Le 19/06/2013 13:55, Guillaume Barrot a écrit : > Hello > > Le 19 juin 2013 12:30, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > >> >> Quelle solution existe t'il sans passer par des solutions de type arbor >> afin de contrer des attaques DDOS quand on est une petite boite ? >> > > Si on parle bien d'attaques DDOS ciblés sur des préfixes correctement > annoncés, via du trafic légitime détourné, pas grand chose, voire rien. > Soit tu null route les destinations, pour protéger l'infra (mais > l'attaquant a gagné), soit tu ne fais rien, mais l'attaquant a gagné aussi. > Évidemment, je pars du principe que les postulats de base sont respectés > (application strict de la BCP38, filtrage de la RFC1918 en entrée sur tes > ports de transit/peering, etc.). >
Pour du trafic TCP, tu peux utiliser des règles de firewall TARPIT, qui ont pour effet d'accepter une connexion TCP, tout en retournant une taille de fenêtre TCP à 0 pour empêcher le transfert de données sur cette session TCP. L'attaquant doit alors ouvrir de nouvelles connexions TCP, et va consommer de plus en plus de mémoire jusqu'à saturation. Les attaques de botnet proviennent souvent de machines piratées sur lesquelles les attaquants n'ont pas forcément un accès complet et le processus qui génère l'attaque finira par provoquer un BSOD, ou se faire killer par le système. Par contre pour du trafic UDP, pas grand chose à faire à ma connaissance ... --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
