Re: [FRnOG] [ALERT] Ralentissements chez Axione
On Wed, Feb 12, 2014 at 08:57:27PM +0100, Thierry Del-Monte wrote: Je trouve que c'est une excellente idée, merci Thomas de penser à la communauté et de réaliser ce partage. Je suis certain que plusieurs d'entre nous suivront de près les avancées de ce projet ! +10, on manque vraiment de solution libre pour ça (à part bidouiller des scripts sur nfdump). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
Le Wed, Feb 12, 2014 at 07:01:10PM +, Thomas Mangin [thomas.man...@exa-networks.co.uk] a écrit: [...] Au résultat la communauté aura une solution de réponse aux DDOS. Et moi, avec du bol, des contributions qui m'aideront aussi. Et tu as bien raison ! Merci Thomas pour les outils que tu as déjà développés et publiés. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
Nous constatons également ça, nous venons de faire tomber la session BGP Axione du coup en passant par un autre transitaire ça fonctionne correctement. Je suspecte Neo telecom d'être derrière le problème... Cédric OCEANET --- [AGENCE DU MANS] 7, rue des Frênes ZAC de la Pointe 72190 SARGE LES LE MANS [t] +33 (0)2.43.50.26.50 [f] +33 (0)2.43.72.21.14 [AGENCE D'ANGERS] 5, rue Fleming Angers Technopole 49066 ANGERS [t] +33 (0)2.41.19.28.65 [f] +33 (0)2.52.19.22.00 http://www.oceanet.com http://www.oceanet-telecom.com Le 12/02/2014 16:33, Claude GUELLEC a écrit : Bonjour, Nous constatons de forts ralentissements en ce moment chez Axione Quelqu'un aurait des infos ? Merci Cordialement Claude Guellec IZZYCOM --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
Incident généralisé chez Axione : n°425598 : Incident Coupure de service - TRANSIT IP AXIONE [Mercredi 12 février 2014] Les lenteurs sont liées à la saturation du lien du secours. Nous n'avons pour le moment pas de délais de rétablissement. CédricLe 12/02/2014 16:33, Claude GUELLEC a écrit : Bonjour, Nous constatons de forts ralentissements en ce moment chez Axione Quelqu'un aurait des infos ? Merci Cordialement Claude Guellec IZZYCOM --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Ralentissements chez Axione
Il y a une coupure fibre entre marcoussis et ponthevrard sur cofiroute. Pas certain que ce soit lié mais ca s'est produit vers 15h00 ... -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de OCEANET - Cédric BASSAGET Envoyé : mercredi 12 février 2014 16:41 À : frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Ralentissements chez Axione Incident généralisé chez Axione : n°425598 : Incident Coupure de service - TRANSIT IP AXIONE [Mercredi 12 février 2014] Les lenteurs sont liées à la saturation du lien du secours. Nous n'avons pour le moment pas de délais de rétablissement. CédricLe 12/02/2014 16:33, Claude GUELLEC a écrit : Bonjour, Nous constatons de forts ralentissements en ce moment chez Axione Quelqu'un aurait des infos ? Merci Cordialement Claude Guellec IZZYCOM --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Ralentissements chez Axione
Je pense que nous sommes toujours dans les conséquences de l'attaque DDoS par amplification NTP http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes-us-europe.a spx -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of OCEANET - Cédric BASSAGET Sent: mercredi 12 février 2014 16:35 To: frnog@frnog.org Subject: Re: [FRnOG] [ALERT] Ralentissements chez Axione Nous constatons également ça, nous venons de faire tomber la session BGP Axione du coup en passant par un autre transitaire ça fonctionne correctement. Je suspecte Neo telecom d'être derrière le problème... Cédric OCEANET --- [AGENCE DU MANS] 7, rue des Frênes ZAC de la Pointe 72190 SARGE LES LE MANS [t] +33 (0)2.43.50.26.50 [f] +33 (0)2.43.72.21.14 [AGENCE D'ANGERS] 5, rue Fleming Angers Technopole 49066 ANGERS [t] +33 (0)2.41.19.28.65 [f] +33 (0)2.52.19.22.00 http://www.oceanet.com http://www.oceanet-telecom.com Le 12/02/2014 16:33, Claude GUELLEC a écrit : Bonjour, Nous constatons de forts ralentissements en ce moment chez Axione Quelqu'un aurait des infos ? Merci Cordialement Claude Guellec IZZYCOM --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
