Et pourquoi un opérateur prendrait la charge de rate-limit sur son backbone juste comme ça pour faire plaisir à un client :)
L'impact sur la charge des routeurs est significatif. C'est pour cela que les opérateurs prennent des solutions qu'ils facturent. Apres speed - price - quality, pick any two Cordialement, -- Raphael MAUNIER Jaguar Network France On May 16, 2013, at 9:28 AM, Jérémy Martin <li...@freeheberg.com> wrote: > De manière plus générale, une communauté rate-limit avec les upstream et une > simple règle qui dit > rate-limit DNS SNMP à 50 Mb/s > > Ca serais largement suffisant. Non ? > Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé > d'arrêter de nous bombarder avec leur root-server :( > > Cordialement, > Jérémy Martin > > Le 16/05/2013 09:23, David Ramahefason a écrit : >> ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y a >> pour le moment pas de solution si l'upstream ne gère pas la fonctionalité. >> >> Pour en revenir au post initial, s'il y a déjà un TMS en place il serait >> peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? :p) pour la >> partie services (en coupure) non ?? De ma compréhension du produit c'est >> exactement ce pour quoi il est fait. >> Apres je ne sais pas si le CS du coup en local est "utile" par contre. >> >> >> >> Le 16 mai 2013 09:09, David Ramahefason <r...@netfacile.net> a écrit : >> >>> Salut Nicolas :) >>> >>> ah oui sur l'upstream ne gère pas de CS cela peut poser problème mais il >>> y a des fournisseurs de service de CS en remote (après je ne connais pas >>> l'efficacité d'une telle utilisation): >>> >>> http://www.arbornetworks.com/products/cloud-signaling-coalition >>> >>> A+ >>> >>> >>> >>> Le 16 mai 2013 07:29, Nicolas Strina <nicolas.str...@jaguar-network.com>a >>> écrit : >>> >>> -----BEGIN PGP SIGNED MESSAGE----- >>>> Hash: SHA1 >>>> >>>> Bonjour, >>>> >>>>> Bonsoir, >>>>> >>>>> Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se >>>> met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des >>>> upstream ou sur le sien. >>>> >>>> Sauf que dans son cas il faut que son upstream provider supporte le cloud >>>> signaling. On est 1 ou 2 en France à pouvoir le faire. >>>> Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas >>>> ça .. C'est la seule alternative viable pour le moment (pour bien avoir >>>> bossé sur le sujet). >>>> On avait déjà signalié ce type d'attaque lors d'une présentation avec >>>> Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). >>>> >>>> A+ >>>> >>>>> >>>>> Cordialement >>>>> >>>>> David R. >>>>> >>>>> >>>>> -----Original Message----- From: frnog-requ...@frnog.org [mailto: >>>> frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 >>>> mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: >>>> [FRnOG] [TECH] Peering et attaques >>>>> >>>>> Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en >>>> amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait >>>> déjà le faire nous même automatiquement. >>>>> >>>>> Cordialement, Jérémy Martin >>>>> >>>>> Le 15/05/2013 22:51, Moncef ZID a écrit : >>>>>> Une solution : Arbor Networks Peak Flow SP et TMS Une solution >>>> efficace pour le Peering et pour le DDOS >>>>>> >>>>>> Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement >>>> Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : >>>> www.manaraway.com Email: zmon...@manaraway.com Consulting Audit >>>> and Training Data Center , Security , Cloud , Application Delivery >>>>>> >>>>>> >>>>>> >>>>>> -----Original Message----- From: frnog-requ...@frnog.org [mailto: >>>> frnog-requ...@frnog.org] On Behalf >>>>> Of >>>>>> Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: >>>> frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques >>>>>> >>>>>> Bonjour, >>>>>> >>>>>> On est confronté à un problème qui nous embarrasse pas mal ces temps >>>> ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - >>>> FranceIX - Sfinx -Equinix - Amsix >>>>>> >>>>>> Le problème c'est qu'on se prend souvent des attaques par amplification >>>>> DNS >>>>>> et que tout cumulé, bah ça coince à un moment donné (même en 10G)... >>>> Du coup, on regarde si certains ont la possibilité d'appliquer des >>>> rate-limit port 53 de manière drastique sur les ports de livraisons. Mais >>>> ça ne semble pas possible (ce qu'on peut comprendre parla défense >>>>> d'une >>>>>> certaine neutralité). >>>>>> >>>>>> Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou >>>> les moyens de le proposer sur ceux cité) ? >>>>>> >>>>>> Coté transitaire, évidemment, on est obligé de se débrouiller >>>> autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s >>>> d'ampli >>>>> DNS >>>>>> et considère ça normal (sachant que le Root de Cogent est juste >>>> derrière à Londres...). >>>>>> >>>>>> Merci pour vos remarques et commentaires pertinents, >>>>>> >>>>>> -- Cordialement, Jérémy Martin >>>>>> >>>>>> >>>>>> ______________________________ FreeHeberg.com : Osez l'hébergement >>>> gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go >>>>>> >>>>>> >>>>>> --------------------------- Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>>>> >>>>>> >>>>>> --------------------------- Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>>>> >>>>> >>>>> >>>>> >>>>> --------------------------- Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>>> >>>>> >>>>> --------------------------- Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>>> >>>> >>>> >>>> - -- >>>> Nicolas STRINA >>>> >>>> Jaguar Network Switzerland >>>> Boulevard Georges Favon, 19 >>>> CH - 1024 Genève >>>> >>>> More Than Your Hosting Company >>>> >>>> Tel : +33 4 88 00 65 16 >>>> Gsm : +33 6 18 20 49 55 >>>> >>>> Std : +41 8 40 65 61 11 >>>> Fax : +33 4 88 00 65 25 >>>> >>>> URL: <http://www.jaguar-network.ch/> >>>> Support 24+7 : supp...@jaguar-network.ch >>>> -----BEGIN PGP SIGNATURE----- >>>> Version: GnuPG/MacGPG2 v2.0.18 (Darwin) >>>> Comment: GPGTools - http://gpgtools.org >>>> Comment: Using GnuPG with undefined - http://www.enigmail.net/ >>>> >>>> iEYEARECAAYFAlGUbpwACgkQhVupqbmzoseLTACgpoEBCPs1dr34r6EbFVNSj/gd >>>> 3xMAoJZOrjPKGM+71Z2S+xeWpiaemTjc >>>> =rnGs >>>> -----END PGP SIGNATURE----- >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>> >>> >>> >>> >>> -- >>> David Ramahefason >>> r...@netfacile.net >>> >> >> >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
