Alexis,

Une des societe specialise est Prolexic, Jay Coley parle souvent de ce qu'il 
voit  comme attaques a LINX, EFP, GPF, ...
Les informations présentées ne sont normalement pas publiques (Prolexic ne voit 
pas de raison de former l'industrie qu'ils combattent). 

Un peu d'info dans https://www.linx.net/files/hotlinx/hotlinx-25.pdf mais le 
seul moyen de voir la partie intéressante est d'être la pour la presentation :(
Une idee pour un prochain FRnOG ?

Il y a des  FAI traditionnels offrent des service de protection en France, mais 
je ne vais pas faire de pub sur la liste.

Thomas

On 26 Dec 2011, at 14:21, Alexis Savin wrote:

> Si tu as des exemples à citer, je pense que nombre d'entre nous sera preneur, 
> ne serait-ce qu'à titre informatif.
> 
> 2011/12/26 Texier, Matthieu <mtex...@arbor.net>
> C'est pour cela qu'il me semble sain de s'appuyer sur une offre de service 
> opérateur spécialisé qui donne un engament de SLA associé.
> 
> Des opérateurs proposent ce type de service et s'appuient pour cela sur une 
> structure type SoC mettant à disposition des outils et des experts dans le 
> domaine.
> 
> Les outils sont toujours intéressants pour nourrir le débat technique … mais 
> ils ne font pas tout … fort heureusement !
> 
> 
> 
> On Dec 26, 2011, at 2:58 PM, Alexis Savin wrote:
> 
>> Flow spec, c'est bien beau, mais tant que le client ne peut pas activer seul 
>> le filtrage il est difficile de l'exploiter de façon efficace, les attaquant 
>> étant généralement très réactifs et les services opérateurs lents à la 
>> détente...
>> 
>> Enfin, quels sont les opérateurs à l'exploiter réellement ? Et à le proposer 
>> à leurs clients ?
>> 
>> 2011/12/26 Texier, Matthieu <mtex...@arbor.net>
>> Voila un réponse qui me semble faire preuve d'expérience :-) !
>> 
>> Sans compter que nos amis attaquants font souvent preuve d'une malice 
>> certaine et emmenant les administrateurs réseaux dans une direction afin de 
>> masquer une autre action mené en parallèle au niveau L7.
>> 
>> Les attaques sont de plus en plus polymorphe. A bon entendeur ...
>> 
>> Enfin, moi ce que je dis … je suis un peu vieux pour toutes ces choses la !
>> 
>> Du reste ma mémoire flanche un peu, je ne me rappelle plus bien comment 
>> activer flow spec sur tous les routeurs de nos chers industriels ?
>> 
>> 
>> On Dec 26, 2011, at 2:35 PM, Thomas Mangin wrote:
>> 
>> > Cela dépend surtout du profil de l'attaque. Pour un UDP flood sur un 
>> > serveur web, un fournisseur qui peux ajouter un filtre flowspec sur ses 
>> > connections EBGP ça aide surement beaucoup.
>> > Face a une attaque sur le L7 - la vie devient très dure ...
>> >
>> > Thomas
>> >
>> > On 26 Dec 2011, at 13:08, Texier, Matthieu wrote:
>> >
>> >> L'ideal de ce genre de situation serait d'avoir souscrit à un service de 
>> >> détection et de mitigation d'attaque auprès de ses fournisseurs d'accès 
>> >> Internet.
>> >>
>> >> Le blackhole BGP étant techniquement une approche valide mais donnant 
>> >> raison aux attaquants. BGP flow spec n'est applicable que rarement sur 
>> >> les attaques distribuées ou à base d'IP spoofées. Je n'ai bien peur que 
>> >> seul un boitier de mitigation placé dans l'infrastructure du carrier ne 
>> >> puisse vous sortir de cette situation sans casse.
>> >>
>> >> Cordialement,
>> >> Matthieu.
>> >>
>> >>
>> >> On Dec 26, 2011, at 1:29 PM, Thomas Mangin wrote:
>> >>
>> >>> On 26 Dec 2011, at 11:27, Alexis Savin wrote:
>> >>>
>> >>>> Quelques techniques sont pourtant intéressantes à étudier, la plus
>> >>>> intéressante étant celle du "remote triggered black-hole" pour peu que
>> >>>> l'opérateur le supporte (http://tools.ietf.org/html/rfc5635).
>> >>>
>> >>> Au cas ou vous auriez rate la présentation - puisque c'est d'actualité.
>> >>>
>> >>> http://perso.nautile.fr/prez/fgabut-flowspec-frnog-final.pdf
>> >>>
>> >>> Thomas
>> >>>
>> >>>
>> >>> ---------------------------
>> >>> Liste de diffusion du FRnOG
>> >>> http://www.frnog.org/
>> >>
>> >> Cheers Matt.
>> >>
>> >> Matthieu Texier
>> >> Consulting engineer EMEA
>> >> mtex...@arbor.net
>> >> +33 6 85 83 66 89
>> >>
>> >
>> 
>> Cheers Matt.
>> 
>> Matthieu Texier
>> Consulting engineer EMEA
>> mtex...@arbor.net
>> +33 6 85 83 66 89
>> 
>> 
>> 
>> 
>> -- 
>> Alexis Savin
>> Ingénieur Systèmes/Réseaux/Sécurité
>> 
> 
> Cheers Matt.
> 
> Matthieu Texier
> Consulting engineer EMEA
> mtex...@arbor.net
> +33 6 85 83 66 89
> 
> 
> 
> 
> -- 
> Alexis Savin
> Ingénieur Systèmes/Réseaux/Sécurité
> 


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à