Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-08 Par sujet professor geek 
Pas encore release, mais prometteur pour tout un tas d’usage.
https://techcommunity.microsoft.com/t5/itops-talk-blog/smb-over-quic-files-without-the-vpn/ba-p/1183449


On 8 September 2020 at 09:23:50, Stephane Bortzmeyer (bortzme...@nic.fr)
wrote:

On Mon, Sep 07, 2020 at 09:15:48AM +,
Philippe Bourcier  wrote
a message of 30 lines which said:

> sauf si Microsoft passe SMBv4 en QUIC aussi

Fait :-)

https://gitlab.com/wireshark/wireshark/-/merge_requests/123


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-08 Par sujet Stephane Bortzmeyer 
On Mon, Sep 07, 2020 at 09:15:48AM +,
 Philippe Bourcier  wrote 
 a message of 30 lines which said:

> sauf si Microsoft passe SMBv4 en QUIC aussi

Fait :-)

https://gitlab.com/wireshark/wireshark/-/merge_requests/123


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-07 Par sujet Philippe Bourcier 
Re,

>> Par contre, j'ai pas trouvé d'infos sur une variante de QUIC sur IP
>> et non plus sur UDP. C'est pour QUIC v2, v3 ou c'est déjà dispo
>> quelque part ?
> 
> À ma connaissance, personne ne bosse là-dessus. Une telle techno
> n'aurait probablement aucun espoir de déploiement, vu la prévalence de
> middleboxes pourrites.

On aura vécu le moment où l'on parlait plus de TCP/IP que d'UDP/IP... et la 
bascule.
Il va rester encore un peu de TCP sur les LANs... sauf si Microsoft passe SMBv4 
en QUIC aussi (...et pour les transferts de fichiers, ils auraient énormément à 
y gagner).
C'est un vrai renversement de tendance... je crois qu'on peut dire merci à 
OpenVPN qui a montré la voie.


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-07 Par sujet Stephane Bortzmeyer 
On Sat, Sep 05, 2020 at 01:04:24PM +,
 Philippe Bourcier  wrote 
 a message of 33 lines which said:

> Par contre, j'ai pas trouvé d'infos sur une variante de QUIC sur IP
> et non plus sur UDP.  C'est pour QUIC v2, v3 ou c'est déjà dispo
> quelque part ?

À ma connaissance, personne ne bosse là-dessus. Une telle techno
n'aurait probablement aucun espoir de déploiement, vu la prévalence de
middleboxes pourrites.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-05 Par sujet Philippe Bourcier 
Re,

> Ce n'est pas ainsi que je le décrirais. Le principe de QUIC est au
> contraire de n'avoir qu'une seule poignée de main, pour diminuer la
> latence en évitant de voir attendre TCP *puis* TLS.

J'ai lu en diagonale sur ces fameux 1-RTT et 0-RTT avec QUIC et c'est vraiment 
des belles améliorations pour le web.
J'avais déjà regardé TLS 1.3 et O-RTT sur HTTP/TCP, mais avec QUIC ca prend 
encore plus son sens...

Je trouve cette page intéressante et assez claire sur les 
avantages/inconvénients liés au "résumé de session" (0-RTT) :
https://blog.cloudflare.com/even-faster-connection-establishment-with-quic-0-rtt-resumption/

Avec tous ces avantages, je pense bien que QUIC va devenir rapidement le 
standard majoritaire...
Par contre, j'ai pas trouvé d'infos sur une variante de QUIC sur IP et non plus 
sur UDP.
C'est pour QUIC v2, v3 ou c'est déjà dispo quelque part ?


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-05 Par sujet Stephane Bortzmeyer 
On Fri, Sep 04, 2020 at 03:44:58PM +,
 Philippe Bourcier  wrote 
 a message of 46 lines which said:

> Grâce à QUIC, le handshake (équivalent à celui de TCP) est en fait
> passé au Layer 4 et non au Layer 7... puis, il y a aussi un 2e
> handshake au L5/L7 avec la négo TLS.

Ce n'est pas ainsi que je le décrirais. Le principe de QUIC est au
contraire de n'avoir qu'une seule poignée de main, pour diminuer la
latence en évitant de voir attendre TCP *puis* TLS.

> Et d'ailleurs, en revenant sur QUIC, c'est peut-être ce qui va
> pouvoir éloigner DNS (legacy, en UDP) du qualificatif de cible
> facile, grâce à DoQ.

