Alexis, Une des societe specialise est Prolexic, Jay Coley parle souvent de ce qu'il voit comme attaques a LINX, EFP, GPF, ... Les informations présentées ne sont normalement pas publiques (Prolexic ne voit pas de raison de former l'industrie qu'ils combattent).
Un peu d'info dans https://www.linx.net/files/hotlinx/hotlinx-25.pdf mais le seul moyen de voir la partie intéressante est d'être la pour la presentation :( Une idee pour un prochain FRnOG ? Il y a des FAI traditionnels offrent des service de protection en France, mais je ne vais pas faire de pub sur la liste. Thomas On 26 Dec 2011, at 14:21, Alexis Savin wrote: > Si tu as des exemples à citer, je pense que nombre d'entre nous sera preneur, > ne serait-ce qu'à titre informatif. > > 2011/12/26 Texier, Matthieu <mtex...@arbor.net> > C'est pour cela qu'il me semble sain de s'appuyer sur une offre de service > opérateur spécialisé qui donne un engament de SLA associé. > > Des opérateurs proposent ce type de service et s'appuient pour cela sur une > structure type SoC mettant à disposition des outils et des experts dans le > domaine. > > Les outils sont toujours intéressants pour nourrir le débat technique … mais > ils ne font pas tout … fort heureusement ! > > > > On Dec 26, 2011, at 2:58 PM, Alexis Savin wrote: > >> Flow spec, c'est bien beau, mais tant que le client ne peut pas activer seul >> le filtrage il est difficile de l'exploiter de façon efficace, les attaquant >> étant généralement très réactifs et les services opérateurs lents à la >> détente... >> >> Enfin, quels sont les opérateurs à l'exploiter réellement ? Et à le proposer >> à leurs clients ? >> >> 2011/12/26 Texier, Matthieu <mtex...@arbor.net> >> Voila un réponse qui me semble faire preuve d'expérience :-) ! >> >> Sans compter que nos amis attaquants font souvent preuve d'une malice >> certaine et emmenant les administrateurs réseaux dans une direction afin de >> masquer une autre action mené en parallèle au niveau L7. >> >> Les attaques sont de plus en plus polymorphe. A bon entendeur ... >> >> Enfin, moi ce que je dis … je suis un peu vieux pour toutes ces choses la ! >> >> Du reste ma mémoire flanche un peu, je ne me rappelle plus bien comment >> activer flow spec sur tous les routeurs de nos chers industriels ? >> >> >> On Dec 26, 2011, at 2:35 PM, Thomas Mangin wrote: >> >> > Cela dépend surtout du profil de l'attaque. Pour un UDP flood sur un >> > serveur web, un fournisseur qui peux ajouter un filtre flowspec sur ses >> > connections EBGP ça aide surement beaucoup. >> > Face a une attaque sur le L7 - la vie devient très dure ... >> > >> > Thomas >> > >> > On 26 Dec 2011, at 13:08, Texier, Matthieu wrote: >> > >> >> L'ideal de ce genre de situation serait d'avoir souscrit à un service de >> >> détection et de mitigation d'attaque auprès de ses fournisseurs d'accès >> >> Internet. >> >> >> >> Le blackhole BGP étant techniquement une approche valide mais donnant >> >> raison aux attaquants. BGP flow spec n'est applicable que rarement sur >> >> les attaques distribuées ou à base d'IP spoofées. Je n'ai bien peur que >> >> seul un boitier de mitigation placé dans l'infrastructure du carrier ne >> >> puisse vous sortir de cette situation sans casse. >> >> >> >> Cordialement, >> >> Matthieu. >> >> >> >> >> >> On Dec 26, 2011, at 1:29 PM, Thomas Mangin wrote: >> >> >> >>> On 26 Dec 2011, at 11:27, Alexis Savin wrote: >> >>> >> >>>> Quelques techniques sont pourtant intéressantes à étudier, la plus >> >>>> intéressante étant celle du "remote triggered black-hole" pour peu que >> >>>> l'opérateur le supporte (http://tools.ietf.org/html/rfc5635). >> >>> >> >>> Au cas ou vous auriez rate la présentation - puisque c'est d'actualité. >> >>> >> >>> http://perso.nautile.fr/prez/fgabut-flowspec-frnog-final.pdf >> >>> >> >>> Thomas >> >>> >> >>> >> >>> --------------------------- >> >>> Liste de diffusion du FRnOG >> >>> http://www.frnog.org/ >> >> >> >> Cheers Matt. >> >> >> >> Matthieu Texier >> >> Consulting engineer EMEA >> >> mtex...@arbor.net >> >> +33 6 85 83 66 89 >> >> >> > >> >> Cheers Matt. >> >> Matthieu Texier >> Consulting engineer EMEA >> mtex...@arbor.net >> +33 6 85 83 66 89 >> >> >> >> >> -- >> Alexis Savin >> Ingénieur Systèmes/Réseaux/Sécurité >> > > Cheers Matt. > > Matthieu Texier > Consulting engineer EMEA > mtex...@arbor.net > +33 6 85 83 66 89 > > > > > -- > Alexis Savin > Ingénieur Systèmes/Réseaux/Sécurité > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/