Le plus simple serait de faire un blackhole pour refuser les routes d'un AS spécifique. (ChinaNet comme d'hab... AS4134). Le problème c'est que Cogent ne propose pas -à ma connaissance- de leur envoyer une communauté pour blackholer les routes provenant d'un AS.


Le 26/09/2017 à 22:50, David Ponzone a écrit :
Tu peux pas l'alléger en filtrant de manière statique les blocs d'IP source les 
plus fréquents ?


Le 26 sept. 2017 à 22:38, Jeremy a écrit :

Nop, pas d'antiddos chez Cogent...
On a un routeur en MITM (Wanguard Filter BGP) mais bon, même si il est costaux, 
il en peu plus là ...

Le 26/09/2017 à 22:34, David Ponzone a écrit :
Y a pas des origines géographiques que tu pourrais filtrer en inbound en 
ajoutant un routeur MITM (Linux par exemple) pour nettoyer un peu ?
Pas d'offre anti-DDoS chez Cogent ?


Le 26 sept. 2017 à 22:23, Jeremy a écrit :

C'est du "tout ou rien" chez Cogent. Soit il bloque tout ce qui passe sur le 
port 53, soit ils bloquent rien. Pas possible de faire des ACL excluant nos serveurs dns 
par exemple :(
Là, l'attaque vient de changer, elle cible notre site public. Pour le coup, je 
m'en fou tant que mes clients sont tranquille. Mais ça deviens relou là.

Le 26/09/2017 à 22:21, David Ponzone a écrit :
J'ai peut-être raté un truc mais si tu demandes à Cogent de filtrer les paquets 
en outbound vers ton port 53, sauf pour tes DNS, ça limite pas la casse ?
J'ai cru comprendre que tes DNS n'étaient pas la cible, donc ça doit le faire.

Le 26 sept. 2017 à 22:08, Jeremy a écrit :

Bonjour,

Depuis quelques jours, nous recevons de nombreuses attaques semblant provenir 
d'un bot commandé (probablement un booter payant facturé à l'heure). On a 
relevé énormément de routeurs Mikrotik pas à jour qui sont commandés pour faire 
de l'amplification DNS avec spoofing. On tourne autour de 40-60 Gb/s en 
continue.

La particularité de l'attaque est que le mec s'amuse à faire une rotation d'IP 
en piochant au pif dans les prefix qu'on annonce (on annonce l'équivalent d'un 
/19). Ca a tendance à fortement saturer les tuyaux (transport), et à faire 
sérieusement ramer notre infra Wanguard qui a du mal à suivre (de toute façon, 
comme ça sature au dessus...).
J'ai l'idée de demander à Cogent (transitaire par lequel ça passe le plus, 
logique...) de rajouter une ACL pour filtrer le port 53 mais quid de notre 
capacité à résoudre les hostname depuis les root dns servers ?! Je pense que si 
on fait ça, on peut dire adieux à notre indépendance et bonjour à 8.8.8.8 
partout (grosse galère en perspective). Pour le moment, je garde cette option 
en solution ultime.

Bref, comme j'en ai marre de jouer avec BGP depuis samedi pour limiter la 
casse, je vais finir par rajouter un transitaire protégé le temps que ça passe. 
L'idée d'un tunnel GRE permettant de nettoyer le trafic avant d'arriver chez 
nous peut avoir du sens, ou alors un nouveau port de transit en 10G sur lequel 
on nous livrerais du transit déjà nettoyé.

Si certains d'entre-vous ont une solution technique efficace capable de traiter 
très efficacement cette typologie, de mettre en place une solution d'urgence 
pour nous filer un coup de main, et si possible sans nous facturer les deux 
reins, ça serait très très apprécié.

En MP si vous avez besoin de plus d'infos !
Merci,
Jérémy


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à