DoT ou même le traditionnel DNS sur TCP le faisait déjà. DoQ est une
idée cool mais le groupe de travail QUIC à l'IETF n'est pas
enthousiaste (ils sont très braqués sur HTTP/3 et ne cherchent pas la
domination mondiale en faisant tout passer sur QUIC).

> Perso, je verrais bien les serveurs (AXFR, etc) discuter entre eux
> en DoQ et la partie client (resolution) passer majoritairement en
> DoH... et DoT disparaîtrait de sa belle mort.

Ce serait dommage car DoT est techniquement plus raisonnable que
DoH. (Mais, si on prend en compte non pas ce que je préfère, mais ce
qui a le plus de chances d'être déployé, en effet, DoH gagnera sans
doute puisqu'il est plus difficile à bloquer.)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-04 Par sujet Philippe Bourcier 
Re,

>> C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture
>> de HTTP (HTTP/3) risque bien d'être en UDP...
> 
> Bon, alors, come Michel Py est indisponible, je vais le remplacer :
> cette phrase est la plus mauvaise présentation de QUIC possible et
> elle est très trompeuse. Oui, QUIC tourne sur UDP (et HTTP/3 tourne
> sur QUIC) mais c'est uniquement pour passer ces connes de
> middleboxes. (Conceptuellement, QUIC pourrait parfaitement tourner sur
> IP.) QUIC est bien plus proche de TCP et inclut tout ce qu'il faut,
> test de retournabilité (et donc protection contre l'usurpation
> d'adresse IP), contrôle de congestion, etc.

Merci pour cette précision qui me permet d'ailleurs de corriger ceci :
"Pas possible en UDP, mais le handshake est passé en L7, avec la négo TLS."

Grâce à QUIC, le handshake (équivalent à celui de TCP) est en fait passé au 
Layer 4 et non au Layer 7... puis, il y a aussi un 2e handshake au L5/L7 avec 
la négo TLS. Bref, tout ça pour dire qu'il n'est pas né l'outil de DDoS qui 
pourra faire de l'amplification avec HTTP/3...

Et d'ailleurs, en revenant sur QUIC, c'est peut-être ce qui va pouvoir éloigner 
DNS (legacy, en UDP) du qualificatif de cible facile, grâce à DoQ.

Qu'en penses-tu Stéphane ?
DoQ, DoH, tu parierais sur qui ?

Perso, je verrais bien les serveurs (AXFR, etc) discuter entre eux en DoQ et la 
partie client (resolution) passer majoritairement en DoH... et DoT 
disparaîtrait de sa belle mort.


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-04 Par sujet Stephane Bortzmeyer 
On Thu, Sep 03, 2020 at 04:54:46PM +0200,
 Olivier Cochard-Labbé  wrote 
 a message of 48 lines which said:

> Une solution facile est d'embarquer ta propre pile TCP modernisée
> dans ton logiciel client qui lui va encapsuler le tout dans de l'UDP
> en sortie pour limiter l'overhead.

C'est aussi l'idée derrière QUIC mais attention, si chacun et son
chien se croit capable de faire du TCP « optimisé », il y a un risque
sérieux d'écrouler l'Internet. Le contrôle de congestion, ce n'est pas
facile ! 

On serait vendredi, je proposerais la création d'un diplôme autorisant
à écrire du code TCP, avec interdiction de déploiement de ce qui n'a
pas été écrit par des diplômés.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-04 Par sujet Stephane Bortzmeyer 
On Thu, Sep 03, 2020 at 12:23:20PM +0200,
 Fabien H  wrote 
 a message of 52 lines which said:

> Par contre, ils ont refait dans HTTP/3 les mécanismes de protection
> d'usurpation d'IP et de retransmission de TCP ?

Évidement. C'est pour ça que dire « HTTP/3 tourne sur UDP » est
extrêmement trompeur, voire trollesque. C'est aussi absurde
techniquement que de dire « mon Dieu, HTTP tourne sur IP, qui n'a pas
de contrôle de congestion ».


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-04 Par sujet Stephane Bortzmeyer 
On Thu, Sep 03, 2020 at 08:15:01AM +,
 Philippe Bourcier  wrote 
 a message of 33 lines which said:

> C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture
> de HTTP (HTTP/3) risque bien d'être en UDP...

