RE: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Bonjour, On fait et faisait un truc basique sur les serveurs IRC (depuis les années 2000 (old!)), pour se prémunir des pertes business liées aux DDoS (coucou Pascal Gloor et Nicolas Strina)... On se prenait une /24 PI qu'on annonçait depuis le serveur IRC à travers une seconde NIC... dès qu'on détectait une attaque, on droppait l'annonce et hop, le DDoSseur DDoSsé. En effet, une fois la route disparue du net, c'est le réseau source du DDoS qui s'en prend plein la tête (ICMP unreachable), ce qui permet à l'admin du réseau en question de se rendre compte qu'il y a un soucis chez lui. Bien sure ce n'est valable que pour un service perdable, mais ça a sauvé des business et c'est totalement KISS. Depuis les transits permettent des systèmes un peu plus sophistiqués, mais pour un truc comme de l'IRC, tu n'as pas forcément envie de t'embêter (et puis l'IPv4 n'était pas bien chère et rare à l'époque :)). Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Le 3 avril 2014 19:01, Sarah Nataf a écrit : 2014-04-03 18:39 GMT+02:00 Tristan PILAT : Le 3 avril 2014 18:10, Sarah Nataf a écrit : 2014-04-03 16:13 GMT+02:00 Tristan PILAT : Je me pose en revanche une question; si l'on dispose de deux voisins BGP (deux fournisseurs de trafic) et que lors d'une attaque DDoS on identifie le lien par lequel l'attaque arrive, on annonce alors à ce voisin BGP en particulier notre IP à blackholer. L'attaque sera-t-elle forcément re-dirigée dans les mêmes proportions vers l'autre lien ? (j'aurais envie de dire oui) Il faut distinguer la signalisation (BGP) et le trafic. Lorsque le filtrage du /32 est pris en compte par AS1, le trafic est jeté sur l'AS1. Par contre côté signalisation BGP : on suppose que l'échange du /32 est local à AS1 et son client (on ne redistribue pas plus petit que /24 entre 2 AS sauf accord explicite type celui-ci), donc vu du reste de l'Internet il n'y a aucun changement dans les routes (la signalisation) = a priori aucune raison que le trafic soit rerouté vers d'autres chemins. Ainsi l'attaque DDOS n'a pas de raison d'être redirigée sur l'autre lien. Merci pour la réponse ! -- -- -- | AS5 |--| AS6 |--| AS7 | - - -- | || - - -- | AS2|---| AS3 |--| AS4 | - - -- \ / \/ - | AS1| - Pour clarifier, dans le cas présent par exemple, si l'AS1 constate qu'il est attaqué sur le lien AS3 sur l'IP 1.2.3.4, il envoie alors son préfixe /32 à blackholer à l'AS3. Supposons que les IP utilisées pour attaquer l'IP 1.2.3.4 proviennent de l'AS5, l'AS6 et l'AS7, en quoi est ce que le trafic blackholé par L'AS3 ne serait-il pas redirigé vers l'AS2 pour arriver sur l'IP 1.2.3.4 dans l'AS1 ? Mettons que AS1 annonce 1.2.3.0/24 vers l'Internet, et que AS5, 6 et 7 préfèrent la route via AS3 : tout le trafic provenant de ces AS et à destination du /24 arrive sur AS3, qui l'achemine vers AS1 via son lien direct. Si AS1 annonce un /32 à blackholer à AS3, AS3 ne redistribue pas ce /32 : il n'y a donc aucun changement BGP pour l'annonce du /24 vu des AS 2 à 7. Donc, tout le trafic à destination du /24 de AS5, AS6 et AS7 arrive toujours sur AS3 : AS3 jette les paquets à destination de la /32 et continue à acheminer le reste. Il n'y a pas de redirection automatique de l'attaque. Avec le même raisonnement, si l'on fait cette fois-ci l'hypothèse que 30% du trafic arrive par le lien AS2-AS1 et 70% par AS3-AS1 lors de l'attaque, et bien via le blackhole sur AS3, 70% du trafic DDOS sera jeté (celui via AS3) et 30% de l'attaque arrivera