Hello, Le 25 nov. 2014 à 20:20, Pierre Emeriaud <petrus...@gmail.com> a écrit :
>> Si le ce genre d'attaque est si "simple", pourquoi les grands acteurs ne >> semblent pas régulièrement impactés ? > > Si si malheureusement, c'est le lot de tous : > http://www.gossamer-threads.com/lists/nanog/users/157616 > http://www.gossamer-threads.com/lists/nanog/users/144236 > > (bon après les deux /24 en question sont pas super représentatifs des > autres netblocks) Le pire dans ce cas c'est que j'ai eu moi aussi un hijacking de prefix bgp car il étais collé a un AS qui n'était pas annoncé pour un client. Evidement l'AS + le /24 étais annoncé en russie, pour envoyer des doses massives de spam. Le fait d'en avoir parlé sur nanog, m'as vu arriver un DDoS assez massif sur mon infra. J'ai réussit a reprendre le contrôle de cet AS +/24 en l'annonçant sur ma structure et demandant de null router ce /24 chez tout mes upstream (qui en ont fait de même avec leur tier-1...etc...). Ca a permit de rendre ce /24 donc inutilisable pour le spammeur en question. La problématique n'est pas le hijack, mais le fait qu'on (mais pas tous) ne filtre pas les routes / aspath qu'on a dans la base whois par manque de temps, de maitrise, ou simplement de routeur qui peux encaisser des ACL partout. Là dessus, si tout le monde, le faisais on aurais (un peu) moins de hijack. Et c'est déjà plus simple a faire que la RPKI... Xavier
signature.asc
Description: Message signed with OpenPGP using GPGMail