Bonjour, Concernant le null routing, il y a de très bon exemples sur l'internet.
Il faut bien noter qu'il existe deux pratiques : * blacklister une/plusieures sources * blacklister une destination La première est relativement complexe à mettre en place sur une petite infrastructure car nécessite la mise en place de l'URPF (Unicast Reverse Path Forwarding). La seconde est utilisée en désespoir de cause, il s'agit de sacrifier une IP (le client attaqué), pour sauver les autres. Un peu de doc ici : http://www.cisco.com/web/about/security/intelligence/ipv6_rtbh.html Dans le cas évoqué, iptable parait quand même plus adapté. Quand à la détection, c'est pour le coup bien plus complexe. Je n'ai pas connaissance d'un produit non commercial fournissant ce service. Les technologies les plus connues sont sans doute celles de cisco et d'arbornetworks. Autrement, il existe des services "cloud" pour se prémunir de ce genre d'attaque. Verisign propose quelque chose de sympa, mais encore difficilement accessible financièrement. Si aucune de ces solutions ne convient, il reste l'analyse statistique du trafic via des scripts / programmes développés en internes. Mais pour le coup, concernant la "mitigation", pas de solution miracle, avoir de gros tuyaux et de gros équipements de filtrage, ou bien, encore, souscrire une offre chez un transitaire ou verisign. En espérant que ces infos vous seront utiles. Cordialement. 2012/9/6 Dominique Rousseau <d.rouss...@nnx.com> > Le Thu, Sep 06, 2012 at 12:37:44PM +0100, Antoine Durant [ > antoine.duran...@yahoo.fr] a écrit: > > Bonjour, > > > > J???aimerais connaitre les outils que vous utilisez pour détecter les > attaques DDoS. > > > > Dans un premier temps j???aimerais tester des outils libre/open > > source. Que mettez vous en prod sur vos jolis réseaux ?? > > Pas très facile. Si tu connais le profil "habituel" de ton trafic, > détecter les écarts sur les mesures de débit/pps des interfaces, et > crier si y'a « 10 fois plus que d'habitude » > > > Sur un routeur linux quagga, comment vous faites pour null-router une > > IP qui est méchante avec une machine du réseau ( a part débrancher le > > routeur :-D) ?? > > Ca dépend de ce que tu veux faire. > Si c'est protéger la machine qui peut traiter le volume de trafic > réseau, mais pas les requetes applicatives que ça induit, iptables > conviendra bien. Sur la machine, parcequ'on peut supposer qu'il y a déjà > un parefeu dessus, ce qui n'est probablement pas le cas (et ça serait > pas vraiment une bonne idée) du routeur. > Si tu veux préserver le reste du réseau, la route vers null0 comme > mentionné ailleurs est une meilleure solution. Ca rend l'ip en question > injoignable (mais bon, a priori, elle l'est déjà), et ça évite de > saturer le reste du réseau, c'est "contenu" dans le routeur. Mieux, si > ton/tes transitaires proposent des communautés ad-hoc, tu peux même leur > dire de null-router le trafic à destination de l'ip concernée au niveau > de leurs routeurs. > > > -- > Dominique Rousseau > Neuronnexion, Prestataire Internet & Intranet > 21 rue Frédéric Petit - 80000 Amiens > tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
