[FRnOG] [MISC] Fwd: Re: Verizon Policy Statement on Net Neutrality

2015-02-27 Par sujet Michael Hallgren
;-)

Cheers,
mh


 Message transféré 
Sujet : Re: Verizon Policy Statement on Net Neutrality
Date :  Fri, 27 Feb 2015 14:24:54 -0500
De :Bruce H McIntosh 
Pour :  Jim Richardson , Lamar Owen

Copie à :   na...@nanog.org 



On 2015-02-27 14:14, Jim Richardson wrote:
> What's a "lawful" web site?
>
Now *there* is a $64,000 question.  Even more interesting is, "Who gets 
to decide day to day the answer to that question?" :)

-- 

Bruce H. McIntoshb...@ufl.edu
Senior Network Engineer  http://net-services.ufl.edu
University of Florida Network Services   352-273-1066




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] DDoS / analyse de traffic

2015-02-27 Par sujet Youssef Bengelloun-Zahr
Et a l'inverse, on a déjà vu *UN* seul paquet faire rebooter des routeurs cœur.

Ce n'est *PLUS* une question de taille, la menace est devenue polymorphe, 
multi-vectorielle et évolutive.

==> donc les contre-mesures doivent s'adapter en fonction.

@+



> Le 27 févr. 2015 à 18:30, Baptiste  a écrit :
> 
> Sans aller dans les extrêmes, quelques centaines de milliers de
> paquets ne prennent pas un gros volume et peuvent faire tomber la plus
> part des équipements réseau et/ou serveurs d'un infra.
> 
> Baptiste


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] DDoS / analyse de traffic

2015-02-27 Par sujet Christopher Johnson

Et il copie le mot de passe dans la barre d'url...
lol mdr

Le 2015-02-27 17:42, Alexandre Allard-Jacquin a écrit :

"[...] Il parait, je dirais pas qui, qu'on peut avoir le login et le
root du serveur par httpd et php [...]"
Ce gars m'a quasiment fait mourir de rire !

Et puis convaincu de son truc en plus !

On 27/02/2015 17:31, Youssef Bengelloun-Zahr wrote:
Naaa, mais la vidéo était au même niveau de ridicule... Il se serait 
pas

pris pour Snowden le mec ?  :-)

@++



Le 27 février 2015 17:21, Clement Cavadore  a 
écrit :



'lu

On Fri, 2015-02-27 at 17:11 +0100, Youssef Bengelloun-Zahr wrote:

Merci pour ce moment ;-)

Tu t'es pris pour Trierweiler ?

--
Clément Cavadore





---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Christopher Johnson


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] DDoS / analyse de traffic

2015-02-27 Par sujet Baptiste
Sans aller dans les extrêmes, quelques centaines de milliers de
paquets ne prennent pas un gros volume et peuvent faire tomber la plus
part des équipements réseau et/ou serveurs d'un infra.

Baptiste


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] DDoS / analyse de traffic

2015-02-27 Par sujet Youssef Bengelloun-Zahr
14 ans et pas de nana à re-inventer le monde dans sa piaule...

Ça vous rappel pas des souvenirs ?  ;-)

Bon WE.



> Le 27 févr. 2015 à 17:42, Alexandre Allard-Jacquin 
>  a écrit :
> 
> "[...] Il parait, je dirais pas qui, qu'on peut avoir le login et le root du 
> serveur par httpd et php [...]"
> Ce gars m'a quasiment fait mourir de rire !
> 
> Et puis convaincu de son truc en plus !
> 
>> On 27/02/2015 17:31, Youssef Bengelloun-Zahr wrote:
>> Naaa, mais la vidéo était au même niveau de ridicule... Il se serait pas
>> pris pour Snowden le mec ?  :-)
>> 
>> @++
>> 
>> 
>> 
>> Le 27 février 2015 17:21, Clement Cavadore  a écrit :
>> 
>>> 'lu
>>> 
 On Fri, 2015-02-27 at 17:11 +0100, Youssef Bengelloun-Zahr wrote:
 Merci pour ce moment ;-)
>>> Tu t'es pris pour Trierweiler ?
>>> 
>>> --
>>> Clément Cavadore
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [MISC] DDoS / analyse de traffic

2015-02-27 Par sujet Alexandre Allard-Jacquin
"[...] Il parait, je dirais pas qui, qu'on peut avoir le login et le 
root du serveur par httpd et php [...]"

Ce gars m'a quasiment fait mourir de rire !

Et puis convaincu de son truc en plus !

On 27/02/2015 17:31, Youssef Bengelloun-Zahr wrote:

Naaa, mais la vidéo était au même niveau de ridicule... Il se serait pas
pris pour Snowden le mec ?  :-)

@++



Le 27 février 2015 17:21, Clement Cavadore  a écrit :


'lu

On Fri, 2015-02-27 at 17:11 +0100, Youssef Bengelloun-Zahr wrote:

Merci pour ce moment ;-)

Tu t'es pris pour Trierweiler ?

--
Clément Cavadore





---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Alexandre Allard-Jacquin

Je suis d'accord avec toi,
Le domaine du GSP n'est pas tellement reconnu mais jugé la plupart du 
temps à sa juste valeur !


Les infras sont certes critiques dans le besoin de "propreté" et de 
fiabilité du réseau mais moins critiques au sens général du terme car

ne portant pas la vie d'une entreprise.

Je pense personnellement que le jeu qui occasionne 80% des DDoS à savoir 
Minecraft est dans son cycle de croissance en nombre d'attaques

car pollué de plus en plus et c'est bien dommage pour la communauté.

Je te propose de poursuivre ce débat en Off ...

Alexandre

On 27/02/2015 17:26, Christopher Johnson wrote:
Oui je pense que l'on fait parti des rares GSP à avoir un AS 
(Myriapulse.com AS50535), mais le marcher est entrain de chuter, car 
il y a de plus en plus de petit qui n'on pas un service aussi avancé 
que nous, ils hébergent chez online ou ovh et on plus de flexibilité, 
car ils n'ont pas à gérer leurs infrastructure hardware. c'est pour 
cela que nous sommes passé au cloud, avec nodilex.com, car les 
technique sont plus ou moins les mêmes, sauf qu'au lieux de gérer des 
serveur de jeux (processus) nous gérons des VM. De plus quand tu 
débarque dans des meeting et que tu dit que tu est fait du jeux, on te 
prend pour un guignol, alors que les techniques sont plus poussé et 
l’infrastructure est plus critique que dans du hosting traditionnel 
car c'est tu temps réel et que l'on ne peux pas ce permettre d'avoir 
des problèmes de performances ou de lantences, un peux comme dans de 
la voip.


Le 2015-02-27 16:43, Alexandre Allard-Jacquin a écrit :

Bonjour la liste,

Neo / Zayo, de mon expérience a toujours, avec leur solution  IP
Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s.
Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne
plus annoncer le /24 sur cogent voir tomber la session Cogent quand
ils prennent une attaque.

Bref, Zayo a fait ses preuves avec leur ARBOR lors d'attaques sur les
GSP sur tout type de jeu une fois les contre mesures bien setup.