toujours sur AS1 (via le lien AS2-AS1). Toujours pas de redirection de l'attaque, car vu de l'Internet (AS2,4,5,6,7), il n'y a aucun changement de chemin vers 1.2.3.0/24. Seul AS3 connaît la plus spécifique, et pour lui la destination c'est /dev/null. Ok, l'annonce reste locale puisque non redistribuée, ce qui induit que typiquement des utilisateurs légitimes situés dans des AS passant par le lien AS2-AS1 se verraient toujours dans la possibilité d'accéder au service en question. Plutôt sympa. -- sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Le 3 avril 2014 19:21, Michel Py a écrit : Tristan PILAT a écrit: La première consistant lors d'une attaque sur une IP précise à annoncer un préfix /32 à son fournisseur de trafic via une communauté BGP pour blackholer le trafic vers cette IP. Cette méthode semble fonctionner et a l'avantage de bloquer le trafic avant qu'il ne soit facturé. Elle a aussi le désavantage de rendre le service visé par l'attaque inaccessible à tous. On donne donc ici raison à l'attaquant même si son attaque est bloquée. A moitié. Même si c'est vrai que le service attaqué est effectivement indisponible, ça limite la casse à ce service-là; une DDOS basée sur la bande passante parfois va non seulement tuer le service attaqué mais aussi le reste de ton réseau et les autres services. La première étape en cas de DDOS qui vise un service précis est de contenir la DDOS à ce service précis et de maintenir le fonctionnement normal du reste des services. Ca te donne le temps d'analyser ce qui se passe sans avoir la totalité de tes clients qui appellent. C'est sûr. Après, pour ce qui est de filtrer l'attaque en maintenant le trafic légitime, faut pas croire que tu vas pouvoir faire çà tout seul dans ton coin en appuyant sur un bouton sans que tes fournisseurs t'aident. Oui j'ai constaté que les dispositifs, s'appuyant sur de la Deep Packet Inspection, permettant de filtrer précisément le trafic lors d'attaques étaient inaccessibles au commun des mortels ! :-) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Le 4 avril 2014 08:35, Philippe Bourcier a écrit : Bonjour, On fait et faisait un truc basique sur les serveurs IRC (depuis les années 2000 (old!)), pour se prémunir des pertes business liées aux DDoS (coucou Pascal Gloor et Nicolas Strina)... On se prenait une /24 PI qu'on annonçait depuis le serveur IRC à travers une seconde NIC... dès qu'on détectait une attaque, on droppait l'annonce et hop, le DDoSseur DDoSsé. En effet, une fois la route disparue du net, c'est le réseau source du DDoS qui s'en prend plein la tête (ICMP unreachable), ce qui permet à l'admin du réseau en question de se rendre compte qu'il y a un soucis chez lui. Bien sure ce n'est valable que pour un service perdable, mais ça a sauvé des business et c'est totalement KISS. Depuis les transits permettent des systèmes un peu plus sophistiqués, mais pour un truc comme de l'IRC, tu n'as pas forcément envie de t'embêter (et puis l'IPv4 n'était pas bien chère et rare à l'époque :)). En parlant d'IRC il me semble que Freenode avait utilisé le DNS Round Robin avec des entrées en 127.0.0.1 pour contrer les attaques dont ils ont été victime il y a quelques mois. Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Hello, Le 4 avr. 2014 à 08:35, Philippe Bourcier phili...