Hello, > Malheureusement, j'ai deja essay� de voir un semblant de logique > dans les packets mais sans succes . > > C'est totalement aleatoire (en tous cas cela le semble bien), > ni l'IP source > ni le port source, ni les flags, ttl et autres ne semblent > avoir de point > commun . > > A titre d'info sur un echantillon de 60000 packets SYN, l'ip la plus > reperesent�e est a 110 packets .
Dans ce cas, il est fort probable que les machines responsables emettent des paquets dont les IP sources sont elles aussi forgees, et aleatoires. Cette approche est parfois utilisee quand le nombre de machines impliquees dans l'attaque est faible, ce qui permettrait de les identifier assez facilement. Etant donne le volume annonce (j'ai lu jusqu'a 20 MBps), il faudrait travailler avec tes upstreams, afin qu'ils essaient de determiner de leur cote si la source est en fait unique a leur niveau (en terme de lien), qui a mettre une route vers /dev/null (ou Null0) sur ce point d'entree. Ca bloquera evidemment une partie du trafic legitime vers la cible, mais aussi le Ddos... Cdt, Paul ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