Il a l'air super expérimenté le gars, je comprends pas pourquoi on se
moque de lui :p


Alexandre

On 27/02/2015 16:26, Christopher Johnson wrote:
Ma solution est simple, je recherche juste un software capable de 
détecter les attaques ddos afin de pouvoir router les IP 
sources/cibles dans un blackhole, car jusqu’à présent nous utilisons 
un système homemade dont l'efficacité est aléatoire. Il me reste 
juste a savoir ci Neo/Zayo fourni un service qui permet de null 
router les IP de leurs coté. Dans le cas ou ce n'est pas possible je 
ferais en sorte que les IP à risque soit joignable de préférence par 
Corent.


Peut importe si les ip cibles ne sont plus joignables, l’essentiel 
pour nous est de limité l’impacte sur la totalité du réseaux, car 
nous ne disposons que de 2x1GBps.


Précision sur les attaques ddos:
Les attaques ddos dont nous sommes victime ont pour cible des 
serveurs qui héberge du Minecraft. (UDP effectuées grace au 
traditionel ace.pl, ddos.pl, hulk.py, etc...)
En effet, les attaques ddos sont des représailles suite a un ban 
d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a 
détruit ma maison: je te kick, tu m'a kick, je te ddos)


La recrudescence de ce type t'attaque coïncide bizarrement avec 
l’avènement de Minecraft. (ce qui explique les horraires)
Il est devenu très facile pour ces gamins de déclencher une attaque 
ddos grâce à ce qu'ils appellent des "API DDoS" disponible un peux 
partout: http://down-api.eu/


Ces "API" sont mises en place par des guignols de 15 ans qui loue 
une dizaines des VPS, pour y exécuter les fameux scriptes perl et 
python cité précédemment. Il on généralement un petit site web avec 
un formulaire qui leurs permet de prendre des commandes, mais je 
doute fort que leurs technique pour déclencher ces attaques soit 
très élaborer, ils le font manuellement ou au mieux avec un script 
qui ce connecte en SSH aux VPS distant, mais pas avec le fameux 
script wget://.../bot.txt qui ce connecte à un serveur IRC.


Le pire dans cette histoire c'est que ce gens n'ont aucune 
connaissances en matière d'informatique:

https://www.youtube.com/watch?v=CN5PDhYnXqo

Vidéo a regarder absolument si vous voulez bien rigoler. ;-)


Le 2015-02-27 13:37, Romain GUICHARD a écrit :

Le 27 février 2015 13:34, Christopher Johnson <
christopher.john...@euskill.com> a écrit :


Le 2015-02-27 08:35, Amaury DUCHENE a écrit :


Bonjour,

A qu'elle hauteur devez vous mitiger les attaques ?



Les attaques sont essentiellement le soir, le mercredi, le 
week-end, et en

période de vacances.


Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis
Internet ;)





Cordialement,

On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte
 wrote:

 Il y a aussi les produits de Andrisoft et flowtraq


Fabien

On Feb 26, 2015, at 9:26 PM, Raphael Mazelier 
wrote:

> Le 26/02/2015 21:10, Jeremy a écrit :
>> Prend une licence chez Wanguard va :)
>>
> Je trouve que ce so

Re: [FRnOG] [MISC] DDoS / analyse de traffic

2015-02-27 Par sujet Youssef Bengelloun-Zahr
Naaa, mais la vidéo était au même niveau de ridicule... Il se serait pas
pris pour Snowden le mec ?  :-)

@++



Le 27 février 2015 17:21, Clement Cavadore  a écrit :

> 'lu
>
> On Fri, 2015-02-27 at 17:11 +0100, Youssef Bengelloun-Zahr wrote:
> > Merci pour ce moment ;-)
>
> Tu t'es pris pour Trierweiler ?
>
> --
> Clément Cavadore
>
>


-- 
Youssef BENGELLOUN-ZAHR

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Christopher Johnson
Nous avons déjà eu des réquisition judiciaires suite a ce genre de 
problèmes, je ne sais pas qui il avait ddos, mais je pense que cela 
reste une exception.


Le 2015-02-27 17:15, Josselin Lecocq a écrit :

Salut la liste,

C'est triste quand même que la grande majorité des DDoS soient
aujourd'hui l’œuvre de script kiddies...

Il faudrait quand même que l'on commence à se poser sérieusement des
questions concernant ce problème majeur sur Internet, et que l'on 
traite

les causes plutôt que les symptômes.

La clé, c'est sans doute la collaboration de tous les opérateurs de
réseau afin d'être en mesure d'identifier rapidement les attaques, de
les bloquer au plus proche possible des sources, mais aussi et 
surtout

d'identifier les auteurs, pirates en herbe ou autre, afin de les
traduire systématiquement en justice.

Ça peut paraître exagéré, mais on tolère encore trop ce genre de 
chose,

ce qui fait qu'il y a un sentiment d'impunité et de banalité qui
s'installe et qui ne fait qu'amplifier le problème.

L'autre aspect de cette problématique, c'est qu'un certain nombre de
grands hébergeurs font désormais de leurs systèmes anti-DDoS un 
argument
commercial, et n'ont pas forcément intérêt à voir ces attaques 
diminuer,

ce qui permettrait à des plus petits concurrents d'émerger plus
facilement...

Bref, pas simple tout ça...


Josselin Lecocq
Quantic Telecom


Le 27/02/2015 16:52, Pierre DOLIDON a écrit :

Le 27/02/2015 16:26, Christopher Johnson a écrit :

Le pire dans cette histoire c'est que ce gens n'ont aucune
connaissances en matière d'informatique:
https://www.youtube.com/watch?v=CN5PDhYnXqo

Vidéo a regarder absolument si vous voulez bien rigoler. ;-)


j'ai failli mourir de rire... ou pleurer devant tant 
d'incompétence...

je sais pas...


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Christopher Johnson


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Christopher Johnson
Oui je pense que l'on fait parti des rares GSP à avoir un AS 
(Myriapulse.com AS50535), mais le marcher est entrain de chuter, car il 
y a de plus en plus de petit qui n'on pas un service aussi avancé que 
nous, ils hébergent chez online ou ovh et on plus de flexibilité, car 
ils n'ont pas à gérer leurs infrastructure hardware. c'est pour cela que 
nous sommes passé au cloud, avec nodilex.com, car les technique sont 
plus ou moins les mêmes, sauf qu'au lieux de gérer des serveur de jeux 
(processus) nous gérons des VM. De plus quand tu débarque dans des 
meeting et que tu dit que tu est fait du jeux, on te prend pour un 
guignol, alors que les techniques sont plus poussé et l’infrastructure 
est plus critique que dans du hosting traditionnel car c'est tu temps 
réel et que l'on ne peux pas ce permettre d'avoir des problèmes de 
performances ou de lantences, un peux comme dans de la voip.


Le 2015-02-27 16:43, Alexandre Allard-Jacquin a écrit :

Bonjour la liste,

Neo / Zayo, de mon expérience a toujours, avec leur solution  IP
Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s.
Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne
plus annoncer le /24 sur cogent voir tomber la session Cogent quand
ils prennent une attaque.

Bref, Zayo a fait ses preuves avec leur ARBOR lors d'attaques sur les
GSP sur tout type de jeu une fois les contre mesures bien setup.


Il a l'air super expérimenté le gars, je comprends pas pourquoi on se
moque de lui :p


Alexandre

On 27/02/2015 16:26, Christopher Johnson wrote:
Ma solution est simple, je recherche juste un software capable de 
détecter les attaques ddos afin de pouvoir router les IP 
sources/cibles dans un blackhole, car jusqu’à présent nous utilisons 
un système homemade dont l'efficacité est aléatoire. Il me reste juste 
a savoir ci Neo/Zayo fourni un service qui permet de null router les 
IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en 
sorte que les IP à risque soit joignable de préférence par Corent.


