Re: [FRnOG] Re: [TECH] UDP - DDOS : Solution globale possible ?

Thu, 03 Sep 2020 05:04:41 -0700 



Le 03-09-2020 13:56, Fabien VINCENT FrNOG  via frnog a écrit :

Le 03-09-2020 10:15, Philippe Bourcier a écrit :

Re,


@Stephane : OK pour BCP 38 effectivement !


+1 pour BCP, ca fait déjà plus de 20 ans qu'on en parle... et ce n'est
toujours pas fait partout.


@Stephane, oui pour DNS, mais malheureusement l'imagination est sans
limite pour trouver des nouveaux services d'amplification ..


C'est pas pour casser tes rêves, Fabien, mais la prochaine mouture de
HTTP (HTTP/3) risque bien
d'être en UDP... Ce sera potentiellement le début de la fin de TCP sur
Internet vu à quel point
ce seul protocole est ultra-majoritaire et va continuer de l'être.



Ha j'allais dire la même chose sur HTTP/3 (y a eu un très bon thread
sur NaNOG la dessus, hormis les trolls, sur la classification de
QUIC/HTTP/3 comme un DDoS chez Verizon si je me souviens bien, en gros
la personne regarde youtube sous Chrome et il obtient un débit tout
pourri)


Avec le lien et la correction, ce n'est pas Verizon, mais AT&T

https://www.mail-archive.com/nanog@nanog.org/msg105413.html



Bizarrement, je ne suis pas sur que TCP devienne la mode, je dirais
que c'est globalement l'inverse se produit. On utilise de plus en plus
UDP pour s'affranchir des problématiques de SlowStart (voir pour
encapsuler, cf VxLAN).

Bref, la fin d'UDP (et donc des DDoS avec spoof de la source) c'est
pas pour demain.

Globalement, il y a des choses à faire avec BCP 38, possiblement
FlowSpec (mais l'actualité va pas nous aider, et les mesures FlowSpec
inter AS, c'est compliqué IMHO), mais rien à mes yeux de globalement
applicable partout. Ca reste du bon vouloir des gens, et il est existe
quand même pas mal de moyens aujourd'hui de s'en prémunir (les gros
opérateurs proposant des services de miti auto).




Cordialement,
--
Philippe Bourcier
web : http://sysctl.org
blog : https://www.linkedin.com/today/author/philippebourcier

Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Fabien VINCENT
_@beufanet_


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/























					Répondre à