Bon, alors, come Michel Py est indisponible, je vais le remplacer :
cette phrase est la plus mauvaise présentation de QUIC possible et
elle est très trompeuse. Oui, QUIC tourne sur UDP (et HTTP/3 tourne
sur QUIC) mais c'est uniquement pour passer ces connes de
middleboxes. (Conceptuellement, QUIC pourrait parfaitement tourner sur
IP.) QUIC est bien plus proche de TCP et inclut tout ce qu'il faut,
test de retournabilité (et donc protection contre l'usurpation
d'adresse IP), contrôle de congestion, etc.

SCTP avait le même problème, et peut tourner sur UDP pour exactement
la même raison . Et pourtant
personne n'aurait l'idée de dire que SCTP est UDP !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Fabien VINCENT FrNOG via frnog 




Le 03-09-2020 13:56, Fabien VINCENT FrNOG  via frnog a écrit :

Le 03-09-2020 10:15, Philippe Bourcier a écrit :

Re,


@Stephane : OK pour BCP 38 effectivement !


+1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est
toujours pas fait partout.


@Stephane, oui pour DNS, mais malheureusement l'imagination est sans
limite pour trouver des nouveaux services d'amplification ..


C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de
HTTP (HTTP/3) risque bien
d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur
Internet vu à quel point
ce seul protocole est ultra-majoritaire et va continuer de l'être.



Ha j'allais dire la même chose sur HTTP/3 (y a eu un très bon thread
sur NaNOG la dessus, hormis les trolls, sur la classification de
QUIC/HTTP/3 comme un DDoS chez Verizon si je me souviens bien, en gros
la personne regarde youtube sous Chrome et il obtient un débit tout
pourri)


Avec le lien et la correction, ce n'est pas Verizon, mais AT

https://www.mail-archive.com/nanog@nanog.org/msg105413.html



Bizarrement, je ne suis pas sur que TCP devienne la mode, je dirais
que c'est globalement l'inverse se produit. On utilise de plus en plus
UDP pour s'affranchir des problématiques de SlowStart (voir pour
encapsuler, cf VxLAN).

Bref, la fin d'UDP (et donc des DDoS avec spoof de la source) c'est
pas pour demain.

Globalement, il y a des choses à faire avec BCP 38, possiblement
FlowSpec (mais l'actualité va pas nous aider, et les mesures FlowSpec
inter AS, c'est compliqué IMHO), mais rien à mes yeux de globalement
applicable partout. Ca reste du bon vouloir des gens, et il est existe
quand même pas mal de moyens aujourd'hui de s'en prémunir (les gros
opérateurs proposant des services de miti auto).




Cordialement,
--
Philippe Bourcier
web : http://sysctl.org
blog : https://www.linkedin.com/today/author/philippebourcier

Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Fabien VINCENT
_@beufanet_


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Fabien VINCENT FrNOG via frnog 




Le 03-09-2020 10:15, Philippe Bourcier a écrit :

Re,


@Stephane : OK pour BCP 38 effectivement !


+1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est
toujours pas fait partout.


@Stephane, oui pour DNS, mais malheureusement l'imagination est sans
limite pour trouver des nouveaux services d'amplification ..


C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de
HTTP (HTTP/3) risque bien
d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur
Internet vu à quel point
ce seul protocole est ultra-majoritaire et va continuer de l'être.



Ha j'allais dire la même chose sur HTTP/3 (y a eu un très bon thread sur 
NaNOG la dessus, hormis les trolls, sur la classification de QUIC/HTTP/3 
comme un DDoS chez Verizon si je me souviens bien, en gros la personne 
regarde youtube sous Chrome et il obtient un débit tout pourri)


Bizarrement, je ne suis pas sur que TCP devienne la mode, je dirais que 
c'est globalement l'inverse se produit. On utilise de plus en plus UDP 
pour s'affranchir des problématiques de SlowStart (voir pour encapsuler, 
cf VxLAN).


Bref, la fin d'UDP (et donc des DDoS avec spoof de la source) c'est pas 
pour demain.


Globalement, il y a des choses à faire avec BCP 38, possiblement 
FlowSpec (mais l'actualité va pas nous aider, et les mesures FlowSpec 
inter AS, c'est compliqué IMHO), mais rien à mes yeux de globalement 
applicable partout. Ca reste du bon vouloir des gens, et il est existe 
quand même pas mal de moyens aujourd'hui de s'en prémunir (les gros 
opérateurs proposant des services de miti auto).





