Non il ne fait pas de RPF, étant entendu qu'on parle de réseau sur le trajet
qui fait passer du vrai trafic, et non pas de beigebox sous minux hébergée sous
la table de la cuisine :P
Ou disons, d'infrastructure très spécifique.
Et en effet les sources privées sont naturellement filtrées à
Le 15/09/2015 13:28, Jeremy a écrit :
> Probablement plus simple, aucune idée. On m'a proposé cette solution, je
> l'accepte, c'est tout :)
> Tu sais quand tu est dos au mur, tu prends la première solution qui vient !
>
>
je compatis ...
un truc que je ne comprends pas, c'est que s'ils ont
Bah si, le mec attaque notre site web maintenant, mais là on est blindé
de ce coté là. Du coup, on est beaucoup plus tranquille.
Et au pire, on peut toujours blackhole en /32 la cible de l'attaque...
Jérémy
Le 16/09/2015 10:07, Emmanuel Lacour a écrit :
Le 15/09/2015 13:28, Jeremy a écrit :
Le 16/09/2015 11:24, Jeremy a écrit :
> Bah si, le mec attaque notre site web maintenant, mais là on est blindé
> de ce coté là. Du coup, on est beaucoup plus tranquille.
> Et au pire, on peut toujours blackhole en /32 la cible de l'attaque...
>
>
ok, bon courage !
--
Easter-eggs
Le 15/09/2015 00:51, Frederic Dhieux a écrit :
Le 14/09/2015 22:12, Raphael Mazelier a écrit :
J'ai pas dit que cela devait être forcement le cas en nominal, certain
le font (jaguar de souvenir), d'autre (moi le premier) non. En
revanche avoir un /24 en stock qui peut servir en cas de
On Tue, Sep 15, 2015, at 10:32, Louis wrote:
> Je ne comprends pas. Ca fait une next-hop d'un subnet ipv4 en ipv6? Ca
> marche vraiment?
Non, ca ne marche pas en EBGP.
En IBGP peut-etre, mais tu dois avoir MPLS avec signalisation over IPv6,
ce qui est uniquement disponible sur des nouvelles
On Tue, Sep 15, 2015, at 08:16, Julien Escario wrote:
> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP
> en ipv6 pour annoncer des routes en v4.
En EBGP tu as toujours besoin d'un next-hop v4 pour faire passer du
traffic.
---
Liste de diffusion
Le 15/09/2015 10:30, Radu-Adrian Feurdean a écrit :
> On Tue, Sep 15, 2015, at 08:16, Julien Escario wrote:
>> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP
>> en ipv6 pour annoncer des routes en v4.
>
> En EBGP tu as toujours besoin d'un next-hop v4 pour faire passer du
Bonjour à tous,
On s'est effectivement pris du DDoS de plus de 50 Gbps, arrivant d'un peu
partout, y compris les IX. Mais le problème c'est que le RTBH se déclenche en
/32 sur l'IP d'interco BGP coté client, celle qui se prend le DDOS, ce qui lui
coupe la session :/
Voila la solution retenue
Le 15/09/15 00:51, Frederic Dhieux a écrit :
C'est moche et ça va faire râler du monde, mais au pire dans l'urgence
de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être
un moindre mal le temps de trouver une solution plus propre et pérenne.
Oui tout à fait. Je n'avez
> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP en
ipv6 pour annoncer des routes en v4.
Je ne comprends pas. Ca fait une next-hop d'un subnet ipv4 en ipv6? Ca
marche vraiment?
Louis
Le 15 septembre 2015 08:16, Julien Escario a écrit :
> Le
Le 15/09/15 11:20, Cédric Tabary a écrit :
On a décidé de griller le "last /22" que le RIPE nous a alloué pour les interco
BGP à risque et on ne l'annoncera pas. On pourra éventuellement annoncer des plus
spécifiques (/23 ou /24) si on en a besoin.
Ca permet de ne pas en venir à des
Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
a trouvé une solution qui va fonctionner. La solution retenue sera
finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer
du tout.
Merci à tous pour vos idées, ça nous a bien aidé !
Et merci surtout à
'jour,
> Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
> a trouvé une solution qui va fonctionner. La solution retenue sera
> finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer
> du tout.
Question certainement idiote : quelle différence par rapport
David Touitou, le Tue 15 Sep 2015 13:13:14 +0200, a écrit :
> > Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
> > a trouvé une solution qui va fonctionner. La solution retenue sera
> > finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer
> > du tout.
>
Le 15/09/2015 13:13, David Touitou a écrit :
Question certainement idiote : quelle différence par rapport à utiliser des
RFC1918 ?
La réversibilité ?
Les attaquants passeront bien à une autre cible et il sera alors
possible de ré-annoncer les intercos ?
--
Jérôme BERTHIER
en même temps ça sert à quoi d'annoncer des intercos à l'extérieur?
Le 15 septembre 2015 13:35, Jérôme BERTHIER a écrit :
> Le 15/09/2015 13:13, David Touitou a écrit :
>
>> Question certainement idiote : quelle différence par rapport à utiliser
>> des RFC1918 ?
>>
> La
Le Tue, Sep 15, 2015 at 01:55:55PM +0200, Louis [luigi.1...@gmail.com] a écrit:
> en même temps ça sert à quoi d'annoncer des intercos à l'extérieur?
Ça peut servir à ce que ton client joigne son routeur depuis l'internet
public en dehors de ses ips (en cas de problem d'annonce, par exemple).
Et
+1
Le 15 sept. 2015 à 13:13, David Touitou a écrit :
> 'jour,
>
>> Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on
>> a trouvé une solution qui va fonctionner. La solution retenue sera
>> finalement de changer le bloc d'interconnexion, et de
Probablement plus simple, aucune idée. On m'a proposé cette solution, je
l'accepte, c'est tout :)
Tu sais quand tu est dos au mur, tu prends la première solution qui vient !