Peut importe si les ip cibles ne sont plus joignables, l’essentiel 
pour nous est de limité l’impacte sur la totalité du réseaux, car nous 
ne disposons que de 2x1GBps.


Précision sur les attaques ddos:
Les attaques ddos dont nous sommes victime ont pour cible des 
serveurs qui héberge du Minecraft. (UDP effectuées grace au 
traditionel ace.pl, ddos.pl, hulk.py, etc...)
En effet, les attaques ddos sont des représailles suite a un ban 
d'un joueurs par l'admin du serveur pour acte de vandalisme. (tu a 
détruit ma maison: je te kick, tu m'a kick, je te ddos)


La recrudescence de ce type t'attaque coïncide bizarrement avec 
l’avènement de Minecraft. (ce qui explique les horraires)
Il est devenu très facile pour ces gamins de déclencher une attaque 
ddos grâce à ce qu'ils appellent des "API DDoS" disponible un peux 
partout: http://down-api.eu/


Ces "API" sont mises en place par des guignols de 15 ans qui loue 
une dizaines des VPS, pour y exécuter les fameux scriptes perl et 
python cité précédemment. Il on généralement un petit site web avec un 
formulaire qui leurs permet de prendre des commandes, mais je doute 
fort que leurs technique pour déclencher ces attaques soit très 
élaborer, ils le font manuellement ou au mieux avec un script qui ce 
connecte en SSH aux VPS distant, mais pas avec le fameux script 
wget://.../bot.txt qui ce connecte à un serveur IRC.


Le pire dans cette histoire c'est que ce gens n'ont aucune 
connaissances en matière d'informatique:

https://www.youtube.com/watch?v=CN5PDhYnXqo

Vidéo a regarder absolument si vous voulez bien rigoler. ;-)


Le 2015-02-27 13:37, Romain GUICHARD a écrit :

Le 27 février 2015 13:34, Christopher Johnson <
christopher.john...@euskill.com> a écrit :


Le 2015-02-27 08:35, Amaury DUCHENE a écrit :


Bonjour,

A qu'elle hauteur devez vous mitiger les attaques ?



Les attaques sont essentiellement le soir, le mercredi, le 
week-end, et en

période de vacances.

Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du 
Permis

Internet ;)





Cordialement,

On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte
 wrote:

 Il y a aussi les produits de Andrisoft et flowtraq


Fabien

On Feb 26, 2015, at 9:26 PM, Raphael Mazelier 


wrote:

> Le 26/02/2015 21:10, Jeremy a écrit :
>> Prend une licence chez Wanguard va :)
>>
> Je trouve que ce soft a un très bon rapport qualité/prix.
> Évidement c'est loin d’être parfait, mais à ce tarif c'est
imbattable.
> Le support est réactif qui plus est.
>
> --
> Raphael Mazelier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/




Links:
--
[1] mailto:fdelmot...@mac.com



---
Christopher Johnson



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Christopher Johnson


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--

Re: [FRnOG] [MISC] DDoS / analyse de traffic

2015-02-27 Par sujet Clement Cavadore
'lu

On Fri, 2015-02-27 at 17:11 +0100, Youssef Bengelloun-Zahr wrote:
> Merci pour ce moment ;-)

Tu t'es pris pour Trierweiler ?

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Josselin Lecocq
Salut la liste,

C'est triste quand même que la grande majorité des DDoS soient
aujourd'hui l’œuvre de script kiddies...

Il faudrait quand même que l'on commence à se poser sérieusement des
questions concernant ce problème majeur sur Internet, et que l'on traite
les causes plutôt que les symptômes.

La clé, c'est sans doute la collaboration de tous les opérateurs de
réseau afin d'être en mesure d'identifier rapidement les attaques, de
les bloquer au plus proche possible des sources, mais aussi et surtout
d'identifier les auteurs, pirates en herbe ou autre, afin de les
traduire systématiquement en justice.

Ça peut paraître exagéré, mais on tolère encore trop ce genre de chose,
ce qui fait qu'il y a un sentiment d'impunité et de banalité qui
s'installe et qui ne fait qu'amplifier le problème.

L'autre aspect de cette problématique, c'est qu'un certain nombre de
grands hébergeurs font désormais de leurs systèmes anti-DDoS un argument
commercial, et n'ont pas forcément intérêt à voir ces attaques diminuer,
ce qui permettrait à des plus petits concurrents d'émerger plus
facilement...

Bref, pas simple tout ça...


Josselin Lecocq
Quantic Telecom


Le 27/02/2015 16:52, Pierre DOLIDON a écrit :
> Le 27/02/2015 16:26, Christopher Johnson a écrit :
>> Le pire dans cette histoire c'est que ce gens n'ont aucune
>> connaissances en matière d'informatique:
>> https://www.youtube.com/watch?v=CN5PDhYnXqo
>>
>> Vidéo a regarder absolument si vous voulez bien rigoler. ;-)
> 
> j'ai failli mourir de rire... ou pleurer devant tant d'incompétence...
> je sais pas...
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Youssef Bengelloun-Zahr
Merci pour ce moment ;-)

@+



Le 27 février 2015 16:52, Pierre DOLIDON  a écrit :

> Le 27/02/2015 16:26, Christopher Johnson a écrit :
>
>> Le pire dans cette histoire c'est que ce gens n'ont aucune connaissances
>> en matière d'informatique:
>> https://www.youtube.com/watch?v=CN5PDhYnXqo
>>
>> Vidéo a regarder absolument si vous voulez bien rigoler. ;-)
>>
>
> j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... je
> sais pas...
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Youssef BENGELLOUN-ZAHR

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Christopher Johnson

Le 2015-02-27 16:52, Pierre DOLIDON a écrit :

Le 27/02/2015 16:26, Christopher Johnson a écrit :
Le pire dans cette histoire c'est que ce gens n'ont aucune 
connaissances en matière d'informatique:

https://www.youtube.com/watch?v=CN5PDhYnXqo

Vidéo a regarder absolument si vous voulez bien rigoler. ;-)


j'ai failli mourir de rire... ou pleurer devant tant
d'incompétence... je sais pas...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Ce qu'il n'a jamais su, c'est que le BEFTI nous a envoyé une 
réquisition judiciaire suite à ces ddos.


---
Christopher Johnson


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Pierre DOLIDON

Le 27/02/2015 16:26, Christopher Johnson a écrit :
Le pire dans cette histoire c'est que ce gens n'ont aucune 
connaissances en matière d'informatique:

https://www.youtube.com/watch?v=CN5PDhYnXqo

Vidéo a regarder absolument si vous voulez bien rigoler. ;-)


j'ai failli mourir de rire... ou pleurer devant tant d'incompétence... 
je sais pas...



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Youssef Bengelloun-Zahr
Bonjour Frédéric,

Oui, je suis d'accord et j'ai aussi penser à la solution du transit
poubelle pour le /24 infecté à pas de 0 cts/Mbits.

Dans l'absolu, tout dépend de ton business case (la nature de clients
adressés + SLAs). Il y a un juste milieu à trouver entre la foultitude
d'outils à notre disposition.

Après, il faut juste espérer que ça ne te tombe pas dessus (trop) souvent ?
En ce moment, la météo est mauvaise...

Y.



