J'ai peut-être raté un truc mais si tu demandes à Cogent de filtrer les paquets 
en outbound vers ton port 53, sauf pour tes DNS, ça limite pas la casse ?
J'ai cru comprendre que tes DNS n'étaient pas la cible, donc ça doit le faire.

Le 26 sept. 2017 à 22:08, Jeremy a écrit :

> Bonjour,
> 
> Depuis quelques jours, nous recevons de nombreuses attaques semblant provenir 
> d'un bot commandé (probablement un booter payant facturé à l'heure). On a 
> relevé énormément de routeurs Mikrotik pas à jour qui sont commandés pour 
> faire de l'amplification DNS avec spoofing. On tourne autour de 40-60 Gb/s en 
> continue.
> 
> La particularité de l'attaque est que le mec s'amuse à faire une rotation 
> d'IP en piochant au pif dans les prefix qu'on annonce (on annonce 
> l'équivalent d'un /19). Ca a tendance à fortement saturer les tuyaux 
> (transport), et à faire sérieusement ramer notre infra Wanguard qui a du mal 
> à suivre (de toute façon, comme ça sature au dessus...).
> J'ai l'idée de demander à Cogent (transitaire par lequel ça passe le plus, 
> logique...) de rajouter une ACL pour filtrer le port 53 mais quid de notre 
> capacité à résoudre les hostname depuis les root dns servers ?! Je pense que 
> si on fait ça, on peut dire adieux à notre indépendance et bonjour à 8.8.8.8 
> partout (grosse galère en perspective). Pour le moment, je garde cette option 
> en solution ultime.
> 
> Bref, comme j'en ai marre de jouer avec BGP depuis samedi pour limiter la 
> casse, je vais finir par rajouter un transitaire protégé le temps que ça 
> passe. L'idée d'un tunnel GRE permettant de nettoyer le trafic avant 
> d'arriver chez nous peut avoir du sens, ou alors un nouveau port de transit 
> en 10G sur lequel on nous livrerais du transit déjà nettoyé.
> 
> Si certains d'entre-vous ont une solution technique efficace capable de 
> traiter très efficacement cette typologie, de mettre en place une solution 
> d'urgence pour nous filer un coup de main, et si possible sans nous facturer 
> les deux reins, ça serait très très apprécié.
> 
> En MP si vous avez besoin de plus d'infos !
> Merci,
> Jérémy
> 
> 
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à