Le 30/07/2012 15:29, Benjamin BILLON a écrit :
Un besoin de pps particulier ?
Par 1 Gbps, tu veux dire 1 vrai Gbps plein ? Pour info des routeurs avec
des interfaces Giga peuvent très bien plafonner à 400Mbps
Ecoute, l'expérience désagréable que j'ai eue c'est une attaque depuis
un serveur compris en interne connecté en 100 Mbps. Si j'ai bien
compris, c'était un flood udp à 100 Mbps avec des paquets minimalistes.
J'ai essayé sur mes routeurs Openbsd : à genoux (plus de trafic qui
passait, console apoplectique) et sur un RouterBoard 1200 : à terre
(plus rien, même en ssh). Dès que l'on coupe l'attaque, les routeurs
reviennent dans la seconde.
J'ai fait planché un type de router.lv (spécialiste Mikrotik) sur la
question une demie journée, il n'a pas trouvé d'ACL qui se déclenche
assez vite pour protéger.
Le plus rigolo, c'est que cette attaque UDP avait été lancée en userland
depuis un serveur Linux : une bête console en php sur un cms piraté et
le mec a pu lancer ça. Compte tenu de ce que j'héberge sur mon réseau,
ca VA recommencer. Reste à trouver la parade en ayant au moins la main
sur le routeur et en nullroutant l'IP du serveur concerné.
Automatiquement, ce serait encore mieux.
Sinon, en dehors de ça, 100/200 Mbps routés, ça irait hein !
Julien
P.S. : si des gens veulent le code de l'attaque, j'ai ça dans mes
archives pour stresser d'autres routeurs.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/