Beaucoup. On a compté plus de 20k IPv4 différentes. L'AS que j'ai cité est le top1 mais il y en a une trentaine de clairement identifiés.

Notre filter est capable de traiter la taille de packets. Mais le coté random des IP ciblés toutes les 5 secondes, et l'importance du flux l'ont fait un peu souffrir. Le plus gros problème restant la saturation des transports.


Le 27/09/2017 à 20:20, Michel Py a écrit :
Jeremy a écrit :
Depuis quelques jours, nous recevons de nombreuses attaques semblant provenir 
d'un bot commandé (probablement
un booter payant facturé à l'heure). On a relevé énormément de routeurs 
Mikrotik pas à jour qui sont commandés
pour faire de l'amplification DNS avec spoofing. On tourne autour de 40-60 Gb/s 
en continue.
J'ai 2 questions bêtes:

- Combien il y a de hosts (Mikrotik) qui t'attaquent ? D'après ce que je 
comprends c'est limité en provenance d'un seul AS.

- Les packets qui arrivent, quelle taillent ils font ?
L'idée serait de filtrer les packets sur le port 53 qui ont une taille 
supérieure à x.

Tu es plus ou moins prisonnier de la compétence technique de tes transits et de 
ce qu'ils acceptent de faire pour t'aider :-(

Michel.



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à