>> Raphael Mazelier a écrit :
>> Sinon vu que tu te fais quand même attaquer souvent je pense que prendre un
>> transit
>> qui propose une vrai solution de filtrage anti ddos sera un bon
>> investissement.
> Thierry Chich a écrit :
> Tout à fait. D'autant que toute cette histoire de DDoS sur ba
Bonjour,
Ce type d’attaque par DNS amplification peut se bloquer avec une ACL ou filtre
Flowspec bien senti car souvent ces attaques on des paquets DNS assez gros et
fragmentés.
Avec Flowspec tu peux dropper ça en identifiant le trafic DNS fragmenté avec le
Fragmentation bitmask :
Drop UDP sour
Bonjour,
Le mercredi 27 septembre 2017, 22:57:08 CEST Raphael Mazelier a écrit :
> Yep c'est une technique. (et cogent doit faire).
> Ceci dit il faut que ton trafic in passe déjà naturellement par le
> transitaire qui te fournit le port poubelle. Si n'est pas le cas tu es
> obligé de désagréger
Pardon Michel, je suis d'accord, je voulais juste dire que c'était un chouilla
mieux que juste null-router la cible et/ou la source.
Le 28 sept. 2017 à 19:07, Michel Py a écrit :
>> Vincent a écrit :
>> - Maj et entretien des systèmes. On est mal barré avec tous ces IoTs, box
>> foireuses,
>> t
> Vincent a écrit :
> - Maj et entretien des systèmes. On est mal barré avec tous ces IoTs, box
> foireuses,
> telephone non maintenu, chinoiserie. Les windows XP deviennent le cadet de
> nos soucis.
Cà c'est clair, et çà va devenir pire.
> David Ponzone a écrit :
> D'où l'intérêt d'uRPF.
Cec
> - On ne peut plus vraiment nullrouté la cible. Solution qui permet de
> préserver le reste. Les transits sont aussi content s'ils font passer
> l'information, c'est ça en moins sur leur réseau aussi. Un filtrage
> efficace devient nécessaire et nécessite d'en avoir une plus grosse que
> l'attaqua
Le 27/09/2017 à 23:36, Jeremy a écrit :
> Mais le coté random des IP ciblés toutes les 5 secondes,
Cela m’inquiète beaucoup le côté aléatoire des cibles. Pour deux raisons:
- On ne peut plus vraiment nullrouté la cible. Solution qui permet de
préserver le reste. Les transits sont aussi content s
>> Michel Py a écrit :
>> - Combien il y a de hosts (Mikrotik) qui t'attaquent ? D'après
>> ce que je comprends c'est limité en provenance d'un seul AS.
> Jeremy a écrit :
> Beaucoup. On a compté plus de 20k IPv4 différentes. L'AS que j'ai cité
> est le top1 mais il y en a une trentaine de clairem
Beaucoup. On a compté plus de 20k IPv4 différentes. L'AS que j'ai cité
est le top1 mais il y en a une trentaine de clairement identifiés.
Notre filter est capable de traiter la taille de packets. Mais le coté
random des IP ciblés toutes les 5 secondes, et l'importance du flux
l'ont fait un peu
Yep c'est une technique. (et cogent doit faire).
Ceci dit il faut que ton trafic in passe déjà naturellement par le
transitaire qui te fournit le port poubelle. Si n'est pas le cas tu es
obligé de désagréger, ce qui est pénible si le ddoseur s'amuse à faire
du random.
Sinon vu que tu te fais
Je viens de penser à une bidouille BGP.
T’as pas moyen (avec des communautés) de prepender chez cogent pour l’AS
de chinanet et faire passer l’attaque par un transitaire qui a de quoi
gérer un DDoS ?
--
alarig
signature.asc
Description: PGP signature
> Jeremy a écrit :
> Depuis quelques jours, nous recevons de nombreuses attaques semblant provenir
> d'un bot commandé (probablement
> un booter payant facturé à l'heure). On a relevé énormément de routeurs
> Mikrotik pas à jour qui sont commandés
> pour faire de l'amplification DNS avec spoofing
Yop Jérémy,
on a déjà eu ca … y a longtemps ;)
tant que tu n’as pas la capa de transit pour absorber tout l’entrant, tu n’as
pas bcp de choix … (la course à la plus grosse …)
pour moi, dans ton cas, le plus simple/meilleur compromis c’est encore d’avoir
un port de transit en entrant qui ne ser
Oui en effet, le proxy DNS mikrotik qui n'intègre pas d'ACL et qu'il
faut donc limiter par le firewall.
Ah moins qu'on fasse référence à une autre faille de sécu ? si oui
laquelle ? quelle version ?
Même suggestion à Mikrotik si ils lisent la liste. Donner la possibilité
d'ACL dans la conf D
On mer. 27 sept. 10:49:42 2017, Radu-Adrian Feurdean wrote:
> On Wed, Sep 27, 2017, at 09:53, Alarig Le Lay wrote:
> > Et si tu nullroute tout Chinanet dessus ?