Le 27 février 2015 15:51, Frederic Dhieux  a écrit :

> Bonjour,
>
> On retombe toujours sur les mêmes problèmes. Dans tous les cas quand on
> prend un bon DDoS, à moins d'avoir de gros moyens ou de souscrire à un
> service anti-DDoS chez ton transitaire (beaucoup le proposent et c'est
> bien parce qu'ils ont la capa pour le gérer correctement), il n'y a pas
> beaucoup de solutions.
>
> Pour ma part j'ai pris le parti de prendre un transit poubelle et d'y
> coller un serveur machine à laver à qui un outil d'analyse applique des
> ACLs en fonction des attaques. Après le jeu est d'appliquer des
> communautés BGP et des annonces pour faire converger le trafic DDoS sur
> ce transit poubelle et garder le reste sur les liens propres. Sinon de
> préserver les peerings sensibles et opérateurs clés de mon activité et
> basculer tout le reste sur le transit poubelle.
>
> Si le transit poubelle sature, au moins je préserve une partie du
> trafic. Sachant aussi qu'en cas d'attaque ciblée sur une IP, le /24 le
> contenant est annoncé indépendamment pour que le traitement ne concerne
> que cette /24 et pas tout le reste.
>
> C'est un compromis que je trouve plus acceptable chez nous que de
> dépenser des 100aines de milliers d'Euros dans une solution à la mode
> dont la capacité de traitement est plafonnée de toute manière par la
> taille du tuyau quand les attaques augmentent de mois en mois.
>
> Sinon quand on a pas de temps à perdre pour mettre ça en place, prendre
> un transit avec service anti-DDoS et tout basculer dessus en cas de
> problème. Ou faire les 2 quand on veut s'amuser et se backuper.
>
> Je pense qu'il faut vraiment avoir une taille critique et des moyens
> pour utiliser des solutions Anti-DDoS commerciales en propre.
>
> Frédéric
>
> Le 27/02/15 14:14, Youssef Bengelloun-Zahr a écrit :
> > Sans compter que tout le monde n'a peut-être pas suffisement de TCAMs sur
> > ses routeurs de coeur (qui a dit firewalls ;-) pour blackholer autant
> d'IP
> > sources.
> >
> > My 2 cents.
> >
> > @++
> >
> >
> >
> > Le 27 février 2015 14:04, Raphael Maunier  a écrit
> :
> >
> >>> On 27 Feb 2015, at 05:02, David CHANIAL 
> wrote:
> >>>
> >>> Bonjour Raphael,
> >>>
>  Le 27 févr. 2015 à 13:51, Raphael Maunier  a
> >> écrit :
>  Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
> >>> N’y a t’il pas « 50 nuances » de victoire de part et d’autre ?
> >> :)
> >>> Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de
> >> l’infra reste un objectif louable.
> >>
> >> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le
> nulle
> >> route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou
> une
> >> autre attaque qui forge les ip ton routeur tes routages ne te seront pas
> >> d’une grande utilité
> >>
> >>> Mais si le budget ne le permet pas, ne vaut-il pas mieux envisager des
> >> solutions intermédiaires, dont certaines te permettent de bloquer
> >> uniquement la cible, et pas le reste de ton infra ?
> >>> Cordialement,
> >>> --
> >>> David CHANIAL
> >>>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Youssef BENGELLOUN-ZAHR

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Alexandre Allard-Jacquin

Bonjour la liste,

Neo / Zayo, de mon expérience a toujours, avec leur solution  IP 
Defender (Arbor) tenu le choc sur des attaques de moins de 40 Gb/s.
Les hosteurs MC qui ont un AS (ils sont rares) préfèrent souvent ne plus 
annoncer le /24 sur cogent voir tomber la session Cogent quand ils 
prennent une attaque.


Bref, Zayo a fait ses preuves avec leur ARBOR lors d'attaques sur les 
GSP sur tout type de jeu une fois les contre mesures bien setup.



Il a l'air super expérimenté le gars, je comprends pas pourquoi on se 
moque de lui :p



Alexandre

On 27/02/2015 16:26, Christopher Johnson wrote:
Ma solution est simple, je recherche juste un software capable de 
détecter les attaques ddos afin de pouvoir router les IP 
sources/cibles dans un blackhole, car jusqu’à présent nous utilisons 
un système homemade dont l'efficacité est aléatoire. Il me reste juste 
a savoir ci Neo/Zayo fourni un service qui permet de null router les 
IP de leurs coté. Dans le cas ou ce n'est pas possible je ferais en 
sorte que les IP à risque soit joignable de préférence par Corent.


Peut importe si les ip cibles ne sont plus joignables, l’essentiel 
pour nous est de limité l’impacte sur la totalité du réseaux, car nous 
ne disposons que de 2x1GBps.


Précision sur les attaques ddos:
Les attaques ddos dont nous sommes victime ont pour cible des serveurs 
qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, 
ddos.pl, hulk.py, etc...)
En effet, les attaques ddos sont des représailles suite a un ban d'un 
joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit 
ma maison: je te kick, tu m'a kick, je te ddos)


La recrudescence de ce type t'attaque coïncide bizarrement avec 
l’avènement de Minecraft. (ce qui explique les horraires)
Il est devenu très facile pour ces gamins de déclencher une attaque 
ddos grâce à ce qu'ils appellent des "API DDoS" disponible un peux 
partout: http://down-api.eu/


Ces "API" sont mises en place par des guignols de 15 ans qui loue une 
dizaines des VPS, pour y exécuter les fameux scriptes perl et python 
cité précédemment. Il on généralement un petit site web avec un 
formulaire qui leurs permet de prendre des commandes, mais je doute 
fort que leurs technique pour déclencher ces attaques soit très 
élaborer, ils le font manuellement ou au mieux avec un script qui ce 
connecte en SSH aux VPS distant, mais pas avec le fameux script 
wget://.../bot.txt qui ce connecte à un serveur IRC.


Le pire dans cette histoire c'est que ce gens n'ont aucune 
connaissances en matière d'informatique:

https://www.youtube.com/watch?v=CN5PDhYnXqo

Vidéo a regarder absolument si vous voulez bien rigoler. ;-)


Le 2015-02-27 13:37, Romain GUICHARD a écrit :

Le 27 février 2015 13:34, Christopher Johnson <
christopher.john...@euskill.com> a écrit :


Le 2015-02-27 08:35, Amaury DUCHENE a écrit :


Bonjour,

A qu'elle hauteur devez vous mitiger les attaques ?



Les attaques sont essentiellement le soir, le mercredi, le week-end, 
et en

période de vacances.


Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis
Internet ;)





Cordialement,

On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte
 wrote:

 Il y a aussi les produits de Andrisoft et flowtraq


Fabien

On Feb 26, 2015, at 9:26 PM, Raphael Mazelier 
wrote:

> Le 26/02/2015 21:10, Jeremy a écrit :
>> Prend une licence chez Wanguard va :)
>>
> Je trouve que ce soft a un très bon rapport qualité/prix.
> Évidement c'est loin d’être parfait, mais à ce tarif c'est
imbattable.
> Le support est réactif qui plus est.
>
> --
> Raphael Mazelier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/




Links:
--
[1] mailto:fdelmot...@mac.com



---
Christopher Johnson



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Christopher Johnson


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Christopher Johnson
Ma solution est simple, je recherche juste un software capable de 
détecter les attaques ddos afin de pouvoir router les IP sources/cibles 
dans un blackhole, car jusqu’à présent nous utilisons un système 
homemade dont l'efficacité est aléatoire. Il me reste juste a savoir ci 
Neo/Zayo fourni un service qui permet de null router les IP de leurs 
coté. Dans le cas ou ce n'est pas possible je ferais en sorte que les IP 
à risque soit joignable de préférence par Corent.