@frnog.org a écrit : Bonjour, On fait et faisait un truc basique sur les serveurs IRC (depuis les années 2000 (old!)), pour se prémunir des pertes business liées aux DDoS (coucou Pascal Gloor et Nicolas Strina)... On se prenait une /24 PI qu'on annonçait depuis le serveur IRC à travers une seconde NIC... dès qu'on détectait une attaque, on droppait l'annonce et hop, le DDoSseur DDoSsé. En effet, une fois la route disparue du net, c'est le réseau source du DDoS qui s'en prend plein la tête (ICMP unreachable), ce qui permet à l'admin du réseau en question de se rendre compte qu'il y a un soucis chez lui. Bien sure ce n'est valable que pour un service perdable, mais ça a sauvé des business et c'est totalement KISS. Depuis les transits permettent des systèmes un peu plus sophistiqués, mais pour un truc comme de l'IRC, tu n'as pas forcément envie de t'embêter (et puis l'IPv4 n'était pas bien chère et rare à l'époque :)). C'est la technique que j'avais utilisé pour un service de DNS gratis qui se faisais souvent DDoS. Principe un PI/24. Un serveur ayant 10Mbps (ca suffit largement pour du traffic DNS normal). Du BGP Dampening... réglé a 45 minutes... :D Et hop :) En cas de DDoS ca saute, puis ca re-saute, et puis le dampening se met en branle et donc l'annonce disparait... Ok ca fait le service qui n'est pas dispo, mais ca protège et ca laisse les relou s'énerver tout seul. Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Le 4 avril 2014 12:21, Xavier Beaudouin a écrit : Hello, Le 4 avr. 2014 à 08:35, Philippe Bourcier a écrit : Bonjour, On fait et faisait un truc basique sur les serveurs IRC (depuis les années 2000 (old!)), pour se prémunir des pertes business liées aux DDoS (coucou Pascal Gloor et Nicolas Strina)... On se prenait une /24 PI qu'on annonçait depuis le serveur IRC à travers une seconde NIC... dès qu'on détectait une attaque, on droppait l'annonce et hop, le DDoSseur DDoSsé. En effet, une fois la route disparue du net, c'est le réseau source du DDoS qui s'en prend plein la tête (ICMP unreachable), ce qui permet à l'admin du réseau en question de se rendre compte qu'il y a un soucis chez lui. Bien sure ce n'est valable que pour un service perdable, mais ça a sauvé des business et c'est totalement KISS. Depuis les transits permettent des systèmes un peu plus sophistiqués, mais pour un truc comme de l'IRC, tu n'as pas forcément envie de t'embêter (et puis l'IPv4 n'était pas bien chère et rare à l'époque :)). C'est la technique que j'avais utilisé pour un service de DNS gratis qui se faisais souvent DDoS. Principe un PI/24. Un serveur ayant 10Mbps (ca suffit largement pour du traffic DNS normal). Du BGP Dampening... réglé a 45 minutes... :D Et hop :) En cas de DDoS ca saute, puis ca re-saute, et puis le dampening se met en branle et donc l'annonce disparait... Ok ca fait le service qui n'est pas dispo, mais ca protège et ca laisse les relou s'énerver tout seul. Xavier Si j'ai bien compris, ici la technique de dampening permet en faite à notre daemon BGP, lors d'une attaque, de ne plus annoncer son préfixe à l'AS voisin. Le lien étant saturé, notre routeur reçoit des annonces de la part de l'AS voisin en dents de scie et donc finit par ne plus lui annoncer son préfixe. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Bonjour, 2014-04-03 16:13 GMT+02:00 Tristan PILAT tristan.pi...