Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?
Pas encore release, mais prometteur pour tout un tas d’usage. https://techcommunity.microsoft.com/t5/itops-talk-blog/smb-over-quic-files-without-the-vpn/ba-p/1183449 On 8 September 2020 at 09:23:50, Stephane Bortzmeyer (bortzme...@nic.fr) wrote: On Mon, Sep 07, 2020 at 09:15:48AM +, Philippe Bourcier wrote a message of 30 lines which said: > sauf si Microsoft passe SMBv4 en QUIC aussi Fait :-) https://gitlab.com/wireshark/wireshark/-/merge_requests/123 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?
Le 03-09-2020 13:56, Fabien VINCENT FrNOG via frnog a écrit : Le 03-09-2020 10:15, Philippe Bourcier a écrit : Re, @Stephane : OK pour BCP 38 effectivement ! +1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est toujours pas fait partout. @Stephane, oui pour DNS, mais malheureusement l'imagination est sans limite pour trouver des nouveaux services d'amplification .. C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de HTTP (HTTP/3) risque bien d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur Internet vu à quel point ce seul protocole est ultra-majoritaire et va continuer de l'être. Ha j'allais dire la même chose sur HTTP/3 (y a eu un très bon thread sur NaNOG la dessus, hormis les trolls, sur la classification de QUIC/HTTP/3 comme un DDoS chez Verizon si je me souviens bien, en gros la personne regarde youtube sous Chrome et il obtient un débit tout pourri) Avec le lien et la correction, ce n'est pas Verizon, mais AT&T https://www.mail-archive.com/nanog@nanog.org/msg105413.html Bizarrement, je ne suis pas sur que TCP devienne la mode, je dirais que c'est globalement l'inverse se produit. On utilise de plus en plus UDP pour s'affranchir des problématiques de SlowStart (voir pour encapsuler, cf VxLAN). Bref, la fin d'UDP (et donc des DDoS avec spoof de la source) c'est pas pour demain. Globalement, il y a des choses à faire avec BCP 38, possiblement FlowSpec (mais l'actualité va pas nous aider, et les mesures FlowSpec inter AS, c'est compliqué IMHO), mais rien à mes yeux de globalement applicable partout. Ca reste du bon vouloir des gens, et il est existe quand même pas mal de moyens aujourd'hui de s'en prémunir (les gros opérateurs proposant des services de miti auto). Cordialement, -- Philippe Bourcier web : http://sysctl.org blog : https://www.linkedin.com/today/author/philippebourcier Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Fabien VINCENT _@beufanet_ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?
Le 03-09-2020 10:15, Philippe Bourcier a écrit : Re, @Stephane : OK pour BCP 38 effectivement ! +1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est toujours pas fait partout. @Stephane, oui pour DNS, mais malheureusement l'imagination est sans limite pour trouver des nouveaux services d'amplification .. C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de HTTP (HTTP/3) risque bien d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur Internet vu à quel point ce seul protocole est ultra-majoritaire et va continuer de l'être. Ha j'allais dire la même chose sur HTTP/3 (y a eu un très bon thread sur NaNOG la dessus, hormis les trolls, sur la classification de QUIC/HTTP/3 comme un DDoS chez Verizon si je me souviens bien, en gros la personne regarde youtube sous Chrome et il obtient un débit tout pourri) Bizarrement, je ne suis pas sur que TCP devienne la mode, je dirais que c'est globalement l'inverse se produit. On utilise de plus en plus UDP pour s'affranchir des problématiques de SlowStart (voir pour encapsuler, cf VxLAN). Bref, la fin d'UDP (et donc des DDoS avec spoof de la source) c'est pas pour demain. Globalement, il y a des choses à faire avec BCP 38, possiblement FlowSpec (mais l'actualité va pas nous aider, et les mesures FlowSpec inter AS, c'est compliqué IMHO), mais rien à mes yeux de globalement applicable partout. Ca reste du bon vouloir des gens, et il est existe quand même pas mal de moyens aujourd'hui de s'en prémunir (les gros opérateurs proposant des services de miti auto). Cordialement, -- Philippe Bourcier web : http://sysctl.org blog : https://www.linkedin.com/today/author/philippebourcier Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Fabien VINCENT _@beufanet_ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?
Re, > Par contre, ils ont refait dans HTTP/3 les mécanismes de protection > d'usurpation d'IP On parle de quoi (SYN/ACK ?) ? Pas possible en UDP, mais le handshake est passé en L7, avec la négo TLS. > et de retransmission de TCP ? Oui, j'imagine qu'il y a un mécanisme de CRC pour gérer pertes et retransmission. Lire la spec de QUICK (Google) pour voir comment c'est fait... Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?
Aie Par contre, ils ont refait dans HTTP/3 les mécanismes de protection d'usurpation d'IP et de retransmission de TCP ? Si c'est le cas, c'est un peu balot .. Le jeu. 3 sept. 2020 à 10:16, Philippe Bourcier a écrit : > Re, > > > @Stephane : OK pour BCP 38 effectivement ! > > +1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est > toujours pas fait partout. > > >> @Stephane, oui pour DNS, mais malheureusement l'imagination est sans > >> limite pour trouver des nouveaux services d'amplification .. > > C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de HTTP > (HTTP/3) risque bien > d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur > Internet vu à quel point > ce seul protocole est ultra-majoritaire et va continuer de l'être. > > > Cordialement, > -- > Philippe Bourcier > web : http://sysctl.org > blog : https://www.linkedin.com/today/author/philippebourcier > > Cordialement, > -- > Philippe Bourcier > web : http://sysctl.org/ > blog : https://www.linkedin.com/today/author/philippebourcier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?
Le Thu, Sep 03, 2020 at 08:15:01AM +, Philippe Bourcier [phili...@frnog.org] a écrit: > Re, > > > @Stephane : OK pour BCP 38 effectivement ! > > +1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est > toujours pas fait partout. > > >> @Stephane, oui pour DNS, mais malheureusement l'imagination est > >> sans limite pour trouver des nouveaux services d'amplification .. > > C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de > HTTP (HTTP/3) risque bien d'être en UDP... Ce sera potentiellement le > début de la fin de TCP sur Internet vu à quel point ce seul protocole > est ultra-majoritaire et va continuer de l'être. Entre les problèmes de MTU, les firewalls legacy, et la foultitude de serveurs qui resteront à ne parler que HTTP/1.1 le fallback sur TCP va rester un moment, je pense :) -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?
Re, > @Stephane : OK pour BCP 38 effectivement ! +1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est toujours pas fait partout. >> @Stephane, oui pour DNS, mais malheureusement l'imagination est sans >> limite pour trouver des nouveaux services d'amplification .. C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de HTTP (HTTP/3) risque bien d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur Internet vu à quel point ce seul protocole est ultra-majoritaire et va continuer de l'être. Cordialement, -- Philippe Bourcier web : http://sysctl.org blog : https://www.linkedin.com/today/author/philippebourcier Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/