n'importe quel opérateur va supporter un null-route de la destination c'est à dire l'ip attaquée chez toi.
Ca permet juste au trafic DDOS de ne pas rentrer sur ton réseau, cependant l'ip attaquée n'est pas joignable : l'attaquant a gagné. Dans le cas présent le mec s'amuse apparemment à ddos l'ensemble du /22 : null-router le /22 revient à perdre toute connectivité et donc toute source de revenus. Il faut donc un transitaire capable de faire un filtrage intelligent ayant une solution chez lui type arbor : -> le trafic est re-routé dans le réseau du transitaire vers un boitier qui va filtrer l'indésirable pour balancer le légitime uniquement. Ca coute cher parce que : un arbor c'est assez efficace mais pour que ca fonctionne il faut : Des sondes netflow qui vont détecter l'attaque et ces sondes coutent cher. (Arbor Peakflow) Une fois que l'attaque est détectée il faut la mitiger avec un boitier dédié (Arbor TMS), qui n'est pas donné non plus. Le prix d'un meg sécurisé est certes beaucoup plus cher mais il faut comprendre qu'on ne paye que le meg entrant filtré donc quasiment rien. Imaginons que tu sois un hébergeur et sur tes transits tu as 1G en out et 100M en in. Tu as UNE ip qui se prend 2G de DDOS, chez l'opérateur les 2G sont redirigés vers le boitier, et il ne ressort que le légitime qui va etre de 5 ou 6 mbits on va dire pour 1 IP dest. Tu vas payer plein d'euros le mega mais que pour 6 meg donc voilà quoi ca reste raisonnable. Le setup est cher mais une solution anti ddos c'est comme une assurance, ça coute cher mais quand ca sert t'es content de l'avoir. Peut-etre que les modèles de revente de solutions anti-ddos ont changés mais à ma connaissance certains font comme ça. A ma connaissance, aujourd'hui Neo, Jaguar et Colt disposent d'Arbor TMS sur leur réseau. Le 19 juin 2013 14:28, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : >> Si l'upstream n'est pas capable de null router le trafic ddos sur demande >> comment faire !? >> >>>Change de transitaire. > > Oui solution simple (sur le papier) et efficasse... Par contre je pensais que > Cogent avait la possibilité de null router sur demande ! > >> Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? >> >>>Qu'essaye tu de proteger ? Les destinations ou ton infra ? > > En général on essaye de protéger les deux non ? Peut être mettre plus > l'accent sur l'infra... > >> Est-il possible de faire un filtre au niveau des switchs manageable afin >> de limiter les dégats ? >> >>>Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au trafic >>>légitime, la seule distinction sera peut-etre un regex dans le champ >>>applicatif... bon courage pour le filtrer sur un switch. > Oui en réfléchissant cela va être plus compliqué, sauf à limiter la BP du > port afin d'éviter que le serveur qui est derrire pompe un max de BP... > > > ________________________________ > De : Guillaume Barrot <guillaume.bar...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : Leslie-Alexandre DENIS - DCforDATA <lade...@dcfordata.com>; Jérémy > Martin <li...@freeheberg.com>; frnog-tech <frnog-t...@frnog.org> > Envoyé le : Mercredi 19 juin 2013 13h55 > Objet : Re: [FRnOG] [TECH] Au bord du suicide > > > Hello > > Le 19 juin 2013 12:30, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > >> >> Quelle solution existe t'il sans passer par des solutions de type arbor >> afin de contrer des attaques DDOS quand on est une petite boite ? >> > > Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement > annoncés, via du trafic légitime détourné, pas grand chose, voire rien. > Soit tu null route les destinations, pour protéger l'infra (mais > l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. > Évidemment, je pars du principe que les postulats de base sont respectés > (application strict de la BCP38, filtrage de la RFC1918 en entrée sur tes > ports de transit/peering, etc.). > > La limite c'est la taille de tes ports de transit et/ou peering. Si tu as > 10G de capa, et que tu prends 12G de traf "légitime" (botnet) sur un scope > annoncé chez toi ... il n'y a que ton transitaire qui puisse faire quelque > chose en amont. > > >> Si l'upstream n'est pas capable de null router le trafic ddos sur demande >> comment faire !? >> > > Change de transitaire. > > >> Je me doute que de nombreuse petite boite ne peuvent pas se permettre >> d'acheter et installer de l'arbor sur leur infra réseau, comment et >> quesqu'elles utilisent pour sécuriser ? >> > > Elles prennent le risque. La période n'est pas facile pour ces boites, car > les DDOS se multiplient et seuls ceux qui ont une taille critique peuvent > investir dans l'infra nécessaire (ou les services nécessaires chez leur > transitaire). > > >> Beaucoup d'entre elle prone le libre, existe t'il une solution opensource >> pour sécuriser un peux leur réseau et outils de détection ? >> > > Pas à ma connaissance sur la partie filtering pur (c'est pas mal de > hardware). Sur les manipulations BGP, tu as bien sur des outils libres. > Si tu veux faire du filtrage applicatif, les outils existent (snort ?), > mais là on est plus du tout dans la protection contre le DDOS. > > >> Par exemple sur quagga puisque je l'utilise, quel peut être la protection ? >> > > Qu'essaye tu de proteger ? Les destinations ou ton infra ? > > >> Est-il possible de faire un filtre au niveau des switchs manageable afin >> de limiter les dégats ? >> > > Filtrer sur quel critère ? Si c'est du botnet, il sera mélangé au trafic > légitime, la seule distinction sera peut-etre un regex dans le champ > applicatif... bon courage pour le filtrer sur un switch. > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Pierre-Yves Maunier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
