Y a pas des origines géographiques que tu pourrais filtrer en inbound en 
ajoutant un routeur MITM (Linux par exemple) pour nettoyer un peu ?
Pas d'offre anti-DDoS chez Cogent ?


Le 26 sept. 2017 à 22:23, Jeremy a écrit :

> C'est du "tout ou rien" chez Cogent. Soit il bloque tout ce qui passe sur le 
> port 53, soit ils bloquent rien. Pas possible de faire des ACL excluant nos 
> serveurs dns par exemple :(
> Là, l'attaque vient de changer, elle cible notre site public. Pour le coup, 
> je m'en fou tant que mes clients sont tranquille. Mais ça deviens relou là.
> 
> Le 26/09/2017 à 22:21, David Ponzone a écrit :
>> J'ai peut-être raté un truc mais si tu demandes à Cogent de filtrer les 
>> paquets en outbound vers ton port 53, sauf pour tes DNS, ça limite pas la 
>> casse ?
>> J'ai cru comprendre que tes DNS n'étaient pas la cible, donc ça doit le 
>> faire.
>> 
>> Le 26 sept. 2017 à 22:08, Jeremy a écrit :
>> 
>>> Bonjour,
>>> 
>>> Depuis quelques jours, nous recevons de nombreuses attaques semblant 
>>> provenir d'un bot commandé (probablement un booter payant facturé à 
>>> l'heure). On a relevé énormément de routeurs Mikrotik pas à jour qui sont 
>>> commandés pour faire de l'amplification DNS avec spoofing. On tourne autour 
>>> de 40-60 Gb/s en continue.
>>> 
>>> La particularité de l'attaque est que le mec s'amuse à faire une rotation 
>>> d'IP en piochant au pif dans les prefix qu'on annonce (on annonce 
>>> l'équivalent d'un /19). Ca a tendance à fortement saturer les tuyaux 
>>> (transport), et à faire sérieusement ramer notre infra Wanguard qui a du 
>>> mal à suivre (de toute façon, comme ça sature au dessus...).
>>> J'ai l'idée de demander à Cogent (transitaire par lequel ça passe le plus, 
>>> logique...) de rajouter une ACL pour filtrer le port 53 mais quid de notre 
>>> capacité à résoudre les hostname depuis les root dns servers ?! Je pense 
>>> que si on fait ça, on peut dire adieux à notre indépendance et bonjour à 
>>> 8.8.8.8 partout (grosse galère en perspective). Pour le moment, je garde 
>>> cette option en solution ultime.
>>> 
>>> Bref, comme j'en ai marre de jouer avec BGP depuis samedi pour limiter la 
>>> casse, je vais finir par rajouter un transitaire protégé le temps que ça 
>>> passe. L'idée d'un tunnel GRE permettant de nettoyer le trafic avant 
>>> d'arriver chez nous peut avoir du sens, ou alors un nouveau port de transit 
>>> en 10G sur lequel on nous livrerais du transit déjà nettoyé.
>>> 
>>> Si certains d'entre-vous ont une solution technique efficace capable de 
>>> traiter très efficacement cette typologie, de mettre en place une solution 
>>> d'urgence pour nous filer un coup de main, et si possible sans nous 
>>> facturer les deux reins, ça serait très très apprécié.
>>> 
>>> En MP si vous avez besoin de plus d'infos !
>>> Merci,
>>> Jérémy
>>> 
>>> 
>>> ---------------------------
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
> 


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à