Peut importe si les ip cibles ne sont plus joignables, l’essentiel pour 
nous est de limité l’impacte sur la totalité du réseaux, car nous ne 
disposons que de 2x1GBps.


Précision sur les attaques ddos:
Les attaques ddos dont nous sommes victime ont pour cible des serveurs 
qui héberge du Minecraft. (UDP effectuées grace au traditionel ace.pl, 
ddos.pl, hulk.py, etc...)
En effet, les attaques ddos sont des représailles suite a un ban d'un 
joueurs par l'admin du serveur pour acte de vandalisme. (tu a détruit ma 
maison: je te kick, tu m'a kick, je te ddos)


La recrudescence de ce type t'attaque coïncide bizarrement avec 
l’avènement de Minecraft. (ce qui explique les horraires)
Il est devenu très facile pour ces gamins de déclencher une attaque 
ddos grâce à ce qu'ils appellent des "API DDoS" disponible un peux 
partout: http://down-api.eu/


Ces "API" sont mises en place par des guignols de 15 ans qui loue une 
dizaines des VPS, pour y exécuter les fameux scriptes perl et python 
cité précédemment. Il on généralement un petit site web avec un 
formulaire qui leurs permet de prendre des commandes, mais je doute fort 
que leurs technique pour déclencher ces attaques soit très élaborer, ils 
le font manuellement ou au mieux avec un script qui ce connecte en SSH 
aux VPS distant, mais pas avec le fameux script wget://.../bot.txt qui 
ce connecte à un serveur IRC.


Le pire dans cette histoire c'est que ce gens n'ont aucune 
connaissances en matière d'informatique:

https://www.youtube.com/watch?v=CN5PDhYnXqo

Vidéo a regarder absolument si vous voulez bien rigoler. ;-)


Le 2015-02-27 13:37, Romain GUICHARD a écrit :

Le 27 février 2015 13:34, Christopher Johnson <
christopher.john...@euskill.com> a écrit :


Le 2015-02-27 08:35, Amaury DUCHENE a écrit :


Bonjour,

A qu'elle hauteur devez vous mitiger les attaques ?



Les attaques sont essentiellement le soir, le mercredi, le week-end, 
et en

période de vacances.

Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du 
Permis

Internet ;)





Cordialement,

On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte
 wrote:

 Il y a aussi les produits de Andrisoft et flowtraq


Fabien

On Feb 26, 2015, at 9:26 PM, Raphael Mazelier 
wrote:

> Le 26/02/2015 21:10, Jeremy a écrit :
>> Prend une licence chez Wanguard va :)
>>
> Je trouve que ce soft a un très bon rapport qualité/prix.
> Évidement c'est loin d’être parfait, mais à ce tarif c'est
imbattable.
> Le support est réactif qui plus est.
>
> --
> Raphael Mazelier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/




Links:
--
[1] mailto:fdelmot...@mac.com



---
Christopher Johnson



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Christopher Johnson


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Frederic Dhieux
Bonjour,

On retombe toujours sur les mêmes problèmes. Dans tous les cas quand on
prend un bon DDoS, à moins d'avoir de gros moyens ou de souscrire à un
service anti-DDoS chez ton transitaire (beaucoup le proposent et c'est
bien parce qu'ils ont la capa pour le gérer correctement), il n'y a pas
beaucoup de solutions.

Pour ma part j'ai pris le parti de prendre un transit poubelle et d'y
coller un serveur machine à laver à qui un outil d'analyse applique des
ACLs en fonction des attaques. Après le jeu est d'appliquer des
communautés BGP et des annonces pour faire converger le trafic DDoS sur
ce transit poubelle et garder le reste sur les liens propres. Sinon de
préserver les peerings sensibles et opérateurs clés de mon activité et
basculer tout le reste sur le transit poubelle.

Si le transit poubelle sature, au moins je préserve une partie du
trafic. Sachant aussi qu'en cas d'attaque ciblée sur une IP, le /24 le
contenant est annoncé indépendamment pour que le traitement ne concerne
que cette /24 et pas tout le reste.

C'est un compromis que je trouve plus acceptable chez nous que de
dépenser des 100aines de milliers d'Euros dans une solution à la mode
dont la capacité de traitement est plafonnée de toute manière par la
taille du tuyau quand les attaques augmentent de mois en mois.

Sinon quand on a pas de temps à perdre pour mettre ça en place, prendre
un transit avec service anti-DDoS et tout basculer dessus en cas de
problème. Ou faire les 2 quand on veut s'amuser et se backuper.

Je pense qu'il faut vraiment avoir une taille critique et des moyens
pour utiliser des solutions Anti-DDoS commerciales en propre.

Frédéric

Le 27/02/15 14:14, Youssef Bengelloun-Zahr a écrit :
> Sans compter que tout le monde n'a peut-être pas suffisement de TCAMs sur
> ses routeurs de coeur (qui a dit firewalls ;-) pour blackholer autant d'IP
> sources.
>
> My 2 cents.
>
> @++
>
>
>
> Le 27 février 2015 14:04, Raphael Maunier  a écrit :
>
>>> On 27 Feb 2015, at 05:02, David CHANIAL  wrote:
>>>
>>> Bonjour Raphael,
>>>
 Le 27 févr. 2015 à 13:51, Raphael Maunier  a
>> écrit :
 Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
>>> N’y a t’il pas « 50 nuances » de victoire de part et d’autre ?
>> :)
>>> Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de
>> l’infra reste un objectif louable.
>>
>> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle
>> route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une
>> autre attaque qui forge les ip ton routeur tes routages ne te seront pas
>> d’une grande utilité
>>
>>> Mais si le budget ne le permet pas, ne vaut-il pas mieux envisager des
>> solutions intermédiaires, dont certaines te permettent de bloquer
>> uniquement la cible, et pas le reste de ton infra ?
>>> Cordialement,
>>> --
>>> David CHANIAL
>>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Michael Hallgren
Voilà, la mitigation étant un jeu tactique où les fournisseurs de services sont 
clés. Faut aussi assurer des bons relations avec éventuels peers... Puis, 
précision de la mitigation sujet de négociation (ou deal commercial)... mais 
surtout selon échange d'information... 

Cheers, 
mh 


Le 27 février 2015 14:24:28 CET, David Ramahefason  a écrit 
:
>Pour cela qu’il faut parfois utiliser son transitaire pour le
>capacitaire afin que les device DDoS interne fasse leur travail sans
>étouffer.
>Le mieux que rien en cas de DDoS capacitaire c’est … rien si tu as pas
>ce qu’il faut hélas.
>
>David
>
>
>> On 27 Feb 2015, at 14:13, David CHANIAL 
>wrote:
>> 
>> Raphael,
>> 
>>> Le 27 févr. 2015 à 14:04, Raphael Maunier  a
>écrit :
>>> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le
>nulle route des ip en in ( et il faut que ca ne soit pas genre 80 000
>ip ) ou une autre attaque qui forge les ip ton routeur tes routages ne
>te seront pas d’une grande utilité
>> 
>> Je suis complètement d’accord.
>> 
>> Je rebondissais à un de tes messages qui laissait entendre qu’il
>fallait la meilleure solution - ou rien.
>> Je disais juste que si je ne peut pas acheter la meilleure des
>solutions, alors en connaissance de cause, les solutions intermédiaires
>seront toujours mieux que rien.
>> 
>> Cordialement,
>> -- 
>> David CHANIAL
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

-- 
Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma brièveté.
---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet cedric lamouche
je parlais dans le cas où tu peux avoir une remonté d'info vers ton 
transitaire . Biensur que le fait de rajouter une route null sur ton 
backbone c'est trop tard.

cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet David Ramahefason
Pour cela qu’il faut parfois utiliser son transitaire pour le capacitaire afin 
que les device DDoS interne fasse leur travail sans étouffer.
Le mieux que rien en cas de DDoS capacitaire c’est … rien si tu as pas ce qu’il 
faut hélas.

