Effectivement si le botnet est capable de faire le 3 handshake .....
problème
Les Load Balancer que j'ai testé sont efficaces sur des TCP SYN, même
sous forte charge, le hardware est dédié (FPGA principalement). A ma
connaissance (qui est limitée) les FW et les IDS ne sont pas taillés
pour ce travail très voir trop spécifique.
Fabien
Le 7 août 09 à 17:51, Sidney Boumendil a écrit :
2009/8/7 Fabien Delmotte <fdelmot...@mac.com>
Il y a des load balancer qui permettent de vérifier le SYN, SYN/ACK,
ACK avant d'autoriser la connexion sur un serveur réel. Cela peut
résoudre une partie de la problématique.
Malheureusement, non. Les botnets génèrent du trafic parfaitement
légitime ie 3 way hand check qui sera accepté par un load balancer
ou un firewall puis une requête sur un service. En UDP c'est encore
plus simple bien sur.
Et puisque les load balancers, firewalls et autres ids/ips sont des
équipements stateful, ils présentent une limitation en terme de
sessions simultanées qu'ils peuvent traiter (maintien d'un état des
sessions TCP et pseudo sessions UDP). Dans le cas d'un ddos de cet
ampleur cette valeur est largement dépassée, ils deviennent donc
l'élément dimensionnant (après ça sera le nombre de PPS que tes
switchs et routeurs vont supporter).
