Bonjour. Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer les tuyaux, mais a aussi pour but de saturer les capacités de processing de équipements en frontal, en particulier les Firewalls.
Une solution envisageable est de mettre avant le Firewall un équipement dont le seul travail sera de fonctionner en tant que proxy TCP transparent. Le but est de ne pas forwarder de SYN vers le Firewall, d'envoyer un SYN ACK au client et de ne forwarder l'ensemble que lorsque le ACK final arrive. Par conséquent, les équipements du reste du réseaux ne doivent plus traiter que les sessions "légitimes". L'équipement en frontal doit donc être conçus pour encaisser la charge sur ce simple type de travail. Une telle solution a déjà été mise en place pour protéger des Firewall Lucent Brick subissant régulièrement des attaques, au moyen de répartiteur de charges Foundry ServerIron utilisés uniquement en mode SYN-Proxy. Cette solution avait a priori porté ses fruits. Elle a été installé par un autre membre de cette mailing list. Je lui laisse donc le soins d'apporter détails et retours (ou corrections si jamais je me suis trompé quelque part). Cordialement Côme PS : Fabien, n'aurais-tu pas pu attendre 30 minutes pour poster ? -- *** C.Rahmani - SNAISO Communications - http://www.snaiso.com/ *** Tél : +33.1.4146.1570 - Fax : +33.1.4190.0509 - email : [email protected] *** 141, Avenue de Verdun, 92130 Issy-les-Moulineaux, France -----Original Message----- From: [email protected] [mailto:[email protected]] On Behalf Of David Amiel Sent: vendredi 7 août 2009 16:15 To: Liste FRnoG Subject: Re: [FRnOG] Attaques contre Twitter & Facebook c'est l'objet de ma question :) on est d'accord qu'une approche classique (ACL, QOS ou autre) est inopérante pour ce genre de problème. Pourtant il doit bien y avoir des solutions qui fonctionnent, je n'ose pas croire que les gros sites tiennent le coup juste en ayant des tuyaux (et serveurs) suffisamment dimensionnés pour absorber l'onde de choc. Il y a 2 ans j'avais eu une présentation de la société Beeware qui avait greffé un réseau de neurones ( artificiels ;) ) à un pare-feu pour qu'il puisse détecter de façon autonome les attaques. L'approche me paraissait intéressante mais je n'avais pas eu le temps d'essayer le produit en situation réelle. Du coup je me demandais si cette technique avait fait ses preuves ? Ou alors un peu dans le même style l'approche pare-feu + moteur de corrélation pourrait être une autre approche. David Amiel > Le Ven 7 août 2009 15:12, marc celier a écrit : un IDS ou un IPS ne serviraient pas a grand chose ici, quand il y a des millions de connexions qui arrivent en meme temps comment dissocier les connexions legitimes des connexions "illegitimes", peut etre en s'appuyant sur le nombre de connexion provenant d'une adresse IP particuliere, mais lorsque l'attaque est repartie depuis des milliers de postes infectes, que faire. a ce niveau seule une operation concerte entre les operateur pourrait y venir a bout > ----- Original Message ----- > > From: David Amiel > > Sent: 08/07/09 02:05 pm > > To: Liste FRnoG > > Subject: Re: [FRnOG] Attaques contre Twitter & Facebook > > > Le Jeu 6 août 2009 17:58, Jérémy Martin a écrit : > > Bonjour, > > > > Une attaque massive de type DDOS a été enregistré depuis 15h (heure > > française) sur Twitter qui a été rendu totalement ko. > > Facebook est également très lent ainsi que quelques gros portails ou > > sites bancaires depuis la même heure. > > > > Attaque DDOS orchestrée > > est-ce que l'on sait ce qu'utilise Twitter (ou les autres gros sites) pour > se défendre contre ce genre d'attaques ? > > Cela fait quelque temps que je n'ai pas mis mon nez dans ce qui se fait > côté IDS/IPS, mais les attaques de ce genre me paraissent difficiles à > contrer > > David > > > > > Cordialement, > > Jérémy Martin > > Responsable Technique Freeheberg.com > > > > Mail : [email protected] > > Web : http://www.freeheberg.com > > > > > > ______________________________ > > FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! > > PHP + Mysql + Espace 2 à 20 Go > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