@gmail.com: Bonjour, La première consistant lors d'une attaque sur une IP précise à annoncer un préfix /32 à son fournisseur de trafic via une communauté BGP pour blackholer le trafic vers cette IP. Cette méthode semble fonctionner et a (...) Je me pose en revanche une question; si l'on dispose de deux voisins BGP (deux fournisseurs de trafic) et que lors d'une attaque DDoS on identifie le lien par lequel l'attaque arrive, on annonce alors à ce voisin BGP en particulier notre IP à blackholer. L'attaque sera-t-elle forcément re-dirigée dans les mêmes proportions vers l'autre lien ? (j'aurais envie de dire oui) Il faut distinguer la signalisation (BGP) et le trafic. Lorsque le filtrage du /32 est pris en compte par AS1, le trafic est jeté sur l'AS1. Par contre côté signalisation BGP : on suppose que l'échange du /32 est local à AS1 et son client (on ne redistribue pas plus petit que /24 entre 2 AS sauf accord explicite type celui-ci), donc vu du reste de l'Internet il n'y a aucun changement dans les routes (la signalisation) = a priori aucune raison que le trafic soit rerouté vers d'autres chemins. Ainsi l'attaque DDOS n'a pas de raison d'être redirigée sur l'autre lien. En faite j'aimerais que tout ça me soit confirmé. Pour le reste OK dans les grandes lignes ! Cdlt, -- sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Le 3 avril 2014 18:10, Sarah Nataf a écrit : Bonjour, 2014-04-03 16:13 GMT+02:00 Tristan PILAT : Bonjour, La première consistant lors d'une attaque sur une IP précise à annoncer un préfix /32 à son fournisseur de trafic via une communauté BGP pour blackholer le trafic vers cette IP. Cette méthode semble fonctionner et a (...) Je me pose en revanche une question; si l'on dispose de deux voisins BGP (deux fournisseurs de trafic) et que lors d'une attaque DDoS on identifie le lien par lequel l'attaque arrive, on annonce alors à ce voisin BGP en particulier notre IP à blackholer. L'attaque sera-t-elle forcément re-dirigée dans les mêmes proportions vers l'autre lien ? (j'aurais envie de dire oui) Il faut distinguer la signalisation (BGP) et le trafic. Lorsque le filtrage du /32 est pris en compte par AS1, le trafic est jeté sur l'AS1. Par contre côté signalisation BGP : on suppose que l'échange du /32 est local à AS1 et son client (on ne redistribue pas plus petit que /24 entre 2 AS sauf accord explicite type celui-ci), donc vu du reste de l'Internet il n'y a aucun changement dans les routes (la signalisation) = a priori aucune raison que le trafic soit rerouté vers d'autres chemins. Ainsi l'attaque DDOS n'a pas de raison d'être redirigée sur l'autre lien. Merci pour la réponse ! -- -- -- | AS5 |--| AS6 |--| AS7 | - - -- | || - - -- | AS2|---| AS3 |--| AS4 | - - -- \ / \/ - | AS1| - Pour clarifier, dans le cas présent par exemple, si l'AS1 constate qu'il est attaqué sur le lien AS3 sur l'IP 1.2.3.4, il envoie alors son préfixe /32 à blackholer à l'AS3. Supposons que les IP utilisées pour attaquer l'IP 1.2.3.4 proviennent de l'AS5, l'AS6 et l'AS7, en quoi est ce que le trafic blackholé par L'AS3 ne serait-il pas redirigé vers l'AS2 pour arriver sur l'IP 1.2.3.4 dans l'AS1 ? En faite j'aimerais que tout ça me soit confirmé. Pour le reste OK dans les grandes lignes ! Cdlt, -- sarah Bonne soirée, Tristan --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
2014-04-03 18:39 GMT+02:00 Tristan PILAT tristan.pi...