Y a pas des origines géographiques que tu pourrais filtrer en inbound en ajoutant un routeur MITM (Linux par exemple) pour nettoyer un peu ? Pas d'offre anti-DDoS chez Cogent ?
Le 26 sept. 2017 à 22:23, Jeremy a écrit : > C'est du "tout ou rien" chez Cogent. Soit il bloque tout ce qui passe sur le > port 53, soit ils bloquent rien. Pas possible de faire des ACL excluant nos > serveurs dns par exemple :( > Là, l'attaque vient de changer, elle cible notre site public. Pour le coup, > je m'en fou tant que mes clients sont tranquille. Mais ça deviens relou là. > > Le 26/09/2017 à 22:21, David Ponzone a écrit : >> J'ai peut-être raté un truc mais si tu demandes à Cogent de filtrer les >> paquets en outbound vers ton port 53, sauf pour tes DNS, ça limite pas la >> casse ? >> J'ai cru comprendre que tes DNS n'étaient pas la cible, donc ça doit le >> faire. >> >> Le 26 sept. 2017 à 22:08, Jeremy a écrit : >> >>> Bonjour, >>> >>> Depuis quelques jours, nous recevons de nombreuses attaques semblant >>> provenir d'un bot commandé (probablement un booter payant facturé à >>> l'heure). On a relevé énormément de routeurs Mikrotik pas à jour qui sont >>> commandés pour faire de l'amplification DNS avec spoofing. On tourne autour >>> de 40-60 Gb/s en continue. >>> >>> La particularité de l'attaque est que le mec s'amuse à faire une rotation >>> d'IP en piochant au pif dans les prefix qu'on annonce (on annonce >>> l'équivalent d'un /19). Ca a tendance à fortement saturer les tuyaux >>> (transport), et à faire sérieusement ramer notre infra Wanguard qui a du >>> mal à suivre (de toute façon, comme ça sature au dessus...). >>> J'ai l'idée de demander à Cogent (transitaire par lequel ça passe le plus, >>> logique...) de rajouter une ACL pour filtrer le port 53 mais quid de notre >>> capacité à résoudre les hostname depuis les root dns servers ?! Je pense >>> que si on fait ça, on peut dire adieux à notre indépendance et bonjour à >>> 8.8.8.8 partout (grosse galère en perspective). Pour le moment, je garde >>> cette option en solution ultime. >>> >>> Bref, comme j'en ai marre de jouer avec BGP depuis samedi pour limiter la >>> casse, je vais finir par rajouter un transitaire protégé le temps que ça >>> passe. L'idée d'un tunnel GRE permettant de nettoyer le trafic avant >>> d'arriver chez nous peut avoir du sens, ou alors un nouveau port de transit >>> en 10G sur lequel on nous livrerais du transit déjà nettoyé. >>> >>> Si certains d'entre-vous ont une solution technique efficace capable de >>> traiter très efficacement cette typologie, de mettre en place une solution >>> d'urgence pour nous filer un coup de main, et si possible sans nous >>> facturer les deux reins, ça serait très très apprécié. >>> >>> En MP si vous avez besoin de plus d'infos ! >>> Merci, >>> Jérémy >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