David


> On 27 Feb 2015, at 14:13, David CHANIAL  wrote:
> 
> Raphael,
> 
>> Le 27 févr. 2015 à 14:04, Raphael Maunier  a écrit :
>> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle 
>> route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une 
>> autre attaque qui forge les ip ton routeur tes routages ne te seront pas 
>> d’une grande utilité
> 
> Je suis complètement d’accord.
> 
> Je rebondissais à un de tes messages qui laissait entendre qu’il fallait la 
> meilleure solution - ou rien.
> Je disais juste que si je ne peut pas acheter la meilleure des solutions, 
> alors en connaissance de cause, les solutions intermédiaires seront toujours 
> mieux que rien.
> 
> Cordialement,
> -- 
> David CHANIAL
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Raphael Maunier
Oui, mais ce n’est pas une protection ddos :)

Mon propos est la

> On 27 Feb 2015, at 05:13, David CHANIAL  wrote:
> 
> Raphael,
> 
>> Le 27 févr. 2015 à 14:04, Raphael Maunier  a écrit :
>> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle 
>> route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une 
>> autre attaque qui forge les ip ton routeur tes routages ne te seront pas 
>> d’une grande utilité
> 
> Je suis complètement d’accord.
> 
> Je rebondissais à un de tes messages qui laissait entendre qu’il fallait la 
> meilleure solution - ou rien.
> Je disais juste que si je ne peut pas acheter la meilleure des solutions, 
> alors en connaissance de cause, les solutions intermédiaires seront toujours 
> mieux que rien.
> 
> Cordialement,
> -- 
> David CHANIAL
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Youssef Bengelloun-Zahr
Sans compter que tout le monde n'a peut-être pas suffisement de TCAMs sur
ses routeurs de coeur (qui a dit firewalls ;-) pour blackholer autant d'IP
sources.

My 2 cents.

@++



Le 27 février 2015 14:04, Raphael Maunier  a écrit :

>
> > On 27 Feb 2015, at 05:02, David CHANIAL  wrote:
> >
> > Bonjour Raphael,
> >
> >> Le 27 févr. 2015 à 13:51, Raphael Maunier  a
> écrit :
> >> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
> >
> > N’y a t’il pas « 50 nuances » de victoire de part et d’autre ?
> :)
> >
> > Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de
> l’infra reste un objectif louable.
>
> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle
> route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une
> autre attaque qui forge les ip ton routeur tes routages ne te seront pas
> d’une grande utilité
>
> >
> > Mais si le budget ne le permet pas, ne vaut-il pas mieux envisager des
> solutions intermédiaires, dont certaines te permettent de bloquer
> uniquement la cible, et pas le reste de ton infra ?
> >
> > Cordialement,
> > --
> > David CHANIAL
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Youssef BENGELLOUN-ZAHR

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet David CHANIAL
Raphael,

> Le 27 févr. 2015 à 14:04, Raphael Maunier  a écrit :
> Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle 
> route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une 
> autre attaque qui forge les ip ton routeur tes routages ne te seront pas 
> d’une grande utilité

Je suis complètement d’accord.

Je rebondissais à un de tes messages qui laissait entendre qu’il fallait la 
meilleure solution - ou rien.
Je disais juste que si je ne peut pas acheter la meilleure des solutions, alors 
en connaissance de cause, les solutions intermédiaires seront toujours mieux 
que rien.

Cordialement,
-- 
David CHANIAL


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet David Ramahefason
Pour démarrer peut être voir si tes upstreams n’ont pas l’option mitigation 
Arbor ca évitera d’acheter la machine à laver. Mettre du TMS ou équivalent chez 
soi c’est cher.
Ensuite faire attention si tu as plusieurs upstream  à comment tu veux gérer 
cela (ie arrêter l’annonce vers un transitaire pour nettoyer via l’autre ou 
pas.. mais ca peu devenir compliqué)
Et d’accord avec Raph sur le BlackHole qui est totalement inutile sur du DDos 
capacitaire comme les device avec “option” DDoS précédemment cités

David

> On 27 Feb 2015, at 13:57, cedric lamouche  
> wrote:
> 
> pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant 
> d'atteindre la cible potentiellement chez toi.
> cédric
> 
> Le 27/02/2015 13:51, Raphael Maunier a écrit :
>> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
>> 
>> Raphael
>> 
>>> On 27 Feb 2015, at 00:31, cedric lamouche  
>>> wrote:
>>> 
>>> salut, tu peux regarder du coté de chez Border6 une société française basée 
>>> sur Lille. Ils ont developpé une solution logicielle embarqué dans une 
>>> appliance sous linux qui gère toute la partie BGP avec une détection 
>>> d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le 
>>> trafic dit normal sur ton infra et lors de trafic anormal peut prendre la 
>>> décision de black listée des ips en les envoyant vers un black hole BGP.
>>> http://www.border6.com/
>>> 
>>> Cordialement
>>> 
>>> Cédric Lamouche
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Youssef Bengelloun-Zahr
Salut,

Je pense que cela était vrai pendant longtemps sauf que la donne est
entrain de changer avec l'augmentation rapide de la volumétrie des
attaques. Il est devenu assez simple/trivial de déclencher des attaques par
amplification/réflexion de grand ampleur.

Ca va devenir un jeu du chat et de la souris, de la surenchere : tu
upgrades à nx10G, le mec te balance plus que la somme de tous tes tuyaux.
Et en termes de cout infra plus temps homme pour équilibrer la charge en IN
sur tous les tuyaux, ça doit rapidement devenir couteux.

Du coup, de plus en plus d'offres de mitigation "in ze CLOWD" apparaissent
chez tout type de prestataires (ISP, CDN, etc.) pour absorber les très
grosses volumétries. On le connait tous ;-)

My 2 cents.

@++




Le 27 février 2015 14:01, Jeremy  a écrit :

> Si tes uplink sont saturés, bloquer les IP entrantes ne sert à rien.
> Le blackhole BGP permet de sauver ton réseau, mais l'attaquant a de toute
> façon gagné.
>
> Il faut donc systématiquement augmenter la taille des tuyaux. Seulement
> là, tu peux envisager d'allumer une machine à laver...
>
> Jérémy
>
> Le 27/02/2015 13:57, cedric lamouche a écrit :
>
>  pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer
>> avant d'atteindre la cible potentiellement chez toi.
>> cédric
>>
>> Le 27/02/2015 13:51, Raphael Maunier a écrit :
>>
>>> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
>>>
>>> Raphael
>>>
>>>  On 27 Feb 2015, at 00:31, cedric lamouche >>> fr> wrote:

 salut, tu peux regarder du coté de chez Border6 une société française
 basée sur Lille. Ils ont developpé une solution logicielle embarqué dans
 une appliance sous linux qui gère toute la partie BGP avec une détection
 d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le
 trafic dit normal sur ton infra et lors de trafic anormal peut prendre la
 décision de black listée des ips en les envoyant vers un black hole BGP.
 http://www.border6.com/

 Cordialement

 Cédric Lamouche


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Youssef BENGELLOUN-ZAHR

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Raphael Maunier

> On 27 Feb 2015, at 05:02, David CHANIAL  wrote:
> 
> Bonjour Raphael,
> 
>> Le 27 févr. 2015 à 13:51, Raphael Maunier  a écrit :
>> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
> 
> N’y a t’il pas « 50 nuances » de victoire de part et d’autre ?
:)
> 
> Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de l’infra 
> reste un objectif louable.

