Bonjour,
Depuis quelques jours, nous recevons de nombreuses attaques semblant
provenir d'un bot commandé (probablement un booter payant facturé à
l'heure). On a relevé énormément de routeurs Mikrotik pas à jour qui
sont commandés pour faire de l'amplification DNS avec spoofing. On
tourne autour de 40-60 Gb/s en continue.
La particularité de l'attaque est que le mec s'amuse à faire une
rotation d'IP en piochant au pif dans les prefix qu'on annonce (on
annonce l'équivalent d'un /19). Ca a tendance à fortement saturer les
tuyaux (transport), et à faire sérieusement ramer notre infra Wanguard
qui a du mal à suivre (de toute façon, comme ça sature au dessus...).
J'ai l'idée de demander à Cogent (transitaire par lequel ça passe le
plus, logique...) de rajouter une ACL pour filtrer le port 53 mais quid
de notre capacité à résoudre les hostname depuis les root dns servers ?!
Je pense que si on fait ça, on peut dire adieux à notre indépendance et
bonjour à 8.8.8.8 partout (grosse galère en perspective). Pour le
moment, je garde cette option en solution ultime.
Bref, comme j'en ai marre de jouer avec BGP depuis samedi pour limiter
la casse, je vais finir par rajouter un transitaire protégé le temps que
ça passe. L'idée d'un tunnel GRE permettant de nettoyer le trafic avant
d'arriver chez nous peut avoir du sens, ou alors un nouveau port de
transit en 10G sur lequel on nous livrerais du transit déjà nettoyé.
Si certains d'entre-vous ont une solution technique efficace capable de
traiter très efficacement cette typologie, de mettre en place une
solution d'urgence pour nous filer un coup de main, et si possible sans
nous facturer les deux reins, ça serait très très apprécié.
En MP si vous avez besoin de plus d'infos !
Merci,
Jérémy
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/