Bonjour, On retombe toujours sur les mêmes problèmes. Dans tous les cas quand on prend un bon DDoS, à moins d'avoir de gros moyens ou de souscrire à un service anti-DDoS chez ton transitaire (beaucoup le proposent et c'est bien parce qu'ils ont la capa pour le gérer correctement), il n'y a pas beaucoup de solutions.
Pour ma part j'ai pris le parti de prendre un transit poubelle et d'y coller un serveur machine à laver à qui un outil d'analyse applique des ACLs en fonction des attaques. Après le jeu est d'appliquer des communautés BGP et des annonces pour faire converger le trafic DDoS sur ce transit poubelle et garder le reste sur les liens propres. Sinon de préserver les peerings sensibles et opérateurs clés de mon activité et basculer tout le reste sur le transit poubelle. Si le transit poubelle sature, au moins je préserve une partie du trafic. Sachant aussi qu'en cas d'attaque ciblée sur une IP, le /24 le contenant est annoncé indépendamment pour que le traitement ne concerne que cette /24 et pas tout le reste. C'est un compromis que je trouve plus acceptable chez nous que de dépenser des 100aines de milliers d'Euros dans une solution à la mode dont la capacité de traitement est plafonnée de toute manière par la taille du tuyau quand les attaques augmentent de mois en mois. Sinon quand on a pas de temps à perdre pour mettre ça en place, prendre un transit avec service anti-DDoS et tout basculer dessus en cas de problème. Ou faire les 2 quand on veut s'amuser et se backuper. Je pense qu'il faut vraiment avoir une taille critique et des moyens pour utiliser des solutions Anti-DDoS commerciales en propre. Frédéric Le 27/02/15 14:14, Youssef Bengelloun-Zahr a écrit : > Sans compter que tout le monde n'a peut-être pas suffisement de TCAMs sur > ses routeurs de coeur (qui a dit firewalls ;-) pour blackholer autant d'IP > sources. > > My 2 cents. > > @++ > > > > Le 27 février 2015 14:04, Raphael Maunier <raph...@maunier.net> a écrit : > >>> On 27 Feb 2015, at 05:02, David CHANIAL <david.chan...@davixx.fr> wrote: >>> >>> Bonjour Raphael, >>> >>>> Le 27 févr. 2015 à 13:51, Raphael Maunier <raph...@maunier.net> a >> écrit : >>>> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné. >>> N’y a t’il pas « 50 nuances » de victoire de part et d’autre ? >> :) >>> Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de >> l’infra reste un objectif louable. >> >> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle >> route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une >> autre attaque qui forge les ip ton routeur tes routages ne te seront pas >> d’une grande utilité >> >>> Mais si le budget ne le permet pas, ne vaut-il pas mieux envisager des >> solutions intermédiaires, dont certaines te permettent de bloquer >> uniquement la cible, et pas le reste de ton infra ? >>> Cordialement, >>> -- >>> David CHANIAL >>> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
