Tous les flux sortants sont load balancés par nos F5 sur les 4 liens opérateur correspondant aux IP publiques. RAS dans ce load balancing... Mais c'est vrai que pas toutes les IP son blacklistées ...
La résolution DNS est faites par nos srv internes en s'appuyant sur leurs forwarders, un nslookup montre qu'ils obtiennent bien les réponses en RR (4/5 IP différentes à chaque requête). La piste du cache DNS et des proxies me semble intéressante et je vais regarder. Inutile de préciser qu'il n'y a pas eu de changements à ce niveau en corréspondance de la manifestation du pb... Guido Pellizzari Le 26 août 2013 à 01:27, "Michel Py" <mic...@arneill-py.sacramento.ca.us> a écrit : >> Guido Pellizzari a écrit: >> Oui j'oubliais: au départ 90% des nos flux passaient par les proxies, tout >> comme avant que le ban se declenche. C'est là où a démarré notre analyse. > > Tes proxies sont le coupable le plus probable du ban initial, en effet. > >> C'est ce que nous avons fait en premier, et qui n'a malheureusement >> rien mis en évidence. Nb de requêtes et volumes échangés sont >> uniformément répartis... > > Uniformément répartis venant de tes clients peut-être (ce qui veut donc dire > que tu n'as pas de DDOS venant de dedans), mais en sortant? Google comme > beaucoup d'autres fait du load-balancing par round-robin DNS qui varie > dynamiquement en fonction de multiples facteurs. > > Name: www.google.fr > Addresses: 74.125.239.159, 74.125.239.152, 74.125.239.151. Tu obtiens des > résultats différents en fonction de là ou tu te trouves, de la charge, etc. > > As-tu vérifié que tes proxies utilisaient toutes les adresses que Google te > donne, et que le cache DNS que tes proxies et tes clients utilisent est > rafraîchi correctement? Si tu as plusieurs milliers de clients venant d'une > seule IP et qui n'utilisent pour leurs requêtes qu'une seule des IP de Google > et qu'elle ne change jamais, ça ressemble à du DDOS. > > Michel. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