Jérémy
Le 15/09/2015 13:15, David Ponzone a écrit :
+1
Le 15 sept. 2015 à 13:13, David Touitou
Je trouve la solution du RFC1918 assez sale dans le sens où ca ajoute des IP
privées dans l'IGP de la table de routage globale, ce qui peut porter à
confusion. D'autre part ca génère des paquets ICMP (au traceroute par exemple)
en IP source RFC1918 qui passent par Internet donc potentiellement
On Tue, Sep 15, 2015, at 13:13, David Touitou wrote:
> Question certainement idiote : quelle différence par rapport à utiliser des
> RFC1918 ?
Ce sont quand-meme des adresses "globalement uniques". Ce qui n'est pas
le cas des RFC1918.
---
Liste de diffusion du FRnOG
On Tue, Sep 15, 2015, at 13:55, Louis wrote:
> en même temps ça sert à quoi d'annoncer des intercos à l'extérieur?
Vers le reste du monde - a rien. Modulo que generalement les intercos
font partie d'un bloc plus grand ou il y a aussi des adresses qui
doivent etre joignables.
Le 15 septembre 2015 14:25:55 CEST, Raphael Mazelier a
écrit :
>
>> Ça peut servir à ce que ton client joigne son routeur depuis
>l'internet
>> public en dehors de ses ips (en cas de problem d'annonce, par
>exemple).
>
>
>Tout à fait. Avec une default vers ton transitaire,
Ça peut servir à ce que ton client joigne son routeur depuis l'internet
public en dehors de ses ips (en cas de problem d'annonce, par exemple).
Tout à fait. Avec une default vers ton transitaire, cela peut faire un
accès quand ton bgp est tout pété.
--
Raphael Mazelier
Salut les barbus,
Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s contre
les IP d'interco BGP qu'on a avec nos transitaires.
Ces derniers ayant leurs propres limites, bah on est un peu dans le noir
là...
Est ce que quelqu'un a une solution magique ? et/ou un transitaire qui
Le 14/09/2015 22:12, Raphael Mazelier a écrit :
J'ai pas dit que cela devait être forcement le cas en nominal, certain
le font (jaguar de souvenir), d'autre (moi le premier) non. En
revanche avoir un /24 en stock qui peut servir en cas de besoin, et le
dédier temporairement à tel ou tel
Le 14/09/15 21:41, Johann a écrit :
Ne pas annoncer ses IP d'interconnexion dans la DFZ demande à avoir un bloc
J'ai pas dit que cela devait être forcement le cas en nominal, certain
le font (jaguar de souvenir), d'autre (moi le premier) non. En revanche
avoir un /24 en stock qui peut
Si tu blackhole la /32 d'interco, les routeurs en amont ne savent plus
pousser le trafic.
Jérémy
Le 14/09/2015 19:56, Boris Tassou a écrit :
Bonjour,
Question de noog BGP: pas de blackhole en place?
Le 14/09/2015 19:01, Jeremy a écrit :
Salut les barbus,
Depuis quelques jours, on essuie
Je comprends que ça fasse du boulot à IELO, mais c’est pas la fin du monde, et
ça doit leur faire mal aussi, c’est un intérêt mutuel.
Beaucoup de routeurs ? Euh, même à un routeur par transitaire et un routeur par
IX, ça en fait pas 40 je pense.
Cogent a pas une offre anti-DDoS ?
Sinon, c’est
Zayo France? Jaguar? Telia? NTT?
> Le 14 sept. 2015 à 20:18, David Ponzone a écrit :
>
> Je comprends que ça fasse du boulot à IELO, mais c’est pas la fin du monde,
> et ça doit leur faire mal aussi, c’est un intérêt mutuel.
> Beaucoup de routeurs ? Euh, même à un
Tu peux éclaircir un détail.
Tu dis que les attaques arrivent vers les IP d’interco.
Si oui, si tu renumérotes une des interco, tu dois être tranquille pendant
quelques minutes/heures.
(les IP d’interco sont dans les blocs de vos transitaires j’imagine ?)
Tu as essayé, c’est effectivement le cas
Bonjour,
Question de noog BGP: pas de blackhole en place?
Le 14/09/2015 19:01, Jeremy a écrit :
Salut les barbus,
Depuis quelques jours, on essuie des attaque vers les 40-50 Gb/s
contre les IP d'interco BGP qu'on a avec nos transitaires.
Ces derniers ayant leurs propres limites, bah on est
Salut,
Oui, on a essayé, le mec change la destination de son attaque au bout de
5 minutes après changement d'IP.
Chez IELO, ils peuvent difficilement filtrer leur bloc d'interco, c'est
souvent galère à faire car beaucoup de routeurs.
Chez Cogent, ils peuvent rien faire a priori, c'est hors
Ne pas annoncer ses IP d'interconnexion dans la DFZ demande à avoir un bloc
a écrit :
>
>
> Le 14/09/15 21:08, Johann a écrit :
>
>> Hello,
>>
>> Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP
>> d'interconnexion.
>> Demande à tes transitaires de filtrer tout le trafic à
Hello,
Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP
d'interconnexion.
Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP
d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur
adjacent et le tien. Ou à minima le trafic ICMP/UDP
Le 14/09/15 21:08, Johann a écrit :
Hello,
Ca veut dire qu'ils ont moyen de connaître rapidement tes nouvelles IP
d'interconnexion.
Demande à tes transitaires de filtrer tout le trafic à DESTINATION des IP
d'interconnexion (Uniquement. Pas du trafic qui passe) sauf leur routeur
adjacent et le
37 matches
Mail list logo