François, Le 27 septembre 2011 17:51, Francois Petillon <fan...@proxad.net> a écrit : > Et donc tu surdimensionnes ta plateforme mail d'un facteur 100 ? Le jour où > un nouveau botnet débarque et fait passer le ratio à 200, tu suis dans la > journée ? Et quand on parle de 99% de trafic de merde, c'est du lissé sur > 24h voir un mois. Et les variations dans la journée peuvent être plus > conséquentes que cela (j'observe régulièrement des pointes à plus de *10 le > trafic "moyen"). Et là, pour éviter de voir ta plateforme tomber, il va > falloir prendre une très couteuse marge de manœuvre.
J'ai bien précisé que je parlais du réseau, pour la partie service, c'était probablement juste un mauvais exemple. Cela dit, j'aimerais bien savoir comment tu gères ce genre de cas de figure, et si les possibles dégradations ponctuelles de service dues à ses mesures sont indiquées aux utilisateurs de la plate-forme en toute transparence... > Légalement, les opérateurs _doivent_ protéger les infrastructures. Un gentil > botnet qui ouvre des connexions par dizaines de milliers par seconde depuis > des PCs compromis (donc depuis des connexions "lentes") se montre beaucoup > plus agressif qu'un MTA standard et abouti assez facilement à l'équivalent > d'un DDoS permanent sur une plateforme. Je vois bien le principe : nombre de session qui explose, source-routing difficile vu la diversité des sources... > Et que si on suit ton raisonnement, > un opérateur a le droit de se proteger d'une attaque DDoS de 60 Gbps > momentanée mais pas s'il s'agit d'une attaque permanente. J'aimerais bien > voir la tête de Nerim dans cette situation (ce n'est pas une critique, juste > une manière de souligner qu'il y a toujours une limite au niveau de > "pollution" supportable). Je parle de pollution (ou plutôt d'attaque) ponctuelle car c'est le cas le plus fréquent. maintenir une attaque continue sur plusieurs heures, jours ou semaines est techniquement peu réaliste (et au moins coûteux). Mais si c'est le cas, on en arrive à une autre question : la légitimité du trafic, et surtout qui peut en décider. Le problème qui se pose entre la neutralité et le droit, c'est qu'on ne peut pas en tant qu'opérateur prendre la décision de bloquer quelque chose parce que ça nous arrange. La notion de "force majeure" est alors invoquée. Mais cette notion mentionne explicitement des circonstances exceptionnelles et ponctuelles : si le cas invoqué est ou devient la norme, alors des mesures de protections conformes à la fois au droit, au principe de neutralité et à celui de proportionalité devraient être trouvées. Sur-dimensionner l'infra dans de telles proportions, on est d'accord, c'est surréaliste sur le plan économique. On sait de plus que la nature ayant horreur du vide, ce serait juste une fuite en avant. Et qu'avec des botnets de noeuds raccordés en FTTH, on va s'en prendre plein la gueule. Mais blackholer un pan entier du réseau de façon continue parce que certains éléments de ce coin d'internet foutent la merde, ça pose un tout autre problème : c'est contraire au droit tant que ça n'a pas été validé par une loi et par une décision de justice. La "force majeure" ne suffit de toute façon plus : on ne peut pas protéger l'infra en blackholant juste des /32 sur les PE, les liens resteront saturés, alors il faut effectivement une protection en amont qui soit conforme aux standards du routage. Sauf que... Le trafic vient bien de quelque part. D'un réseau, d'un transit, d'un end-user, peu importe. Celui ci est sensé être soumis à un minimum de règles. Et chaque acteur du réseau est sensé traiter les "abuse" en cas d'infraction à ses règles. Quelqu'un qui ne traite pas les abuse rompt les conditions de délivrance de pas mal de services (transit, accès...), donc ce sont à ces fournisseurs de gérer le problème à la source. Les moyens techniques à employer sont alors ceux autorisés en droit local ou selon les CGV dudit service. De mon point de vue, mais il n'engage que moi et je ne dis pas que c'est une bonne façon de faire, en tant qu'opérateur je peux légitimement blackholer (au moins temporairement) un réseau nuisible dont le NOC ne me répond pas après plusieurs tentatives par plusieurs canaux. Mais légalement, je n'en ai pas le droit, alors j'essayerai au préalable de contacter ses upstreams pour qu'ils prennent les mesures autorisées par leur contrat de service. Seulement pour exiger ça, il faudrait déjà prendre la peine de s'y tenir nous même. Un de mes abonnés qui fout la merde, si on me le notifie, infos techniques à l'appui, je vais regarder ce qu'il se passe. Je ne suis pas sur que ce soit faisable en l'état sur un réseau de la taille du tiens. Bref, je n'ai pas de solution, juste quelques idées et pistes que j'espère être un bon compromis. Mais en continuant à en parler on finira peut être par trouver de bonnes (ou moins mauvaises) solutions, hein ! @+ -- Jérôme Nicolle 06 19 31 27 14 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/