Cordialement,
--
Philippe Bourcier
web : http://sysctl.org
blog : https://www.linkedin.com/today/author/philippebourcier

Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Fabien VINCENT
_@beufanet_


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Philippe Bourcier 
Re,

> Par contre, ils ont refait dans HTTP/3 les mécanismes de protection
> d'usurpation d'IP

On parle de quoi (SYN/ACK ?) ?
Pas possible en UDP, mais le handshake est passé en L7, avec la négo TLS.

> et de retransmission de TCP ?

Oui, j'imagine qu'il y a un mécanisme de CRC pour gérer pertes et 
retransmission.
Lire la spec de QUICK (Google) pour voir comment c'est fait...


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Fabien H 
Aie

Par contre, ils ont refait dans HTTP/3 les mécanismes de protection
d'usurpation d'IP et de retransmission de TCP ?

Si c'est le cas, c'est un peu balot ..


Le jeu. 3 sept. 2020 à 10:16, Philippe Bourcier  a
écrit :

> Re,
>
> > @Stephane : OK pour BCP 38 effectivement !
>
> +1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est
> toujours pas fait partout.
>
> >> @Stephane, oui pour DNS, mais malheureusement l'imagination est sans
> >> limite pour trouver des nouveaux services d'amplification ..
>
> C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de HTTP
> (HTTP/3) risque bien
> d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur
> Internet vu à quel point
> ce seul protocole est ultra-majoritaire et va continuer de l'être.
>
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org
> blog : https://www.linkedin.com/today/author/philippebourcier
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Dominique Rousseau 
Le Thu, Sep 03, 2020 at 08:15:01AM +, Philippe Bourcier 
[phili...@frnog.org] a écrit:
> Re,
> 
> > @Stephane : OK pour BCP 38 effectivement !
> 
> +1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est
> toujours pas fait partout.
> 
> >> @Stephane, oui pour DNS, mais malheureusement l'imagination est
> >> sans limite pour trouver des nouveaux services d'amplification ..
> 
> C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de
> HTTP (HTTP/3) risque bien d'être en UDP... Ce sera potentiellement le
> début de la fin de TCP sur Internet vu à quel point ce seul protocole
> est ultra-majoritaire et va continuer de l'être.

Entre les problèmes de MTU, les firewalls legacy, et la foultitude de
serveurs qui resteront à ne parler que HTTP/1.1 le fallback sur TCP va
rester un moment, je pense :)


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Philippe Bourcier 
Re,

> @Stephane : OK pour BCP 38 effectivement !

+1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est toujours 
pas fait partout.

>> @Stephane, oui pour DNS, mais malheureusement l'imagination est sans
>> limite pour trouver des nouveaux services d'amplification ..

C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de HTTP 
(HTTP/3) risque bien
d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur Internet 
vu à quel point
ce seul protocole est ultra-majoritaire et va continuer de l'être.


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org
blog : https://www.linkedin.com/today/author/philippebourcier

Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Fabien H 
@Stephane : OK pour BCP 38 effectivement !

Le jeu. 3 sept. 2020 à 10:04, Fabien H  a écrit :

> @Stephane, oui pour DNS, mais malheureusement l'imagination est sans
> limite pour trouver des nouveaux services d'amplification ..
>
> Le jeu. 3 sept. 2020 à 10:02, Stephane Bortzmeyer  a
> écrit :
>
>> On Thu, Sep 03, 2020 at 09:48:42AM +0200,
>>  Fabien H  wrote
>>  a message of 45 lines which said:
>>
>> > Ma question est simple et innocente : si tous les opérateurs
>> > mondiaux (et notamment les hébergeurs de serveurs VPS mais pas que)
>> > se mettaient d'accord sur des ACL (voir QoS rate limit sur certains
>> > flux UDP) bien pensées à appliquer en routeurs de bordure, peut-être
>> > pourrait on endiguer le phénomène ?
>>
>> Si, déjà, ils pouvaient appliquer BCP 38, on résoudrait une grande
>> partie du problème.
>>
>> Pour le reste, les limiteurs de trafic, outre la charge qu'ils
>> représentent pour les routeurs (car il faut un état, ce qui rend le
>> routeur vulnérable à une autre DoS), sont difficiles à régler : le
>> seuil sera trop haut pour la majorité des utilisateurs et trop bas
>> pour ceux qui font de l'UDP intensif.
>>
>> > Cela parait donc compromis. Mais n'y a t'il vraiment aucune solution
>> > technique simple et efficace si tout le monde se mettait d'accord en
>> > permettant malgré tout l'utilisation raisonnée des services UDP sur
>> > Internet ?
>>
>> L'IA ?
>>
>> > L'évolution du protocole UDP est bien entendue exclue, ça parait
>> totalement
>> > impossible.
>>
>> D'UDP oui, mais pas du DNS. DoT, DoH et le futur DoQ limitent pas
>> mal le problème.
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Fabien H 
@Stephane, oui pour DNS, mais malheureusement l'imagination est sans limite
pour trouver des nouveaux services d'amplification ..

