Beaucoup. On a compté plus de 20k IPv4 différentes. L'AS que j'ai cité
est le top1 mais il y en a une trentaine de clairement identifiés.
Notre filter est capable de traiter la taille de packets. Mais le coté
random des IP ciblés toutes les 5 secondes, et l'importance du flux
l'ont fait un peu souffrir. Le plus gros problème restant la saturation
des transports.
Le 27/09/2017 à 20:20, Michel Py a écrit :
Jeremy a écrit :
Depuis quelques jours, nous recevons de nombreuses attaques semblant provenir
d'un bot commandé (probablement
un booter payant facturé à l'heure). On a relevé énormément de routeurs
Mikrotik pas à jour qui sont commandés
pour faire de l'amplification DNS avec spoofing. On tourne autour de 40-60 Gb/s
en continue.
J'ai 2 questions bêtes:
- Combien il y a de hosts (Mikrotik) qui t'attaquent ? D'après ce que je
comprends c'est limité en provenance d'un seul AS.
- Les packets qui arrivent, quelle taillent ils font ?
L'idée serait de filtrer les packets sur le port 53 qui ont une taille
supérieure à x.
Tu es plus ou moins prisonnier de la compétence technique de tes transits et de
ce qu'ils acceptent de faire pour t'aider :-(
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/