RE: [FRnOG] [TECH] Transit et déni de service

[Michel Py]

> Pierre Colombier a écrit :
> intéressant. J'ajouterai une question. si un de mes transitaire tombe, mon 
> trafic sortant
> bascule presque immédiatement. par contre, sur l'entrant, il faut bien 5 
> minutes avant
> que le report n'ait lieu sur un autre transitaire et le trou se voit 
> carrément !

5 minutes çà me parait beaucoup, mais il y a plein de possibilités. Déjà, faut 
que le transitaire qui tombe réalise que toi tu est tombé aussi, çà serait pas 
le première fois qu'on voit BGP a moitié dans les choux qui potentiellement ne 
fait pas le withdraw donc ton préfixe va persister le temps du timeout.
Après, faut que le changement se propage au reste du monde, de ton transitaire 
tombé jusqu'aux T1 et redescendre.


> Comment font les gros pour que ce genre d'incidents soient (presque) 
> invisibles ?

Ils sont tellement mieux connectés que toi et moi, et plus près du haut. 
J'enfonce surement des portes ouvertes, mais si tu a 2 transitaires T3 et que 
tu en perds 1, çà va se voir. Si tu a 4 transitaires T1 et en plus tu es dans 
un IX et tu paires avec tes petits camarades et plusieurs CDN, çà va se voir 
nettement moins. C'est jamais invisible, tu dilues problème par le nombre et 
par être plus près du haut.


> Erwan David a écrit :
> J'ai vu des dDOS saturer du 10G. Attaque durant pile 1h : quelqu'un s'était 
> payé 1h de botnet.

Rien d'étonnant, avec Claude Michu qui a 1G à la maison ces jours-ci. Même si 
c'est pas vraiment du 1G, il ne faut pas tellement de bécanes contaminées par 
un merdiciel pour que çà arrive.

Je lis partout que c'est pas cher du tout d'acheter ce genre de "service".

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Erwan David]

Le 04/07/2019 à 02:37, Michel Py a écrit :
> Quand tu as un petit tuyau, l'attaquant gagne à tous les coups. Avec 1G 
> aujourd'hui tu vas nulle part, avec 10G je suis pas sur que t'ailles bien 
> loin, moi je suis pragmatique : blackholer c'est nul, mais c'est mieux que de 
> ne rien faire.

J'ai vu des dDOS saturer du 10G.

Attaque durant pile 1h : quelqu'un s'était payé 1h de botnet. Et je suis
d'accord avec toi : on arrive à un moment où le choix c'est tous les
clients bloqués, ou un seul. Dans ce cas là je préfère un seul, pour la
victime de toute façon c'est cuit


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Xavier Beaudouin]

Hello

> Depuis quand tu fais confiance à un blog de CF ? La dernière fois, c'était la
> faute à Verizon.
> C'est malheureux à dire, mais à force de raconter des conneries essayant de
> blâmer quelqu'un d'autre, pourquoi les croire ?
> Demain, ils vont dire que c'est la faute au vendeur xyz.

Bah c'est leur communications, ceci dit, c'est pas le seul "clowd" qui fait
de la protection DDoS du marché. 
 
> Feedback des clients : CloudFlare, c'était censé me protéger contre les
> attaques. J'avais jamais été attaqué, et la seule interruption de service que
> j'ai jamais eu c'est CloudFlare qui a merdé.

Ça arrive que ça merde. Ceci vu la taille de la structure, on peux penser 
qu'il ont tout automatisé, là on voit aussi la limite de l'automatisation 
qui peux automatiser de la merde et foutre l'infra en vrac.

> Ca peut pas être la faute à Verizon ce coup-ci, c'est la faute à qui ?

Alors c'est comme les ISP en France, si on considère qu'ils sont pas fiable
on peux aller voir ailleurs. Que je saches, ils ne sont pas les seuls a 
proposer ce type de services ? Peux-être que le problème est que TROP de monde
passent pas eux et quand ils font de la merde (et ça arrivera encore non
seulement chez CF, mais AUSSI chez les autres) ça se voit...