Sauf comme indiqué dans une de mes réponses tu as 20G qui rentre, le nulle 
route des ip en in ( et il faut que ca ne soit pas genre 80 000 ip ) ou une 
autre attaque qui forge les ip ton routeur tes routages ne te seront pas d’une 
grande utilité

> 
> Mais si le budget ne le permet pas, ne vaut-il pas mieux envisager des 
> solutions intermédiaires, dont certaines te permettent de bloquer uniquement 
> la cible, et pas le reste de ton infra ?
> 
> Cordialement,
> -- 
> David CHANIAL 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [MISC] Appel à expérimentations - plate-forme ANR LISP-LAB

2015-02-27 Par sujet Stefano Secci
Bonjour,

la plate-forme du projet LISP-LAB est désormais ouverte aux expérimentateurs 
externes. 
Le projet est financé par l'Agence Nationale pour la Recherche (ANR).

Le réseau de coeur de la plate-forme (AS 199813) possède tous les éléments 
nécessaires à opérer un réseau LISP : 
- système de mapping, serveurs et résolveurs ;
- proxy avec l'Internet non-LISP via Rezopole ;
- plusieurs noeuds LISP-TE (MS, RTR) ;
- une dizaine de sites déjà opérationnels, dans quatre continents ;
- racine DDT pour l'accès à d'autres testbeds (http://ddt-root.org). 

Les noeuds sont tous basés sur OpenLISP (http://www.openlisp.org, 
http://github.com/lip6-lisp), et grace à cela des nouvelles fonctionnalités 
peuvent etre implémentées et mises-en-oeuvre assez rapidement dans les noeuds 
du coeur du réseau. 
Cela dit, d'autres implementations  (comme Cisco IOS, Fritzbox, LISPmob, etc) 
peuvent aussi être utilisées pour interconnecter votre site qui peut rester 
relativement indépendant du reste de la plate-forme : à minima, deux VMs 
suffisent, une pour tourner un xTR et une pour un client. 

Rejoindre la plate-forme est très simple : http://www.lisp-lab.org/join.html 

Une présentation sera faite lors du prochain FRnOG du 20 mars, avec plusieurs 
personnes disponibles à répondre à vos questions pendant les pauses et le beer 
event.

Cordialement,
Stefano Secci


-- 
Stefano Secci
Associate Professor
Univ. Pierre and Marie Curie
LIP6 - Bureau 25-26/318, BC 169
4 place Jussieu, 75005 Paris, France
Tel:  +33 (0) 1 4427 3678
http://lip6.fr/Stefano.Secci/  


-- 
Stefano Secci
Associate Professor
Univ. Pierre and Marie Curie
LIP6 - Bureau 25-26/318, BC 169
4 place Jussieu, 75005 Paris, France
Tel:  +33 (0) 1 4427 3678
http://lip6.fr/Stefano.Secci/  


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet David CHANIAL
Bonjour Raphael,

> Le 27 févr. 2015 à 13:51, Raphael Maunier  a écrit :
> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.

N’y a t’il pas « 50 nuances » de victoire de part et d’autre ?

Filtrer/Mitigier l’attaque uniquement, sans affecter tout le reste de l’infra 
reste un objectif louable.

Mais si le budget ne le permet pas, ne vaut-il pas mieux envisager des 
solutions intermédiaires, dont certaines te permettent de bloquer uniquement la 
cible, et pas le reste de ton infra ?

Cordialement,
-- 
David CHANIAL 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Raphael Maunier
Pas aussi simple que ça. Tout dépend de ton archi et du nombre de routeurs qui 
sont dans le mesh bgp ( et qui envoient du netflow )

Raphael

> On 26 Feb 2015, at 10:02, Alexandre Allard-Jacquin 
>  wrote:
> 
> Bonjour,
> 
> De mémoire 180k € pour le boitier de détection et le boitier de mitigation 
> (90k€ l'U)
> et tu mitiges 40Gb/s d'attaque environ.
> 
> Cordialement,
> Alexandre
> 
> On 26/02/2015 18:43, Christopher Johnson wrote:
>> Est ce que quelqu'un a une idée des prix ds solutions Arbor PeakFlow SP CP ?
>> 
>> Le 2015-02-26 17:06, Christopher Johnson a écrit :
>>> Bonjour,
>>> 
>>> Depuis plusieurs mois j'ai constaté une recrudescence des attaques
>>> DDoS sur notre résaux.
>>> Nous avons déjà mis plusieurs solutions en places dont un blackhole BGP.
>>> 
>>> Le problème ce situe au niveau de la détection des attaques.
>>> Pouvez vous me conseiller un bon software pour analyser le trafique
>>> via un port SAPN ?
>>> 
>>> Cordialement,
>>> 
>>> ---
>>> Christopher Johnson
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Christopher Johnson
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Jeremy

Si tes uplink sont saturés, bloquer les IP entrantes ne sert à rien.
Le blackhole BGP permet de sauver ton réseau, mais l'attaquant a de 
toute façon gagné.


Il faut donc systématiquement augmenter la taille des tuyaux. Seulement 
là, tu peux envisager d'allumer une machine à laver...


Jérémy

Le 27/02/2015 13:57, cedric lamouche a écrit :
pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer 
avant d'atteindre la cible potentiellement chez toi.

cédric

Le 27/02/2015 13:51, Raphael Maunier a écrit :

Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.

Raphael

On 27 Feb 2015, at 00:31, cedric lamouche 
 wrote:


salut, tu peux regarder du coté de chez Border6 une société 
française basée sur Lille. Ils ont developpé une solution logicielle 
embarqué dans une appliance sous linux qui gère toute la partie BGP 
avec une détection d'attaque DDOS. L'appli embarquée apprends 
pendant plusieurs jours le trafic dit normal sur ton infra et lors 
de trafic anormal peut prendre la décision de black listée des ips 
en les envoyant vers un black hole BGP.

http://www.border6.com/

Cordialement

Cédric Lamouche


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Raphael Maunier
Tu ne blackhole pas les" ip entrantes" vers tes transitaires.

