de routage globale, ce qui peut porter à confusion. D'autre part ca génère des paquets ICMP (au traceroute par exemple) en IP source RFC1918 qui passent par Internet donc potentiellement

Re: [FRnOG] [TECH] Ip d'interco bgp

On Tue, Sep 15, 2015, at 13:13, David Touitou wrote: > Question certainement idiote : quelle différence par rapport à utiliser des > RFC1918 ? Ce sont quand-meme des adresses "globalement uniques". Ce qui n'est pas le cas des RFC1918. --- Liste de diffusion du FRnOG

Re: [FRnOG] [TECH] Ip d'interco bgp

On Tue, Sep 15, 2015, at 13:55, Louis wrote: > en même temps ça sert à quoi d'annoncer des intercos à l'extérieur? Vers le reste du monde - a rien. Modulo que generalement les intercos font partie d'un bloc plus grand ou il y a aussi des adresses qui doivent etre joignables.

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 15 septembre 2015 14:25:55 CEST, Raphael Mazelier a écrit : > >> Ça peut servir à ce que ton client joigne son routeur depuis >l'internet >> public en dehors de ses ips (en cas de problem d'annonce, par >exemple). > > >Tout à fait. Avec une default vers ton transitaire,

Re: [FRnOG] [TECH] Ip d'interco bgp

Ça peut servir à ce que ton client joigne son routeur depuis l'internet public en dehors de ses ips (en cas de problem d'annonce, par exemple). Tout à fait. Avec une default vers ton transitaire, cela peut faire un accès quand ton bgp est tout pété. -- Raphael Mazelier

[FRnOG] [TECH] Ip d'interco bgp

Salut les barbus, Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les IP d'interco BGP qu'on a avec nos transitaires. Ces derniers ayant leurs propres limites, bah on est un peu dans le noir là... Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 14/09/2015 22:12, Raphael Mazelier a écrit : J'ai pas dit que cela devait être forcement le cas en nominal, certain le font (jaguar de souvenir), d'autre (moi le premier) non. En revanche avoir un /24 en stock qui peut servir en cas de besoin, et le dédier temporairement à tel ou tel

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 14/09/15 21:41, Johann a écrit : Ne pas annoncer ses IP d'interconnexion dans la DFZ demande à avoir un bloc J'ai pas dit que cela devait être forcement le cas en nominal, certain le font (jaguar de souvenir), d'autre (moi le premier) non. En revanche avoir un /24 en stock qui peut

Re: [FRnOG] [TECH] Ip d'interco bgp

Si tu blackhole la /32 d'interco, les routeurs en amont ne savent plus pousser le trafic. Jérémy Le 14/09/2015 19:56, Boris Tassou a écrit : Bonjour, Question de noog BGP: pas de blackhole en place? Le 14/09/2015 19:01, Jeremy a écrit : Salut les barbus, Depuis quelques jours, on essuie

Re: [FRnOG] [TECH] Ip d'interco bgp

Je comprends que ça fasse du boulot à IELO, mais c’est pas la fin du monde, et ça doit leur faire mal aussi, c’est un intérêt mutuel. Beaucoup de routeurs ? Euh, même à un routeur par transitaire et un routeur par IX, ça en fait pas 40 je pense. Cogent a pas une offre anti-DDoS ? Sinon, c’est

Re: [FRnOG] [TECH] Ip d'interco bgp

Zayo France? Jaguar? Telia? NTT? > Le 14 sept. 2015 à 20:18, David Ponzone a écrit : > > Je comprends que ça fasse du boulot à IELO, mais c’est pas la fin du monde, > et ça doit leur faire mal aussi, c’est un intérêt mutuel. > Beaucoup de routeurs ? Euh, même à un

Re: [FRnOG] [TECH] Ip d'interco bgp

Tu peux éclaircir un détail. Tu dis que les attaques arrivent vers les IP d’interco. Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant quelques minutes/heures. (les IP d’interco sont dans les blocs de vos transitaires j’imagine ?) Tu as essayé, c’est effectivement le cas

Re: [FRnOG] [TECH] Ip d'interco bgp

Bonjour, Question de noog BGP: pas de blackhole en place? Le 14/09/2015 19:01, Jeremy a écrit : Salut les barbus, Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre les IP d'interco BGP qu'on a avec nos transitaires. Ces derniers ayant leurs propres limites, bah on est

Re: [FRnOG] [TECH] Ip d'interco bgp

Salut, Oui, on a essayé, le mec change la destination de son attaque au bout de 5 minutes après changement d'IP. Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est souvent galère à faire car beaucoup de routeurs. Chez Cogent, ils peuvent rien faire a priori, c'est hors

Re: [FRnOG] [TECH] Ip d'interco bgp

Ne pas annoncer ses IP d'interconnexion dans la DFZ demande à avoir un bloc a écrit : > > > Le 14/09/15 21:08, Johann a écrit : > >> Hello, >> >> Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP >> d'interconnexion. >> Demande à tes transitaires de filtrer tout le trafic à

Re: [FRnOG] [TECH] Ip d'interco bgp

Hello, Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP d'interconnexion. Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur adjacent et le tien. Ou à minima le trafic ICMP/UDP

Re: [FRnOG] [TECH] Ip d'interco bgp

Le 14/09/15 21:08, Johann a écrit : Hello, Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP d'interconnexion. Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur adjacent et le