@gmail.com: Le 3 avril 2014 18:10, Sarah Nataf a écrit : 2014-04-03 16:13 GMT+02:00 Tristan PILAT : Je me pose en revanche une question; si l'on dispose de deux voisins BGP (deux fournisseurs de trafic) et que lors d'une attaque DDoS on identifie le lien par lequel l'attaque arrive, on annonce alors à ce voisin BGP en particulier notre IP à blackholer. L'attaque sera-t-elle forcément re-dirigée dans les mêmes proportions vers l'autre lien ? (j'aurais envie de dire oui) Il faut distinguer la signalisation (BGP) et le trafic. Lorsque le filtrage du /32 est pris en compte par AS1, le trafic est jeté sur l'AS1. Par contre côté signalisation BGP : on suppose que l'échange du /32 est local à AS1 et son client (on ne redistribue pas plus petit que /24 entre 2 AS sauf accord explicite type celui-ci), donc vu du reste de l'Internet il n'y a aucun changement dans les routes (la signalisation) = a priori aucune raison que le trafic soit rerouté vers d'autres chemins. Ainsi l'attaque DDOS n'a pas de raison d'être redirigée sur l'autre lien. Merci pour la réponse ! -- -- -- | AS5 |--| AS6 |--| AS7 | - - -- | || - - -- | AS2|---| AS3 |--| AS4 | - - -- \ / \/ - | AS1| - Pour clarifier, dans le cas présent par exemple, si l'AS1 constate qu'il est attaqué sur le lien AS3 sur l'IP 1.2.3.4, il envoie alors son préfixe /32 à blackholer à l'AS3. Supposons que les IP utilisées pour attaquer l'IP 1.2.3.4 proviennent de l'AS5, l'AS6 et l'AS7, en quoi est ce que le trafic blackholé par L'AS3 ne serait-il pas redirigé vers l'AS2 pour arriver sur l'IP 1.2.3.4 dans l'AS1 ? Mettons que AS1 annonce 1.2.3.0/24 vers l'Internet, et que AS5, 6 et 7 préfèrent la route via AS3 : tout le trafic provenant de ces AS et à destination du /24 arrive sur AS3, qui l'achemine vers AS1 via son lien direct. Si AS1 annonce un /32 à blackholer à AS3, AS3 ne redistribue pas ce /32 : il n'y a donc aucun changement BGP pour l'annonce du /24 vu des AS 2 à 7. Donc, tout le trafic à destination du /24 de AS5, AS6 et AS7 arrive toujours sur AS3 : AS3 jette les paquets à destination de la /32 et continue à acheminer le reste. Il n'y a pas de redirection automatique de l'attaque. Avec le même raisonnement, si l'on fait cette fois-ci l'hypothèse que 30% du trafic arrive par le lien AS2-AS1 et 70% par AS3-AS1 lors de l'attaque, et bien via le blackhole sur AS3, 70% du trafic DDOS sera jeté (celui via AS3) et 30% de l'attaque arrivera toujours sur AS1 (via le lien AS2-AS1). Toujours pas de redirection de l'attaque, car vu de l'Internet (AS2,4,5,6,7), il n'y a aucun changement de chemin vers 1.2.3.0/24. Seul AS3 connaît la plus spécifique, et pour lui la destination c'est /dev/null. -- sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Utiliser BGP pour se protéger des DDoS
Tristan PILAT a écrit: La première consistant lors d'une attaque sur une IP précise à annoncer un préfix /32 à son fournisseur de trafic via une communauté BGP pour blackholer le trafic vers cette IP. Cette méthode semble fonctionner et a l'avantage de bloquer le trafic avant qu'il ne soit facturé. Elle a aussi le désavantage de rendre le service visé par l'attaque inaccessible à tous. On donne donc ici raison à l'attaquant même si son attaque est bloquée. A moitié. Même si c'est vrai que le service attaqué est effectivement indisponible, ça limite la casse à ce service-là; une DDOS basée sur la bande passante parfois va non seulement tuer le service attaqué mais aussi le reste de ton réseau et les autres services. La première étape en cas de DDOS qui vise un service précis est de contenir la DDOS à ce service précis et de maintenir le fonctionnement normal du reste des services. Ca te donne le temps d'analyser ce qui se passe sans avoir la totalité de tes clients qui appellent. Après, pour ce qui est de filtrer l'attaque en maintenant le trafic légitime, faut pas croire que tu vas pouvoir faire çà tout seul dans ton coin en appuyant sur un bouton sans que tes fournisseurs t'aident. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