Faire une route vers null0 sur ton backbone, c’est une chose, le faire vers tes 
transitaires ce n’est pas pareil
Si le met il remplit ton lien de transit avec 20G alors que tu as que 1G en IN, 
ben faire un null route sur ton infra servira a rien car TA route sera toujours 
dans le bgp ( sauf si ta session bgp tombe )


Raphael

> On 27 Feb 2015, at 04:57, cedric lamouche  
> wrote:
> 
> pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer avant 
> d'atteindre la cible potentiellement chez toi.
> cédric
> 
> Le 27/02/2015 13:51, Raphael Maunier a écrit :
>> Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.
>> 
>> Raphael
>> 
>>> On 27 Feb 2015, at 00:31, cedric lamouche  
>>> wrote:
>>> 
>>> salut, tu peux regarder du coté de chez Border6 une société française basée 
>>> sur Lille. Ils ont developpé une solution logicielle embarqué dans une 
>>> appliance sous linux qui gère toute la partie BGP avec une détection 
>>> d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le 
>>> trafic dit normal sur ton infra et lors de trafic anormal peut prendre la 
>>> décision de black listée des ips en les envoyant vers un black hole BGP.
>>> http://www.border6.com/
>>> 
>>> Cordialement
>>> 
>>> Cédric Lamouche
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet cedric lamouche
pourquoi su ton ip ? c'est les ip rentrantes que tu cherches à bloquer 
avant d'atteindre la cible potentiellement chez toi.

cédric

Le 27/02/2015 13:51, Raphael Maunier a écrit :

Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.

Raphael


On 27 Feb 2015, at 00:31, cedric lamouche  
wrote:

salut, tu peux regarder du coté de chez Border6 une société française basée sur 
Lille. Ils ont developpé une solution logicielle embarqué dans une appliance 
sous linux qui gère toute la partie BGP avec une détection d'attaque DDOS. 
L'appli embarquée apprends pendant plusieurs jours le trafic dit normal sur ton 
infra et lors de trafic anormal peut prendre la décision de black listée des 
ips en les envoyant vers un black hole BGP.
http://www.border6.com/

Cordialement

Cédric Lamouche


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Raphael Maunier
Si tu dois faire un blackhole sur ton ip, l’attaquant a gagné.

Raphael

> On 27 Feb 2015, at 00:31, cedric lamouche  
> wrote:
> 
> salut, tu peux regarder du coté de chez Border6 une société française basée 
> sur Lille. Ils ont developpé une solution logicielle embarqué dans une 
> appliance sous linux qui gère toute la partie BGP avec une détection 
> d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic 
> dit normal sur ton infra et lors de trafic anormal peut prendre la décision 
> de black listée des ips en les envoyant vers un black hole BGP.
> http://www.border6.com/
> 
> Cordialement
> 
> Cédric Lamouche
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Romain GUICHARD
Le 27 février 2015 13:34, Christopher Johnson <
christopher.john...@euskill.com> a écrit :

> Le 2015-02-27 08:35, Amaury DUCHENE a écrit :
>
>> Bonjour,
>>
>> A qu'elle hauteur devez vous mitiger les attaques ?
>>
>
> Les attaques sont essentiellement le soir, le mercredi, le week-end, et en
> période de vacances.
>
Un groupe de hacker de CE2 ? Sûrement de nouveaux titulaires du Permis
Internet ;)

>
>
>> Cordialement,
>>
>> On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte
>>  wrote:
>>
>>  Il y a aussi les produits de Andrisoft et flowtraq
>>>
>>> Fabien
>>>
>>> On Feb 26, 2015, at 9:26 PM, Raphael Mazelier 
>>> wrote:
>>>
>>> > Le 26/02/2015 21:10, Jeremy a écrit :
>>> >> Prend une licence chez Wanguard va :)
>>> >>
>>> > Je trouve que ce soft a un très bon rapport qualité/prix.
>>> > Évidement c'est loin d’être parfait, mais à ce tarif c'est
>>> imbattable.
>>> > Le support est réactif qui plus est.
>>> >
>>> > --
>>> > Raphael Mazelier
>>> >
>>> >
>>> > ---
>>> > Liste de diffusion du FRnOG
>>> > http://www.frnog.org/
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>>
>> Links:
>> --
>> [1] mailto:fdelmot...@mac.com
>>
>
> ---
> Christopher Johnson
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
*Romain Guichard*
* | rom...@rguichard.fr Network and Cloud engineer*
*~ Blog  *

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Christopher Johnson

Le 2015-02-27 08:35, Amaury DUCHENE a écrit :

Bonjour,

A qu'elle hauteur devez vous mitiger les attaques ?


Les attaques sont essentiellement le soir, le mercredi, le week-end, et 
en période de vacances.




Cordialement,

On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte
 wrote:


Il y a aussi les produits de Andrisoft et flowtraq

Fabien

On Feb 26, 2015, at 9:26 PM, Raphael Mazelier 
wrote:

> Le 26/02/2015 21:10, Jeremy a écrit :
>> Prend une licence chez Wanguard va :)
>>
> Je trouve que ce soft a un très bon rapport qualité/prix.
> Évidement c'est loin d’être parfait, mais à ce tarif c'est
imbattable.
> Le support est réactif qui plus est.
>
> --
> Raphael Mazelier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Links:
--
[1] mailto:fdelmot...@mac.com


---
Christopher Johnson


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Christophe Lucas

Bonjour,

Il y a aussi 6cure à Caen qui fournit ce genre de solutions dont quelques 
hébergeurs.

A+
--
Christophe

Envoyé de mon téléphone, veuillez excuser ma brièveté.

> Le 27 févr. 2015 à 09:31, cedric lamouche  a 
> écrit :
> 
> salut, tu peux regarder du coté de chez Border6 une société française basée 
> sur Lille. Ils ont developpé une solution logicielle embarqué dans une 
> appliance sous linux qui gère toute la partie BGP avec une détection 
> d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le trafic 
> dit normal sur ton infra et lors de trafic anormal peut prendre la décision 
> de black listée des ips en les envoyant vers un black hole BGP.
> http://www.border6.com/
> 
> Cordialement
> 
> Cédric Lamouche
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet cedric lamouche
salut, tu peux regarder du coté de chez Border6 une société française 
basée sur Lille. Ils ont developpé une solution logicielle embarqué dans 
une appliance sous linux qui gère toute la partie BGP avec une détection 
d'attaque DDOS. L'appli embarquée apprends pendant plusieurs jours le 
trafic dit normal sur ton infra et lors de trafic anormal peut prendre 
la décision de black listée des ips en les envoyant vers un black hole BGP.

http://www.border6.com/

Cordialement

Cédric Lamouche


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] DDoS / analyse de traffic

2015-02-27 Par sujet Baptiste
Bonjour,

Soyons précis, il faut citer tout le monde:
- check point DDOS protector
- corero
- juniper DDOS secure
- fortinet fortiddos

Les LB "haut de gamme":
- F5
- a10
- radware

Et le petit dernier, made in France:
- HAProxy Technologies a ajouté récemment sur son LB ALOHA un module
de protection contre les DDOS

Baptiste



2015-02-27 8:35 GMT+01:00 Amaury DUCHENE :
> Bonjour,
>
> A qu'elle hauteur devez vous mitiger les attaques ?
>
> Cordialement,
>
>
> On jeu., févr. 26, 2015 at 10:50 PM, Fabien Delmotte 
> wrote:
>
>
> Il y a aussi les produits de Andrisoft et flowtraq
>
> Fabien
>
> On Feb 26, 2015, at 9:26 PM, Raphael Mazelier  wrote:
>
>> Le 26/02/2015 21:10, Jeremy a écrit :
>>> Prend une licence chez Wanguard va :)
>>>
>> Je trouve que ce soft a un très bon rapport qualité/prix.
>> Évidement c'est loin d'être parfait, mais à ce tarif c'est imbattable.
>> Le support est réactif qui plus est.
>>
>> --
>> Raphael Mazelier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/