Hello,
D'un point de vu plus pratique, un opérateur de transit ne propose pas ce
genre de service en standard.
Nous fournissons des communautés de blackhole ou nous blackholons le
trafic lorsque cela est vraiment ultra justifié. Le blackhole sur un
réseau opérateur impacte l'ensemble de ses autre
Bonsoir Antoine,
Vous êtes juriste ?
Chinois peut-être :-) ?
Si l'on prend un exemple d'une entreprise ayant des échanges commerciaux ou à
caractères confidentiels, je pense qu'elle n'aimerait pas trop que son trafic
fasse un petit tour sur un plate-forme prenant des engagements vagues ou
dép
Ca se discute.
Ici, l'OP n'a pas précisé quels liens étaient saturés.
J'assume qu'il parlait de ses propres liens à lui (l'uplink avec ses 2
upstreams) et non pas les liens de ses opérateurs upstream, qui doivent
être un peu plus costauds.
Ainsi, s'il fait dropper par ses upstreams le trafic 80
Bonjour à tous et bonnes fêtes,
Quand l'attaque est à la vitesse des liens, il n'est plus possible de
filtrer avec quoi que ce soit. La cible doit être null routée au niveau
des opérateurs (via une communauté BGP spéciale).
La seule solution qui reste est d'utiliser un CDN couplé à des serveurs
On 12/26/11 12:04 PM, Charles Delorme wrote:
> Bonjour,
>
> Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de
> service depuis dimanche matin 7h heure locale. La très grosse majorité des
> paquets est en udp/80 à destination de nos deux liens, completel
> (213.30.14
'soir,
Le 26 décembre 2011 17:35, Texier, Matthieu a écrit :
> Argument tout a fait recevable et même, pour ce qui est la législation
> Française, juridiquement recevable … sauf erreur de ma part, un trafic
> entré en France n'est pas sensé aller faire un petit tour aux US ou
> ailleurs et reven
Hello,
Le 26 décembre 2011 16:44, François-Frédéric Ozog a écrit :
> A supposer qu'il existe une offre de "firewall virtuel" par abonné avec
> self-provisioning. Quels seraient les services à offrir (à part bien sûr le
> minimum syndical façon blocage de port)
> - blocage d'URL à destination de
Argument tout a fait recevable et même, pour ce qui est la législation
Française, juridiquement recevable … sauf erreur de ma part, un trafic entré en
France n'est pas sensé aller faire un petit tour aux US ou ailleurs et revenir…
Si il y a des juristes dans cette liste de diffusion, ils pourron
blocage d'AS? Pays ?
>
> François-Frédéric
>
>
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
> Texier, Matthieu
> Envoyé : lundi 26 décembre 2011 15:10
> À : Alexis Savin
> Cc : Thomas Mangin;
J'avais vaguement entendu parler de ce genre d'offre, il me semble
d'ailleurs qu'il existe d'autres acteurs que Prolexic.
Cependant, je trouve dommage de devoir re-router son trafic vers un tiers
(de confiance ?) jouant le rôle d'intermédiaire.
Implémenter une solution plus ou moins automatisée à
J ai une question qui peut sembler idiote car je ne sais pas quels sont les
services impactés et quelles en sont les utilisations mais rendre les services
down (eteindre tout par exemple, blacklister les ip turcs) ne me semble pas
etre une option ayatolesque.
Ensuite ce n est pas forcement une s
Pays ?
François-Frédéric
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
Texier, Matthieu
Envoyé : lundi 26 décembre 2011 15:10
À : Alexis Savin
Cc : Thomas Mangin; Charles Delorme; frnog-al...@frnog.org; sys...@senat.fr
Objet : Re: [FRn
Alexis,
Une des societe specialise est Prolexic, Jay Coley parle souvent de ce qu'il
voit comme attaques a LINX, EFP, GPF, ...
Les informations présentées ne sont normalement pas publiques (Prolexic ne voit
pas de raison de former l'industrie qu'ils combattent).
Un peu d'info dans https://www
Si tu as des exemples à citer, je pense que nombre d'entre nous sera
preneur, ne serait-ce qu'à titre informatif.
2011/12/26 Texier, Matthieu
> C'est pour cela qu'il me semble sain de s'appuyer sur une offre de service
> opérateur spécialisé qui donne un engament de SLA associé.
>
> Des opérateu
C'est pour cela qu'il me semble sain de s'appuyer sur une offre de service
opérateur spécialisé qui donne un engament de SLA associé.
Des opérateurs proposent ce type de service et s'appuient pour cela sur une
structure type SoC mettant à disposition des outils et des experts dans le
domaine.
Flow spec, c'est bien beau, mais tant que le client ne peut pas activer
seul le filtrage il est difficile de l'exploiter de façon efficace, les
attaquant étant généralement très réactifs et les services opérateurs lents
à la détente...
Enfin, quels sont les opérateurs à l'exploiter réellement ? Et
utefois guère à
régler le problème.
GRM
-Original Message-
From: hadesis...@gmail.com [mailto:hadesis...@gmail.com] On Behalf Of Alexis
Savin
Sent: lundi 26 décembre 2011 12:47
To: Damien Fleuriot
Cc: frnog@frnog.org
Subject: Re: [FRnOG] [ALERT] Attaque en déni de service en cours
Ou
Voila un réponse qui me semble faire preuve d'expérience :-) !