La perte de débit a commencé à 15:00 effectivement Cédric Le 12/02/2014 16:49, Sebastien Maillet a écrit : Il y a une coupure fibre entre marcoussis et ponthevrard sur cofiroute. Pas certain que ce soit lié mais ca s'est produit vers 15h00 ... -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de OCEANET - Cédric BASSAGET Envoyé : mercredi 12 février 2014 16:41 À : frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Ralentissements chez Axione Incident généralisé chez Axione : n°425598 : Incident Coupure de service - TRANSIT IP AXIONE [Mercredi 12 février 2014] Les lenteurs sont liées à la saturation du lien du secours. Nous n'avons pour le moment pas de délais de rétablissement. CédricLe 12/02/2014 16:33, Claude GUELLEC a écrit : Bonjour, Nous constatons de forts ralentissements en ce moment chez Axione Quelqu'un aurait des infos ? Merci Cordialement Claude Guellec IZZYCOM --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
Oui, j'en ai eu ma dose ces dernieres semaines ! Andrisoft a l'air cool mais ca ne fait pas FlowSpec, Arbor c'est trop cher. Je bosse donc sur une solution anti-DDOS (pour complementer ExaBGP) https://github.com/Exa-Networks/exaddos Le code est vieux de quelques jours mais ca permet deja de repérer les attaques en moins de 10 secondes. L'option que je veux c'est le 1 click RTBH / FlowSpec .. ca va venir ... Si quelqu'un est bon en Javascript, je peux faire un moteur IPFIX / SNMP / HTTP facilement mais les UI c'est pas mon truc. Thomas On 12 Feb 2014, at 15:59, MoncefZID zmon...@manaraway.com wrote: Je pense que nous sommes toujours dans les conséquences de l'attaque DDoS par amplification NTP http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes-us-europe.a spx signature.asc Description: Message signed with OpenPGP using GPGMail
RE: [FRnOG] [ALERT] Ralentissements chez Axione
Arbor c'est trop cher c'est relatif Les solutions ARBOR s'adaptent en fonction des besoins -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Thomas Mangin Sent: mercredi 12 février 2014 17:28 To: frnog-ow...@frnog.org Cc: OCEANET - Cédric BASSAGET; frnog@frnog.org FRNOG Subject: Re: [FRnOG] [ALERT] Ralentissements chez Axione Oui, j'en ai eu ma dose ces dernieres semaines ! Andrisoft a l'air cool mais ca ne fait pas FlowSpec, Arbor c'est trop cher. Je bosse donc sur une solution anti-DDOS (pour complementer ExaBGP) https://github.com/Exa-Networks/exaddos Le code est vieux de quelques jours mais ca permet deja de repérer les attaques en moins de 10 secondes. L'option que je veux c'est le 1 click RTBH / FlowSpec .. ca va venir ... Si quelqu'un est bon en Javascript, je peux faire un moteur IPFIX / SNMP / HTTP facilement mais les UI c'est pas mon truc. Thomas On 12 Feb 2014, at 15:59, MoncefZID zmon...@manaraway.com wrote: Je pense que nous sommes toujours dans les conséquences de l'attaque DDoS par amplification NTP http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes-us-eu rope.a spx --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
Marrant de voir tes mails en Anglais sur nanog puis en francais sur frnog Thomas ;) -Original Message- From: Thomas Mangin thomas.man...@exa-networks.co.uk Sender: frnog-requ...@frnog.org Date: Wed, 12 Feb 2014 16:28:07 To: frnog-ow...@frnog.org Cc: OCEANET - Cédric BASSAGETced...