Detecter les attaques DDoS c'est vraiment facile. N'importe quel collecteur Netflow (v5/v9/IPFIX) ou sFlow peut faire l'affaire, et pas besoin d'un Arbor pour ca.
La vraie difficulte c'est de mitiger l'attaque. Si dans ton cas un blackhole des IP attaquees te suffit, alors pas de probleme. Si tu veux bloquer les IP sources et que tu recois 100 fois plus que ta capacite de transit c'est une autre paire de manches. Il n'y a guere que ton transitaire qui peut te venir en aide: "Cher transitaire, pouvez-vous bloquer tout le traffic en provenance de Leaseweb, China Telecom, etc. ?" - ca peut fonctionner. Sinon malheureusement la meilleure defense ca reste d'avoir les plus gros tuyaux. 2015-02-27 7:26 GMT-08:00 Christopher Johnson <christopher.john...@euskill.com>: > Ma solution est simple, je recherche juste un software capable de détecter > les attaques ddos afin de pouvoir router les IP sources/cibles dans un > blackhole, car jusqu’à présent nous utilisons un système homemade dont > l'efficacité est aléatoire. Il me reste juste a savoir ci Neo/Zayo fourni un > service qui permet de null router les IP de leurs coté. Dans le cas ou ce > n'est pas possible je ferais en sorte que les IP à risque soit joignable de > préférence par Corent. > > Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour nous > est de limité l’impacte sur la totalité du réseaux, car nous ne disposons > que de 2x1GBps. > > Précision sur les attaques ddos: > Les attaques ddos dont nous sommes victime ont pour cible des serveurs qui > héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, ddos.pl, > hulk.py, etc...) > En effet, les attaques ddos sont des représailles suite a un ban d'un > joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma > maison: je te kick, tu m'a kick, je te ddos) > > La recrudescence de ce type t'attaque coïncide bizarrement avec l’avènement > de Minecraft. (ce qui explique les horraires) > Il est devenu très facile pour ces gamins de déclencher une attaque ddos > grâce à ce qu'ils appellent des "API DDoS" disponible un peux partout: > http://down-api.eu/ > > Ces "API" sont mises en place par des guignols de 15 ans qui loue une > dizaines des VPS, pour y exécuter les fameux scriptes perl et python cité > précédemment. Il on généralement un petit site web avec un formulaire qui > leurs permet de prendre des commandes, mais je doute fort que leurs > technique pour déclencher ces attaques soit très élaborer, ils le font > manuellement ou au mieux avec un script qui ce connecte en SSH aux VPS > distant, mais pas avec le fameux script wget://.../bot.txt qui ce connecte à > un serveur IRC. > > Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances en > matière d'informatique: > https://www.youtube.com/watch?v=CN5PDhYnXqo > > Vidéo a regarder absolument si vous voulez bien rigoler. ;-) > > > Le 2015-02-27 13:37, Romain GUICHARD a écrit : > >> Le 27 février 2015 13:34, Christopher Johnson < >> christopher.john...@euskill.com> a écrit : >> >>> Le 2015-02-27 08:35, Amaury DUCHENE a écrit : >>> >>>> Bonjour, >>>> >>>> A qu'elle hauteur devez vous mitiger les attaques ? >>>> >>> >>> Les attaques sont essentiellement le soir, le mercredi, le week-end, et >>> en >>> période de vacances. >>> >> Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis >> Internet ;) >> >>> >>> >>>> Cordialement, >>>> >>>> On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte >>>> <fdelmot...@mac.com [1]> wrote: >>>> >>>> Il y a aussi les produits de Andrisoft et flowtraq >>>>> >>>>> >>>>> Fabien >>>>> >>>>> On Feb 26, 2015, at 9:26 PM, Raphael Mazelier <r...@futomaki.net> >>>>> wrote: >>>>> >>>>> > Le 26/02/2015 21:10, Jeremy a écrit : >>>>> >> Prend une licence chez Wanguard va :) >>>>> >> >>>>> > Je trouve que ce soft a un très bon rapport qualité/prix. >>>>> > Évidement c'est loin d’être parfait, mais à ce tarif c'est >>>>> imbattable. >>>>> > Le support est réactif qui plus est. >>>>> > >>>>> > -- >>>>> > Raphael Mazelier >>>>> > >>>>> > >>>>> > --------------------------- >>>>> > Liste de diffusion du FRnOG >>>>> > http://www.frnog.org/ >>>>> >>>>> --------------------------- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>>>> >>>> >>>> >>>> Links: >>>> ------ >>>> [1] mailto:fdelmot...@mac.com >>>> >>> >>> --- >>> Christopher Johnson >>> >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> > > --- > Christopher Johnson > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
