Le Thu, Sep 06, 2012 at 12:37:44PM +0100, Antoine Durant [antoine.duran...@yahoo.fr] a écrit: > Bonjour, > > J???aimerais connaitre les outils que vous utilisez pour détecter les > attaques DDoS. > > Dans un premier temps j???aimerais tester des outils libre/open > source. Que mettez vous en prod sur vos jolis réseaux ??
Pas très facile. Si tu connais le profil "habituel" de ton trafic, détecter les écarts sur les mesures de débit/pps des interfaces, et crier si y'a « 10 fois plus que d'habitude » > Sur un routeur linux quagga, comment vous faites pour null-router une > IP qui est méchante avec une machine du réseau ( a part débrancher le > routeur :-D) ?? Ca dépend de ce que tu veux faire. Si c'est protéger la machine qui peut traiter le volume de trafic réseau, mais pas les requetes applicatives que ça induit, iptables conviendra bien. Sur la machine, parcequ'on peut supposer qu'il y a déjà un parefeu dessus, ce qui n'est probablement pas le cas (et ça serait pas vraiment une bonne idée) du routeur. Si tu veux préserver le reste du réseau, la route vers null0 comme mentionné ailleurs est une meilleure solution. Ca rend l'ip en question injoignable (mais bon, a priori, elle l'est déjà), et ça évite de saturer le reste du réseau, c'est "contenu" dans le routeur. Mieux, si ton/tes transitaires proposent des communautés ad-hoc, tu peux même leur dire de null-router le trafic à destination de l'ip concernée au niveau de leurs routeurs. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