@oceanet.com; frnog@frnog.org FRNOGfrnog@frnog.org Subject: Re: [FRnOG] [ALERT] Ralentissements chez Axione Oui, j'en ai eu ma dose ces dernieres semaines ! Andrisoft a l'air cool mais ca ne fait pas FlowSpec, Arbor c'est trop cher. Je bosse donc sur une solution anti-DDOS (pour complementer ExaBGP) https://github.com/Exa-Networks/exaddos Le code est vieux de quelques jours mais ca permet deja de repérer les attaques en moins de 10 secondes. L'option que je veux c'est le 1 click RTBH / FlowSpec .. ca va venir ... Si quelqu'un est bon en Javascript, je peux faire un moteur IPFIX / SNMP / HTTP facilement mais les UI c'est pas mon truc. Thomas On 12 Feb 2014, at 15:59, MoncefZID zmon...@manaraway.com wrote: Je pense que nous sommes toujours dans les conséquences de l'attaque DDoS par amplification NTP http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes-us-europe.a spx --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
Salut, J'ai passe quelques annees sur ExaBGP qui fait FlowSpec. A par des solutions fermees, rien n'est sortie comme UI contre les DDOS. Donc je vais ecrire l'outil .. c'est pour ameliorer mon ROI sur le code :-) Thomas On 12 Feb 2014, at 16:58, MoncefZID zmon...@manaraway.com wrote: Arbor c'est trop cher c'est relatif Les solutions ARBOR s'adaptent en fonction des besoins -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Thomas Mangin Sent: mercredi 12 février 2014 17:28 To: frnog-ow...@frnog.org Cc: OCEANET - Cédric BASSAGET; frnog@frnog.org FRNOG Subject: Re: [FRnOG] [ALERT] Ralentissements chez Axione Oui, j'en ai eu ma dose ces dernieres semaines ! Andrisoft a l'air cool mais ca ne fait pas FlowSpec, Arbor c'est trop cher. Je bosse donc sur une solution anti-DDOS (pour complementer ExaBGP) https://github.com/Exa-Networks/exaddos Le code est vieux de quelques jours mais ca permet deja de repérer les attaques en moins de 10 secondes. L'option que je veux c'est le 1 click RTBH / FlowSpec .. ca va venir ... Si quelqu'un est bon en Javascript, je peux faire un moteur IPFIX / SNMP / HTTP facilement mais les UI c'est pas mon truc. Thomas On 12 Feb 2014, at 15:59, MoncefZID zmon...@manaraway.com wrote: Je pense que nous sommes toujours dans les conséquences de l'attaque DDoS par amplification NTP http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes-us-eu rope.a spx signature.asc Description: Message signed with OpenPGP using GPGMail
RE: [FRnOG] [ALERT] Ralentissements chez Axione
Certaines solutions ont fait et continuent à faire leurs preuves face aux menaces DDoS et le retour sur investissement est mesurable et démontrable. Sur certains sujets de sécurité il est préférable d'investir d'une façon intelligente pour garantir la meilleure protection -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Thomas Mangin Sent: mercredi 12 février 2014 18:02 To: zmon...@manaraway.com Cc: frnog-ow...@frnog.org; OCEANET - Cédric BASSAGET; frnog@frnog.org FRNOG Subject: Re: [FRnOG] [ALERT] Ralentissements chez Axione Salut, J'ai passe quelques annees sur ExaBGP qui fait FlowSpec. A par des solutions fermees, rien n'est sortie comme UI contre les DDOS. Donc je vais ecrire l'outil .. c'est pour ameliorer mon ROI sur le code :-) Thomas On 12 Feb 2014, at 16:58, MoncefZID zmon...@manaraway.com wrote: Arbor c'est trop cher c'est relatif Les solutions ARBOR s'adaptent en fonction des besoins -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Thomas Mangin Sent: mercredi 12 février 2014 17:28 To: frnog-ow...@frnog.org Cc: OCEANET - Cédric BASSAGET; frnog@frnog.org FRNOG Subject: Re: [FRnOG] [ALERT] Ralentissements chez Axione Oui, j'en ai eu ma dose ces dernieres semaines ! Andrisoft a l'air cool mais ca ne fait pas FlowSpec, Arbor c'est trop cher. Je bosse donc sur une solution anti-DDOS (pour complementer ExaBGP) https://github.com/Exa-Networks/exaddos Le code est vieux de quelques jours mais ca permet deja de repérer les attaques en moins de 10 secondes. L'option que je veux c'est le 1 click RTBH / FlowSpec .. ca va venir ... Si quelqu'un est bon en Javascript, je peux faire un moteur IPFIX / SNMP / HTTP facilement mais les UI c'est pas mon truc. Thomas On 12 Feb 2014, at 15:59, MoncefZID zmon...@manaraway.com wrote: Je pense que nous sommes toujours dans les conséquences de l'attaque DDoS par amplification NTP http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes-us-e u rope.a spx --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
