Aujourd'hui nous protégeons nos clients et infrastructure avec 3 mécanismes :
* Communautés : Gratuit * Flowspec : pour nos infra uniquement et dans des cas bien précis des clients, genre : Quand il ne reste plus aucun espoir : le Capitaine Flowspec * Boitier de protection Arbor TMS : payant Nous recevons les requêtes de nos clients généralement par email ou un système de ticketing. Abuse est généralement utilisé par les non clients. Les peers utilisent l'adresse peering@. Flowspec est déployé sur l'ensemble de notre backbone qui est aujourd'hui à 100% sur du MX ( avec du netflow qui fonctionne :) ). Nous évitons de trop utiliser flowspec sur nos routeurs, et nous invitons nos clients à utiliser les communautés le plus possible. Pour nos clients qui se font souvent attaquer, nous avons plusieurs solutions : 1/ On fait rien, le client encaisse et il s'en fiche 2/ Il utilise les communautés les blackhole ses hosts et il vire ses clients qui sont la source de ces soucis 3/ Il achète du matos Juniper et il fait du flowspec ( et on est tous content ) 4/ Il devient client de notre service de protection ( et on est tous content aussi :) ) Le plus souvent, les petits clients utilisent la solution 2 et achètent des petits switch genre 3550EMI ou 3560G ( avec la licence de routage ) chez un broker et fait du BGP route par défaut. Des clients qui se prennent des attaques on en a tous les jours, voila une capture de notre dashboard de notre boitier de détection : http://img859.imageshack.us/img859/7541/alerts.png Pour le cas présent, la destination des attaques n'a aucun moyen de se protéger car l'infrastructure qu'il a ne lui permet pas de le faire. Je ne sais pas qui est son transitaire , et je n'ai pas regardé ça, se trouve je le connais et il va m'engueuler :) , à mon avis, il ne joue pas son rôle de conseil. La mise en place infrastructure ne doit plus correspondre à ce que nous faisions hier. Les temps changent, il est temps que les gens s'adaptent. -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On 2/13/12 11:48 PM, "Guillaume Barrot" <guillaume.bar...@gmail.com> wrote: >Y a pas Huawei aussi qui supporte ça ? Ça m¹étonne d'eux, ils ont la >réputation de ne jamais dire non :D > >Le 13 février 2012 23:37, Thomas Mangin ><thomas.man...@exa-networks.co.uk> a écrit : >>> Pour en revenir au mecanisme de protection, il me semble qu'au dernier >>> FRnog, NeoTelecom a presente FlowSpec, qui est tout designe pour >>>repondre a >>> ce genre de besoin. >> >> Problème : C'est seulement supporte chez Juniper et Alcatel. >> Je crois que c'est prevu chez cisco ... pour Brocade pas d'idee. >> >> Donc tout le monde ne peux pas s'en servir, mais oui j'aime :D >> >> Thomas >> > > > >-- >Cordialement, > >Guillaume BARROT --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/