> > Ça n’allégera pas le transit, mais ça permettra au moins au reste de
> > respirer.
>
> Ca fonctionne en sortie, mais pas en entree...
Si le Watchguard sait faire de l'uRPF, ça filtrera, mais ça va pas désengorger
le tuyau.
Le 27 sept. 2017 à 10:49, Radu-Adrian Feurdean a écrit :
> On Wed, Sep 27, 2017, at 09:53, Alarig Le Lay wrote:
>> Et si tu nullroute tout Chinanet dessus ?
>> Ça n’allégera pas le transit, mais ça permettr
On Wed, Sep 27, 2017, at 09:53, Alarig Le Lay wrote:
> Et si tu nullroute tout Chinanet dessus ?
> Ça n’allégera pas le transit, mais ça permettra au moins au reste de
> respirer.
Ca fonctionne en sortie, mais pas en entree...
---
Liste de diffusion du FRnOG
http://www.fr
e collecte. Ca a fait déjà un
> bon gros ménage. Le reste, on traite manuellement.
>
> Julien
>
> - Mail original -
> De: "David Ponzone"
> À: "Jeremy"
> Cc: "frnog-tech"
> Envoyé: Mardi 26 Septembre 2017 23:40:05
> Objet:
llecte. Ca a fait déjà un bon
gros ménage. Le reste, on traite manuellement.
Julien
- Mail original -
De: "David Ponzone"
À: "Jeremy"
Cc: "frnog-tech"
Envoyé: Mardi 26 Septembre 2017 23:40:05
Objet: Re: [FRnOG][TECH] Attaques en série
Oui, si j'
On mar. 26 sept. 22:38:33 2017, Jeremy wrote:
> Nop, pas d'antiddos chez Cogent...
> On a un routeur en MITM (Wanguard Filter BGP) mais bon, même si il est
> costaux, il en peu plus là ...
Et si tu nullroute tout Chinanet dessus ?
Ça n’allégera pas le transit, mais ça permettra au moins au reste d
Oui, si j'en crois:
http://www.cogentco.com/files/docs/customer_service/guide/global_cogent_customer_user_guide.pdf
Y a pas grand chose à part arrêter d'annoncer tes préfixes à leurs peers et
clients :)
Bon, comme ton problème est de nettoyer ton lien 10G au départ de Cogent pour
le désaturer,
Le plus simple serait de faire un blackhole pour refuser les routes d'un
AS spécifique. (ChinaNet comme d'hab... AS4134).
Le problème c'est que Cogent ne propose pas -à ma connaissance- de leur
envoyer une communauté pour blackholer les routes provenant d'un AS.
Le 26/09/2017 à 22:50, David Po
Tu peux pas l'alléger en filtrant de manière statique les blocs d'IP source les
plus fréquents ?
Le 26 sept. 2017 à 22:38, Jeremy a écrit :
> Nop, pas d'antiddos chez Cogent...
> On a un routeur en MITM (Wanguard Filter BGP) mais bon, même si il est
> costaux, il en peu plus là ...
>
> Le 26/
Nop, pas d'antiddos chez Cogent...
On a un routeur en MITM (Wanguard Filter BGP) mais bon, même si il est
costaux, il en peu plus là ...
Le 26/09/2017 à 22:34, David Ponzone a écrit :
Y a pas des origines géographiques que tu pourrais filtrer en inbound en
ajoutant un routeur MITM (Linux par
Y a pas des origines géographiques que tu pourrais filtrer en inbound en
ajoutant un routeur MITM (Linux par exemple) pour nettoyer un peu ?
Pas d'offre anti-DDoS chez Cogent ?
Le 26 sept. 2017 à 22:23, Jeremy a écrit :
> C'est du "tout ou rien" chez Cogent. Soit il bloque tout ce qui passe sur
C'est du "tout ou rien" chez Cogent. Soit il bloque tout ce qui passe
sur le port 53, soit ils bloquent rien. Pas possible de faire des ACL
excluant nos serveurs dns par exemple :(
Là, l'attaque vient de changer, elle cible notre site public. Pour le
coup, je m'en fou tant que mes clients sont t
J'ai peut-être raté un truc mais si tu demandes à Cogent de filtrer les paquets
en outbound vers ton port 53, sauf pour tes DNS, ça limite pas la casse ?
J'ai cru comprendre que tes DNS n'étaient pas la cible, donc ça doit le faire.
Le 26 sept. 2017 à 22:08, Jeremy a écrit :
> Bonjour,
>
> Depu
Bonjour,
Depuis quelques jours, nous recevons de nombreuses attaques semblant
provenir d'un bot commandé (probablement un booter payant facturé à
l'heure). On a relevé énormément de routeurs Mikrotik pas à jour qui
sont commandés pour faire de l'amplification DNS avec spoofing. On
tourne auto
28 matches
Mail list logo