Le 12/02/2014 18:16, MoncefZID a écrit : Certaines solutions ont fait et continuent à faire leurs preuves face aux menaces DDoS et le retour sur investissement est mesurable et démontrable. Sur certains sujets de sécurité il est préférable d'investir d'une façon intelligente pour garantir la meilleure protection Et avoir une alternative libre n'est pas une option ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Ralentissements chez Axione
Bonjour, La root cause des ralentissements sur les transit IP Axione livrés en région autre que parisienne est bien une coupure fibre entre TH2 et St Arnoult, on attend des nouvelles sur la réparation de la part de nos fournisseurs d'infra. Thomas -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Thomas Mangin Envoyé : mercredi 12 février 2014 17:28 À : frnog-ow...@frnog.org Cc : OCEANET - Cédric BASSAGET; frnog@frnog.org FRNOG Objet : Re: [FRnOG] [ALERT] Ralentissements chez Axione Oui, j'en ai eu ma dose ces dernieres semaines ! Andrisoft a l'air cool mais ca ne fait pas FlowSpec, Arbor c'est trop cher. Je bosse donc sur une solution anti-DDOS (pour complementer ExaBGP) https://github.com/Exa-Networks/exaddos Le code est vieux de quelques jours mais ca permet deja de repérer les attaques en moins de 10 secondes. L'option que je veux c'est le 1 click RTBH / FlowSpec .. ca va venir ... Si quelqu'un est bon en Javascript, je peux faire un moteur IPFIX / SNMP / HTTP facilement mais les UI c'est pas mon truc. Thomas On 12 Feb 2014, at 15:59, MoncefZID zmon...@manaraway.com wrote: Je pense que nous sommes toujours dans les conséquences de l'attaque DDoS par amplification NTP http://www.itnews.com.au/News/372033,worlds-largest-ddos-strikes-us-eu rope.a spx -- Les donnees et renseignements contenus dans ce message sont personnels, confidentiels et secrets. Toute publication, utilisation ou diffusion, meme partielle, doit etre autorisee. Si vous n'etes pas le bon destinataire, nous vous demandons de ne pas lire, copier, utiliser ou divulguer cette communication. Nous vous prions de notifier cette erreur a l'expediteur et d'effacer immediatement cette communication de votre systeme. Any data and information contained in this electronic mail is personal, confidential and secret. Any total or partial publication, use or distribution must be authorized. If you are not the right addressee, we ask you not to read, copy, use or disclose this communication. Please notify this error to the sender and erase at once this communication from your system. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [ALERT] Ralentissements chez Axione
Bonjour, Raphael Mazelier Et avoir une alternative libre n'est pas une option ? Quesqu'il existe d'ailleurs en libre comme solution pour détecter/mitiger des attaques DDoS ?Le sujet m'intéresse je suis en train de bosser sur le sujet... Merci pour les retours ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Ralentissements chez Axione
On 12 Feb 2014, at 17:16, MoncefZID zmon...