Argument tout a fait recevable et même, pour ce qui est la législation Française, juridiquement recevable … sauf erreur de ma part, un trafic entré en France n'est pas sensé aller faire un petit tour aux US ou ailleurs et revenir…
Si il y a des juristes dans cette liste de diffusion, ils pourront nous donner la loi/réglementation en vigueur, je doit avouer que je n'ai pas plus de détail sur ce point. On Dec 26, 2011, at 5:19 PM, Alexis Savin wrote: J'avais vaguement entendu parler de ce genre d'offre, il me semble d'ailleurs qu'il existe d'autres acteurs que Prolexic. Cependant, je trouve dommage de devoir re-router son trafic vers un tiers (de confiance ?) jouant le rôle d'intermédiaire. Implémenter une solution plus ou moins automatisée à base de "flow spec" et de "remote black-hole" ne serait pas bien complexe. Malheureusement, les opérateurs n'offrent pas, ou trop peu, les interfaçages nécessaires (certes, bien plus complexes à implémenter de façon sécurisée de leur côté). Reste que cela est bien dommage, les ddos impactant toute la chaine, travailler de concert serait, me parait-il, plus opportun que de confier notre trafic à d'autres. 2011/12/26 Breton, Oliver <olivier.bre...@level3.com<mailto:olivier.bre...@level3.com>> Bonjour, Je publie très rarement sur la liste mais pour répondre à la question d'Alexis, sachez que Level 3 propose une solution de protection DDoS très efficace puisque c'est celle de notre partenaire Prolexic. Il y a deux types d'offres : reroutage DNS en urgence (lors d'une activation en cours d'attaque) ou une solution pérenne de mitigation des flux au travers des tunnels GRE des routeurs client. Ne souhaitant pas me faire taxer de "pub commerciale" sur la liste, je ne m'étendrais pas mais n'hésitez pas à me consulter hors liste pour toute info complémentaire ou présentation du service. Olivier BRETON Envoyé de mon iPad2 Le 26 déc. 2011 à 15:22, "Alexis Savin" <alexis.sa...@gmail.com<mailto:alexis.sa...@gmail.com>> a écrit : > Si tu as des exemples à citer, je pense que nombre d'entre nous sera > preneur, ne serait-ce qu'à titre informatif. > > 2011/12/26 Texier, Matthieu <mtex...@arbor.net<mailto:mtex...@arbor.net>> > >> C'est pour cela qu'il me semble sain de s'appuyer sur une offre de service >> opérateur spécialisé qui donne un engament de SLA associé. >> >> Des opérateurs proposent ce type de service et s'appuient pour cela sur >> une structure type SoC mettant à disposition des outils et des experts dans >> le domaine. >> >> Les outils sont toujours intéressants pour nourrir le débat technique … >> mais ils ne font pas tout … fort heureusement ! >> >> >> >> On Dec 26, 2011, at 2:58 PM, Alexis Savin wrote: >> >> Flow spec, c'est bien beau, mais tant que le client ne peut pas activer >> seul le filtrage il est difficile de l'exploiter de façon efficace, les >> attaquant étant généralement très réactifs et les services opérateurs lents >> à la détente... >> >> Enfin, quels sont les opérateurs à l'exploiter réellement ? Et à le >> proposer à leurs clients ? >> >> 2011/12/26 Texier, Matthieu <mtex...@arbor.net<mailto:mtex...@arbor.net>> >> >>> Voila un réponse qui me semble faire preuve d'expérience :-) ! >>> >>> Sans compter que nos amis attaquants font souvent preuve d'une malice >>> certaine et emmenant les administrateurs réseaux dans une direction afin de >>> masquer une autre action mené en parallèle au niveau L7. >>> >>> Les attaques sont de plus en plus polymorphe. A bon entendeur ... >>> >>> Enfin, moi ce que je dis … je suis un peu vieux pour toutes ces choses la >>> ! >>> >>> Du reste ma mémoire flanche un peu, je ne me rappelle plus bien comment >>> activer flow spec sur tous les routeurs de nos chers industriels ? >>> >>> >>> On Dec 26, 2011, at 2:35 PM, Thomas Mangin wrote: >>> >>>> Cela dépend surtout du profil de l'attaque. Pour un UDP flood sur un >>> serveur web, un fournisseur qui peux ajouter un filtre flowspec sur ses >>> connections EBGP ça aide surement beaucoup. >>>> Face a une attaque sur le L7 - la vie devient très dure ... >>>> >>>> Thomas >>>> >>>> On 26 Dec 2011, at 13:08, Texier, Matthieu wrote: >>>> >>>>> L'ideal de ce genre de situation serait d'avoir souscrit à un service >>> de détection et de mitigation d'attaque auprès de ses fournisseurs d'accès >>> Internet. >>>>> >>>>> Le blackhole BGP étant techniquement une approche valide mais donnant >>> raison aux attaquants. BGP flow spec n'est applicable que rarement sur les >>> attaques distribuées ou à base d'IP spoofées. Je n'ai bien peur que seul un >>> boitier de mitigation placé dans l'infrastructure du carrier ne puisse vous >>> sortir de cette situation sans casse. >>>>> >>>>> Cordialement, >>>>> Matthieu. >>>>> >>>>> >>>>> On Dec 26, 2011, at 1:29 PM, Thomas Mangin wrote: >>>>> >>>>>> On 26 Dec 2011, at 11:27, Alexis Savin wrote: >>>>>> >>>>>>> Quelques techniques sont pourtant intéressantes à étudier, la plus >>>>>>> intéressante étant celle du "remote triggered black-hole" pour peu >>> que >>>>>>> l'opérateur le supporte (http://tools.ietf.org/html/rfc5635). >>>>>> >>>>>> Au cas ou vous auriez rate la présentation - puisque c'est >>> d'actualité. >>>>>> >>>>>> http://perso.nautile.fr/prez/fgabut-flowspec-frnog-final.pdf >>>>>> >>>>>> Thomas >>>>>> >>>>>> >>>>>> --------------------------- >>>>>> Liste de diffusion du FRnOG >>>>>> http://www.frnog.org/ >>>>> >>>>> Cheers Matt. >>>>> >>>>> Matthieu Texier >>>>> Consulting engineer EMEA >>>>> mtex...@arbor.net<mailto:mtex...@arbor.net> >>>>> +33 6 85 83 66 89<tel:%2B33%206%2085%2083%2066%2089> >>>>> >>>> >>> >>> Cheers Matt. >>> >>> Matthieu Texier >>> Consulting engineer EMEA >>> mtex...@arbor.net<mailto:mtex...@arbor.net> >>> +33 6 85 83 66 89<tel:%2B33%206%2085%2083%2066%2089> >>> >>> >> >> >> -- >> Alexis Savin >> Ingénieur Systèmes/Réseaux/Sécurité >> >> >> Cheers Matt. >> >> Matthieu Texier >> Consulting engineer EMEA >> mtex...@arbor.net<mailto:mtex...@arbor.net> >> +33 6 85 83 66 89<tel:%2B33%206%2085%2083%2066%2089> >> >> > > > -- > Alexis Savin > Ingénieur Systèmes/Réseaux/Sécurité > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité Cheers Matt. Matthieu Texier Consulting engineer EMEA mtex...@arbor.net<mailto:mtex...@arbor.net> +33 6 85 83 66 89 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
