Bonjour, Ce type d’attaque par DNS amplification peut se bloquer avec une ACL ou filtre Flowspec bien senti car souvent ces attaques on des paquets DNS assez gros et fragmentés. Avec Flowspec tu peux dropper ça en identifiant le trafic DNS fragmenté avec le Fragmentation bitmask : Drop UDP source port 53 AND Fragmentation Bitmask 4 => DNS Initial fragment Drop UDP source port 53 AND Fragmentation Bitmask 2 => DNS more fragment
Si le routeur a du mal à identifiant avec ACL/Flowspec le trafic fragmenté (le cas de certaines versions de routeurs) alors y a toujours la solution de dropper les gros paquets DNS (>250 bytes), risque de dropper quelques requêtes légitimes : drop proto udp and src port 53 and bytes 250..1500 Par contre si le transit est déjà saturé, uRPF ça peut être compliqué vu le nombre important d’IP sources qui en général sur ces attaques « sweeping » qui sont des IOT (Botnet Mirai et autres du même genre). @Mickael, la version Arbor SP/TMS 8.0 qui est sortie y a plus d’un an gère les attaques sweeping vector, suffit de configure le knob « Reuse TMS mitigation » sous le Managed Object et la même mitigation TMS est réutilisée pour plusieurs host sous attaque dans le MO. A+ -- Reda Nedjar Consulting Engineer EMEA Arbor Networks: The security division of NETSCOUT --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
