Il y a plusieurs sujets dans ce cas : - Attaque du routeur directement - Avoir des filtres propre sur le routeur ou des ip non routées/routable sur le routeur de bordure vers les transitaires : Si tu as des peerings sur ce edge, ben le coup des ip , ça marche plus. - Avoir largement la BP pour ne pas saturer les ports d’uplinks : Quand tu te prends 20/30G c’est gérable facilement. Quand tu te prends 200G, c’est un autre sujet - Attague avec le routeur en “transit” - Si l’attaque est petite (<50G) : ça passe et avec un vrai routeur ( non, non je ne lance le trop sur les routeurs laiton), tu peux mettre des filtres (genre BCP38 et +++ ) et faire du flowspec sur ton reseau - Si attaque moyenne >50G <200G : Tu peux te debrouiller pour n’exporter que le prefixe concerné sur un transitaire , le depref et sortir par ailleur et attendre que ça passe :) - Si attaque >200G : Il faut acheter un service chez qqn stou
Pour moi le blackhole n’est pas une solution, l’attaquant a gagné :) Raphael > On 2 Jul 2019, at 10:04, Paul Rolland (ポール・ロラン) <rol+fr...@witbe.net> wrote: > > Hello, > > On Tue, 2 Jul 2019 00:29:55 +0200 > Raphael Maunier <raph...@maunier.net> wrote: > >> Flowspec seul en inter-isp ça ne suffit pas car des lors que ton bgp >> flappe ( port full par ex ) bah… ça marche plus trop. > > Marrant, c'est la question que je me posais justement hier en lisant les > posts et les articles... Si tu te fais DDoS ton port, effectivement, BGP, > c'est comme le reste de ton traffic, ca a du mal a passer. > Du coup, est-ce qu'il y a eu des debuts de reflexion sur le fait de faire > passer une session dedie BGP flowspec en OoB / multihops ? > > Parce que la, comme le fait remarquer Raph, en cas de saturation du port, > je vois pas comment ca va le faire. > > Paul > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/