J'avais vaguement entendu parler de ce genre d'offre, il me semble d'ailleurs qu'il existe d'autres acteurs que Prolexic.
Cependant, je trouve dommage de devoir re-router son trafic vers un tiers (de confiance ?) jouant le rôle d'intermédiaire. Implémenter une solution plus ou moins automatisée à base de "flow spec" et de "remote black-hole" ne serait pas bien complexe. Malheureusement, les opérateurs n'offrent pas, ou trop peu, les interfaçages nécessaires (certes, bien plus complexes à implémenter de façon sécurisée de leur côté). Reste que cela est bien dommage, les ddos impactant toute la chaine, travailler de concert serait, me parait-il, plus opportun que de confier notre trafic à d'autres. 2011/12/26 Breton, Oliver <olivier.bre...@level3.com> > Bonjour, > > Je publie très rarement sur la liste mais pour répondre à la question > d'Alexis, sachez que Level 3 propose une solution de protection DDoS très > efficace puisque c'est celle de notre partenaire Prolexic. > Il y a deux types d'offres : reroutage DNS en urgence (lors d'une > activation en cours d'attaque) ou une solution pérenne de mitigation des > flux au travers des tunnels GRE des routeurs client. > > Ne souhaitant pas me faire taxer de "pub commerciale" sur la liste, je ne > m'étendrais pas mais n'hésitez pas à me consulter hors liste pour toute > info complémentaire ou présentation du service. > > Olivier BRETON > > Envoyé de mon iPad2 > > Le 26 déc. 2011 à 15:22, "Alexis Savin" <alexis.sa...@gmail.com> a écrit : > > > Si tu as des exemples à citer, je pense que nombre d'entre nous sera > > preneur, ne serait-ce qu'à titre informatif. > > > > 2011/12/26 Texier, Matthieu <mtex...@arbor.net> > > > >> C'est pour cela qu'il me semble sain de s'appuyer sur une offre de > service > >> opérateur spécialisé qui donne un engament de SLA associé. > >> > >> Des opérateurs proposent ce type de service et s'appuient pour cela sur > >> une structure type SoC mettant à disposition des outils et des experts > dans > >> le domaine. > >> > >> Les outils sont toujours intéressants pour nourrir le débat technique … > >> mais ils ne font pas tout … fort heureusement ! > >> > >> > >> > >> On Dec 26, 2011, at 2:58 PM, Alexis Savin wrote: > >> > >> Flow spec, c'est bien beau, mais tant que le client ne peut pas activer > >> seul le filtrage il est difficile de l'exploiter de façon efficace, les > >> attaquant étant généralement très réactifs et les services opérateurs > lents > >> à la détente... > >> > >> Enfin, quels sont les opérateurs à l'exploiter réellement ? Et à le > >> proposer à leurs clients ? > >> > >> 2011/12/26 Texier, Matthieu <mtex...@arbor.net> > >> > >>> Voila un réponse qui me semble faire preuve d'expérience :-) ! > >>> > >>> Sans compter que nos amis attaquants font souvent preuve d'une malice > >>> certaine et emmenant les administrateurs réseaux dans une direction > afin de > >>> masquer une autre action mené en parallèle au niveau L7. > >>> > >>> Les attaques sont de plus en plus polymorphe. A bon entendeur ... > >>> > >>> Enfin, moi ce que je dis … je suis un peu vieux pour toutes ces choses > la > >>> ! > >>> > >>> Du reste ma mémoire flanche un peu, je ne me rappelle plus bien comment > >>> activer flow spec sur tous les routeurs de nos chers industriels ? > >>> > >>> > >>> On Dec 26, 2011, at 2:35 PM, Thomas Mangin wrote: > >>> > >>>> Cela dépend surtout du profil de l'attaque. Pour un UDP flood sur un > >>> serveur web, un fournisseur qui peux ajouter un filtre flowspec sur ses > >>> connections EBGP ça aide surement beaucoup. > >>>> Face a une attaque sur le L7 - la vie devient très dure ... > >>>> > >>>> Thomas > >>>> > >>>> On 26 Dec 2011, at 13:08, Texier, Matthieu wrote: > >>>> > >>>>> L'ideal de ce genre de situation serait d'avoir souscrit à un service > >>> de détection et de mitigation d'attaque auprès de ses fournisseurs > d'accès > >>> Internet. > >>>>> > >>>>> Le blackhole BGP étant techniquement une approche valide mais donnant > >>> raison aux attaquants. BGP flow spec n'est applicable que rarement sur > les > >>> attaques distribuées ou à base d'IP spoofées. Je n'ai bien peur que > seul un > >>> boitier de mitigation placé dans l'infrastructure du carrier ne puisse > vous > >>> sortir de cette situation sans casse. > >>>>> > >>>>> Cordialement, > >>>>> Matthieu. > >>>>> > >>>>> > >>>>> On Dec 26, 2011, at 1:29 PM, Thomas Mangin wrote: > >>>>> > >>>>>> On 26 Dec 2011, at 11:27, Alexis Savin wrote: > >>>>>> > >>>>>>> Quelques techniques sont pourtant intéressantes à étudier, la plus > >>>>>>> intéressante étant celle du "remote triggered black-hole" pour peu > >>> que > >>>>>>> l'opérateur le supporte (http://tools.ietf.org/html/rfc5635). > >>>>>> > >>>>>> Au cas ou vous auriez rate la présentation - puisque c'est > >>> d'actualité. > >>>>>> > >>>>>> http://perso.nautile.fr/prez/fgabut-flowspec-frnog-final.pdf > >>>>>> > >>>>>> Thomas > >>>>>> > >>>>>> > >>>>>> --------------------------- > >>>>>> Liste de diffusion du FRnOG > >>>>>> http://www.frnog.org/ > >>>>> > >>>>> Cheers Matt. > >>>>> > >>>>> Matthieu Texier > >>>>> Consulting engineer EMEA > >>>>> mtex...@arbor.net > >>>>> +33 6 85 83 66 89 > >>>>> > >>>> > >>> > >>> Cheers Matt. > >>> > >>> Matthieu Texier > >>> Consulting engineer EMEA > >>> mtex...@arbor.net > >>> +33 6 85 83 66 89 > >>> > >>> > >> > >> > >> -- > >> Alexis Savin > >> Ingénieur Systèmes/Réseaux/Sécurité > >> > >> > >> Cheers Matt. > >> > >> Matthieu Texier > >> Consulting engineer EMEA > >> mtex...@arbor.net > >> +33 6 85 83 66 89 > >> > >> > > > > > > -- > > Alexis Savin > > Ingénieur Systèmes/Réseaux/Sécurité > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
