Salut Xavier, Le 27/06/2019 à 20:28, Xavier Beaudouin a écrit : >> Avez-vous des retours d'expérience sur les solutions anti-DDoS (Arbor, >> etc.) proposées par les opérateurs de transit et surtout leur efficacité >> en conditions réelles ? > Retours d'expérience: cher et autant le faire soit même avec les bonnes > communautés BGP, > tel a été le choix d'un de mes précédents jobs. Surtout quand on peux écraser > la merde > sur les routers border avec soit des ACL soit du BGP Flowspec :)
Effectivement :-) Je vais laisser la porte ouverte pour une solution BGP Flowspec en plus d'une solution anti-DDoS J'ai eu quelques retours d'expérience, mais surtout plusieurs réponses commerciales en privé, voici un petit résumé des "solutions" autres qu'un équivalent Arbor : 1> prendre du gros tuyaux et nettoyer à l'entrée Le raisonnement de l'opérateur est que le prix d'une 10G est relativement raisonnable maintenant. Donc on peut nettoyer à l'entrée (ACL), et se contenter du point 2 en cas extrême (ci-dessous). 2> utiliser du BGP blackhole Quasiment tous les opérateurs semblent offrir un service de ce type. Le problème est que tu blacklistes toi même les adresses IP concernées, donc le déni de service est réussi au final. 3> Utiliser du BGP Flowspec Cette solution semble moins proposée de prime abord. Je ne sais pas encore si c'est par absence d'offre ou par méconnaissance du catalogue pour ceux qui ne l'ont pas proposé. J'aime bien le principe général, c'est très granulaire, et s'il s'applique sur tout le réseau de l'opérateur (via les PE ?), l'attaque n'entre même pas sur le réseau. Tout le monde y gagne. > En général le prix étant tellement plus élevé que prendre du tuyaux et négo > des commits > que pour cette expérience le résultat a été celui là. C'est effectivement le raisonnement de plusieurs opérateurs m'ayant contacté en privé. > > Surtout que les IX commencent a donner les moyen de null router les ips > cibles (ou mieux > shut la connection sur l'IX et attendre via flowspec / arbor / whatever que > ca se calme). Il faut que je vois avec Grenoblix Lyonix si BGP flowspec est supporté ;-) >> Ou avez-vous plutôt privilégié des solutions BGP de pure player (Qrator, >> etc.) ? > Jamais testé, elles n'existaient pas (ou débutais à l'époque). Pour certains > trucs un CDN > a été utilisé pour limiter l'impact de l'appeau a DDoS. :) J'ai eu plusieurs réponses de fournisseurs anti-DDoS utilisant BGP. Le principe est assez simple: en cas d'attaque, on coupe tous les autres transits, la totalité du trafic bascule alors sur le fournisseur anti-DDoS. Finalement, on prend des tuyaux raisonnables chez quelques transitaires classiques, et un chez le fournisseur anti-DDoS; Cerise sur le gâteau, si le fournisseur anti-DDoS est présent sur ton point d'échange favori, ta liaison avec lui ne te coute quasiment rien, tu rétribues juste le service. > Après ça fait quelques temps et donc le paysage a peut-être changé... (eg je > sais pas si > des transitaires sont BGP Flowspec compatibles par exemple). Oui, je te confirme que c'est supporté, mais je n'ai pas l'impression que c'est la grande majorité. > Ne pas oublier, certains traffic pourris viennent AUSSI des IX, et si tu as > donc des IX a > gérer, et bien les protection des transitaires peuvent être useless. Ah aussi > tu leur donne > confiance car tu dois ajouter une route de tes prefix dans leur AS... A toi > de voir jusqu'où > vas ta confiance en eux.... :) Aujourd'hui, la partie IX représente une faible partie de mon trafic, en cas d'attaque, je pense raisonnable de couper ;-) Je vais rester ouvert sur l'aspect DDoS, je pense que je vais prendre quelques transits 10 G en privilégiant au moins un supportant BGP flowspec. Et un prestataire anti-DDoS, qu'il soit opérateur de transit ou non. Merci de ta réponse. PS: Je ne suis pas opposé aux propositions de transit ou anti-DDoS BGP par mail privé mais pas d'appels téléphoniques SVP. -- *Emmanuel DECAEN* --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/