Le jeu. 3 sept. 2020 à 10:02, Stephane Bortzmeyer  a
écrit :

> On Thu, Sep 03, 2020 at 09:48:42AM +0200,
>  Fabien H  wrote
>  a message of 45 lines which said:
>
> > Ma question est simple et innocente : si tous les opérateurs
> > mondiaux (et notamment les hébergeurs de serveurs VPS mais pas que)
> > se mettaient d'accord sur des ACL (voir QoS rate limit sur certains
> > flux UDP) bien pensées à appliquer en routeurs de bordure, peut-être
> > pourrait on endiguer le phénomène ?
>
> Si, déjà, ils pouvaient appliquer BCP 38, on résoudrait une grande
> partie du problème.
>
> Pour le reste, les limiteurs de trafic, outre la charge qu'ils
> représentent pour les routeurs (car il faut un état, ce qui rend le
> routeur vulnérable à une autre DoS), sont difficiles à régler : le
> seuil sera trop haut pour la majorité des utilisateurs et trop bas
> pour ceux qui font de l'UDP intensif.
>
> > Cela parait donc compromis. Mais n'y a t'il vraiment aucune solution
> > technique simple et efficace si tout le monde se mettait d'accord en
> > permettant malgré tout l'utilisation raisonnée des services UDP sur
> > Internet ?
>
> L'IA ?
>
> > L'évolution du protocole UDP est bien entendue exclue, ça parait
> totalement
> > impossible.
>
> D'UDP oui, mais pas du DNS. DoT, DoH et le futur DoQ limitent pas
> mal le problème.
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Stephane Bortzmeyer 
On Thu, Sep 03, 2020 at 09:56:44AM +0200,
 Mathias  wrote 
 a message of 59 lines which said:

> Une évolution protocolaire intéressante est SCTP, mais la mise en oeuvre est
> rare.

Puisqu'on parle de neutralité, quel pourcentage des box des FAI
français laisse passer SCTP en IPv4 ? (C'est sans doute mieux en
IPv6.)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

2020-09-03 Par sujet Stephane Bortzmeyer 
On Thu, Sep 03, 2020 at 09:48:42AM +0200,
 Fabien H  wrote 
 a message of 45 lines which said:

> Ma question est simple et innocente : si tous les opérateurs
> mondiaux (et notamment les hébergeurs de serveurs VPS mais pas que)
> se mettaient d'accord sur des ACL (voir QoS rate limit sur certains
> flux UDP) bien pensées à appliquer en routeurs de bordure, peut-être
> pourrait on endiguer le phénomène ?

Si, déjà, ils pouvaient appliquer BCP 38, on résoudrait une grande
partie du problème. 

Pour le reste, les limiteurs de trafic, outre la charge qu'ils
représentent pour les routeurs (car il faut un état, ce qui rend le
routeur vulnérable à une autre DoS), sont difficiles à régler : le
seuil sera trop haut pour la majorité des utilisateurs et trop bas
pour ceux qui font de l'UDP intensif.

> Cela parait donc compromis. Mais n'y a t'il vraiment aucune solution
> technique simple et efficace si tout le monde se mettait d'accord en
> permettant malgré tout l'utilisation raisonnée des services UDP sur
> Internet ?

L'IA ?

> L'évolution du protocole UDP est bien entendue exclue, ça parait totalement
> impossible.

D'UDP oui, mais pas du DNS. DoT, DoH et le futur DoQ limitent pas
mal le problème.


---
Liste de diffusion du FRnOG
http://www.frnog.org/