@manaraway.com wrote: Certaines solutions ont fait et continuent à faire leurs preuves face aux menaces DDoS et le retour sur investissement est mesurable et démontrable. Sur certains sujets de sécurité il est préférable d'investir d'une façon intelligente pour garantir la meilleure protection Je ne casse pas de sucre sur le dos des solutions propriétaires. Certaines sont surement très bonnes. Mais merci de ne pas insinuer que mon travail n'est bon que pour ceux qui font leur boulot mal en ne donnant pas d'argent a un vendeur. En 10 ans, j'ai eu un total de 1 DDOS .. En 1 moins, j'en ai eu en moyenne une par jour ! Ceci dit, j'ai l'infra qui va bien : - RRD pour grapher mes interfaces - AS-STATS pour savoir quel peers me donne mon trafic - NFSEN pour analyser mes flows - Juniper avec FlowSpec configure pour arrêter les DDOS qui ne font pas plusieurs dizaines de Gbs - RTBH avec mes fournisseurs - Une version interne de ExaDDOS .. Mon problème était que les DDOS étaient de 10-15 mns. Quand le traffic était dans la dizaine de Gbs .. tout allait bien. A plusieurs dizaines de Gb, ca commence a faire vraiment mal, entre l'alerte et la configuration de la règle FlowSpec et/ou RTBH, c'était fini ! Il nous fallait donc un outil plus réactif. Au passage, nous allons aussi grossir notre réseau pour pouvoir encaisser plus. J'aime beaucoup quand je peux simplement filtrer le traffic moi-meme. Je suis sur que les vendeurs auront des solutions bien plus finies, et il y a un jour ou je les inviterai a repondre a une appelle d'offre. Aujourd'hui, je n'en ai pas le besoin. Je pourrais aussi garder ma solution en interne et la faire grossir (je connais de BON FAI avec des solutions anti-DDOS sauce maison), mais j'ai decide de prendre le code et de l'ouvrir. La solution maison est pas jolie, alors au passage ca m'aide aussi de faire ce clean up. Au résultat la communauté aura une solution de réponse aux DDOS. Et moi, avec du bol, des contributions qui m'aideront aussi. Thomas signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [ALERT] Ralentissements chez Axione
Le 12/02/2014 20:01, Thomas Mangin a écrit : On 12 Feb 2014, at 17:16, MoncefZID zmon...@manaraway.com wrote: Certaines solutions ont fait et continuent à faire leurs preuves face aux menaces DDoS et le retour sur investissement est mesurable et démontrable. Sur certains sujets de sécurité il est préférable d'investir d'une façon intelligente pour garantir la meilleure protection Je ne casse pas de sucre sur le dos des solutions propriétaires. Certaines sont surement très bonnes. Mais merci de ne pas insinuer que mon travail n'est bon que pour ceux qui font leur boulot mal en ne donnant pas d'argent a un vendeur. En 10 ans, j'ai eu un total de 1 DDOS .. En 1 moins, j'en ai eu en moyenne une par jour ! Ceci dit, j'ai l'infra qui va bien : - RRD pour grapher mes interfaces - AS-STATS pour savoir quel peers me donne mon trafic - NFSEN pour analyser mes flows - Juniper avec FlowSpec configure pour arrêter les DDOS qui ne font pas plusieurs dizaines de Gbs - RTBH avec mes fournisseurs - Une version interne de ExaDDOS .. Mon problème était que les DDOS étaient de 10-15 mns. Quand le traffic était dans la dizaine de Gbs .. tout allait bien. A plusieurs dizaines de Gb, ca commence a faire vraiment mal, entre l'alerte et la configuration de la règle FlowSpec et/ou RTBH, c'était fini ! Il nous fallait donc un outil plus réactif. Au passage, nous allons aussi grossir notre réseau pour pouvoir encaisser plus. J'aime beaucoup quand je peux simplement filtrer le traffic moi-meme. Je suis sur que les vendeurs auront des solutions bien plus finies, et il y a un jour ou je les inviterai a repondre a une appelle d'offre. Aujourd'hui, je n'en ai pas le besoin. Je pourrais aussi garder ma solution en interne et la faire grossir (je connais de BON FAI avec des solutions anti-DDOS sauce maison), mais j'ai decide de prendre le code et de l'ouvrir. La solution maison est pas jolie, alors au passage ca m'aide aussi de faire ce clean up. Au résultat la communauté aura une solution de réponse aux DDOS. Et moi, avec du bol, des contributions qui m'aideront aussi. Thomas Bonsoir, Je trouve que c'est une excellente idée, merci Thomas de penser à la communauté et de réaliser ce partage. Je suis certain que plusieurs d'entre nous suivront de près les avancées de ce projet ! Thierry smime.p7s Description: Signature cryptographique S/MIME