Bonjour, Oui nous utilison une VS out pour chaque IP de forwarder DNS (1 pour chacun des 4 opérateur de nos liens).
Pour le cache DNS je ne sais pas, je vais demander aux collègues qui l'administrent. Mais je suppose que oui, et encore une fois il n'y a pas eu de changenents au moment où le pb s'est déclaré. Guido Pellizzari Le 27 août 2013 à 21:41, michel besnard <mic...@besnard.in> a écrit : > > as tu as activer le cache DNS et déclarer des VS DNS sur tes BIGIP ? > > > Le 26 août 2013 14:15, Pellizzari <cont...@pellizzari-web.org> a écrit : >> >> Tous les flux sortants sont load balancés par nos F5 sur les 4 liens >> opérateur correspondant aux IP publiques. >> RAS dans ce load balancing... >> Mais c'est vrai que pas toutes les IP son blacklistées ... >> >> La résolution DNS est faites par nos srv internes en s'appuyant sur leurs >> forwarders, un nslookup montre qu'ils obtiennent bien les réponses en RR >> (4/5 IP différentes à chaque requête). >> >> La piste du cache DNS et des proxies me semble intéressante et je vais >> regarder. >> >> Inutile de préciser qu'il n'y a pas eu de changements à ce niveau en >> corréspondance de la manifestation du pb... >> >> Guido Pellizzari >> >> Le 26 août 2013 à 01:27, "Michel Py" <mic...@arneill-py.sacramento.ca.us> a >> écrit : >> >> >> Guido Pellizzari a écrit: >> >> Oui j'oubliais: au départ 90% des nos flux passaient par les proxies, tout >> >> comme avant que le ban se declenche. C'est là où a démarré notre analyse. >> > >> > Tes proxies sont le coupable le plus probable du ban initial, en effet. >> > >> >> C'est ce que nous avons fait en premier, et qui n'a malheureusement >> >> rien mis en évidence. Nb de requêtes et volumes échangés sont >> >> uniformément répartis... >> > >> > Uniformément répartis venant de tes clients peut-être (ce qui veut donc >> > dire que tu n'as pas de DDOS venant de dedans), mais en sortant? Google >> > comme beaucoup d'autres fait du load-balancing par round-robin DNS qui >> > varie dynamiquement en fonction de multiples facteurs. >> > >> > Name: www.google.fr >> > Addresses: 74.125.239.159, 74.125.239.152, 74.125.239.151. Tu obtiens des >> > résultats différents en fonction de là ou tu te trouves, de la charge, etc. >> > >> > As-tu vérifié que tes proxies utilisaient toutes les adresses que Google >> > te donne, et que le cache DNS que tes proxies et tes clients utilisent est >> > rafraîchi correctement? Si tu as plusieurs milliers de clients venant >> > d'une seule IP et qui n'utilisent pour leurs requêtes qu'une seule des IP >> > de Google et qu'elle ne change jamais, ça ressemble à du DDOS. >> > >> > Michel. >> > >> > >> > --------------------------- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