Sans compter que nos amis attaquants font souvent preuve d'une malice certaine
et emmenant les administrateurs réseaux dans une direction afin de masquer une
autre action mené en parallèle au niveau L7.
Les attaques sont de plus en
Cela dépend surtout du profil de l'attaque. Pour un UDP flood sur un serveur
web, un fournisseur qui peux ajouter un filtre flowspec sur ses connections
EBGP ça aide surement beaucoup.
Face a une attaque sur le L7 - la vie devient très dure ...
Thomas
On 26 Dec 2011, at 13:08, Texier, Matthieu
Je rajoute ma pierre à l'édifice au lieu d'ouvrir un autre topic.
Depuis le 23/12, c'est la déferlante, on a rarement vu ça depuis 5 ans
qu'on existe.
DDOS UDP hier sur port aléatoire, non saturé mais qui a bien pourrit les
graph et les soirées de nos clients.
Et aujourd'hui, du scan sévère
Oui c'est très bien.
On Dec 26, 2011, at 2:08 PM, Texier, Matthieu wrote:
> L'ideal de ce genre de situation serait d'avoir souscrit à un service de
> détection et de mitigation d'attaque auprès de ses fournisseurs d'accès
> Internet.
>
> Le blackhole BGP étant techniquement une approche valid
Le 26 décembre 2011 14:08, Texier, Matthieu a écrit :
> BGP flow spec n'est applicable que rarement sur les attaques distribuées ou à
> base d'IP spoofées. Je n'ai bien peur que seul un boitier de mitigation placé
> dans l'infrastructure du carrier ne puisse vous sortir de cette situation
> san
L'ideal de ce genre de situation serait d'avoir souscrit à un service de
détection et de mitigation d'attaque auprès de ses fournisseurs d'accès
Internet.
Le blackhole BGP étant techniquement une approche valide mais donnant raison
aux attaquants. BGP flow spec n'est applicable que rarement sur
On 26 Dec 2011, at 11:27, Alexis Savin wrote:
> Quelques techniques sont pourtant intéressantes à étudier, la plus
> intéressante étant celle du "remote triggered black-hole" pour peu que
> l'opérateur le supporte (http://tools.ietf.org/html/rfc5635).
Au cas ou vous auriez rate la présentation -
IMHO, pour dropper 80/udp, le mieux que tu puisses faire c'est te
rapprocher des NOCs de tes upstreams (completel / GBLX) et leur demander
de le dropper à destination de tes supernets/subnets.
On 12/26/11 12:47 PM, Charles Delorme wrote:
> Merci pour vos suggestions.
>
> Ma priorité est effecti
Oui, il faut bien comprendre que de toute façon, le service est down mais
que l'attaque impacte toute une plateforme, down elle aussi du coup. Ce qui
inclus dans l'exemple, les services mail notamment qui pourtant ne sont pas
visés initialement.
Comme dit précédemment, la priorité est de désengorg
Merci pour vos suggestions.
Ma priorité est effectivement de bloquer le traffic udp/80 en amont de mes
liens. Les équipements en tête de réseau supportent bien la charge mais ce sont
les liens qui saturent.
Damien Fleuriot a écrit :
Bah oui mais du coup il va se couper le service tout seul
Bah oui mais du coup il va se couper le service tout seul, certes
seulement vers l'IP cible mais l'attaque aura réussi.
Vu que la plupart du trafic semble être de l'UDP 80, est-ce qu'il aurait
pas plus rapide de dropper ça par ses upstreams ?
On 12/26/11 12:33 PM, Alexis Savin wrote:
> Il ne s'a
Il ne s'agit pas de bloquer les sources, mais le trafic à destination de
l'ip attaquée, le temps que l'attaque cesse.
La priorité lors d'une attaque comme celle-ci est de désengorger ses tuyaux
pour rétablir le plus de services possible.
2011/12/26 Damien Fleuriot
> S'agissant très probablement
S'agissant très probablement d'IPs spoofées, je le vois mal blackholer
200k /32 générées aléatoirement ?
Nan parce qu'au bout d'un moment le routeur upstream va en avoir marre,
déjà, et ensuite au bout d'un moment ça va bloquer des vrais clients
légitimes qui auront eu la malchance que leur IP soi
Bonjour,
Un grand classique, surement déjà vécu par beaucoup ici.
Et malheureusement peu d'options efficaces.
Quelques techniques sont pourtant intéressantes à étudier, la plus
intéressante étant celle du "remote triggered black-hole" pour peu que
l'opérateur le supporte (http://tools.ietf.org/h
On 12/26/11 12:04 PM, Charles Delorme wrote:
> Bonjour,
>
> Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de
> service depuis dimanche matin 7h heure locale. La très grosse majorité des
> paquets est en udp/80 à destination de nos deux liens, completel
> (213.30.14
Nous avons subi ce genre d'attaque également il y a quelques semaines, le
firewall a saturé car les connexions étaient ouvertes très très vites à
priori (peu de logs à cause de la saturation), en tout cas plus vite que ce
que le firewall ne savait traiter.
En bref, 150Mbits/s de trafic inopiné qui
33 matches
Mail list logo