Après CF, comme d'autres, vendent un service mutualisé anycast, si les gens
qui estiment que c'est important d'être 100% dispo sans downtime d'un tier, 
il peuvent toujours faire de l'anycast eux même, c'est pas sorcier mais ça 
coute du pognon, et l'adage on est jamais mieux servis que par soit même est
aussi applicable :)

My 0,02€.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[David Ponzone]

> 
> Ca peut pas être la faute à Verizon ce coup-ci, c'est la faute à qui ?
> 

Ils l’ont dit: déploiement d’une mise à jour foireuse.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Transit et déni de service

[Michel Py]

> Hugues Voiturier a écrit :
> Ce n’est pas un DDoS : https://twitter.com/jgrahamc/status/1146078278278635520

Depuis quand tu fais confiance à un blog de CF ? La dernière fois, c'était la 
faute à Verizon.
C'est malheureux à dire, mais à force de raconter des conneries essayant de 
blâmer quelqu'un d'autre, pourquoi les croire ?
Demain, ils vont dire que c'est la faute au vendeur xyz.

Feedback des clients : CloudFlare, c'était censé me protéger contre les 
attaques. J'avais jamais été attaqué, et la seule interruption de service que 
j'ai jamais eu c'est CloudFlare qui a merdé.

Ca peut pas être la faute à Verizon ce coup-ci, c'est la faute à qui ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Transit et déni de service

[Michel Py]

> Raphael Maunier a écrit :
> Le but du ddos c’est de rentre ta plateforme indisponible. Donc, si le site
> derriere n’est plus joignable. l’attaquant a gagné D’un point de vue de
> l’opérateur, il a sauvé 99 clients tout en perdant 1 client.
> Le resultat pour LE client c’est qu’il est down et que donc l’attaquant a 
> gagné :)

Oui, mais le client il était down de toute façon, donc l'attaquant il avait 
déjà gagné. Donc ce que tu fais en blackholant c'est que tu n'emmerdes pas les 
innocents. Vu de mon petit bout de la lorgnette, le client qui a besoin que son 
hébergeur ait harbor parce qu'il se fait DDOSser tout le temps, çà me dérange 
pas qu'il aille se faire héberger ailleurs.

Quand tu as un petit tuyau, l'attaquant gagne à tous les coups. Avec 1G 
aujourd'hui tu vas nulle part, avec 10G je suis pas sur que t'ailles bien loin, 
moi je suis pragmatique : blackholer c'est nul, mais c'est mieux que de ne rien 
faire.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Raphael Maunier]

> On 2 Jul 2019, at 19:59, Paul Rolland (ポール・ロラン)  wrote:
> 
> Hello,
> 
> On Tue, 2 Jul 2019 15:57:48 +
> Michel Py  wrote:
> 
>> Justement j'étais en train de travailler là-dessus avec UTRS avec le même
>> raisonnement : Si mon site principal est saturé par une attaque, la seule
>> solution c'est d'avoir une session, probablement multihop, venant d'un
>> site satellite. Disons que de la maison ou de MacDo je me connectes à mon
>> site satellite pour configure parce que ce que je fais du site principal
>> c'est down. Pour l'instant, pas possible. C'est clair que tout ce qui est
>> BGP il faut avoir une infra d'injection indépendante.
> 
> Mouais, du coup, l'interet de BGP dans l'histoire, je vois moins... En
> fait, une API, ca le fait... pas besoin qu'elle s'appelle BGP. Il te suffit
> d'un acces mobile, d'une bonne authentif securisee, et hop, tu postes tes
> regles de drop.
> 
>>> Raphael Maunier a écrit :
>>> Pour moi le blackhole n’est pas une solution, l’attaquant a gagné :)  
> 
> Rooohh... le pessimiste ;) 

Realiste, pas pessimiste, nuance ! :)

> Sur ce coup-la, je suis en phase avec Michel. On peut pas tous avoir les
> moyens de se payer 200G juste pour que l'attaque, on s'en moque (et si on
> pouvait le faire, alors les attaques feraient 10T, et on aurait juste
> deplacer le probleme).
> Si qq'un est capable de faire en sorte que tu recoives du traffic que tu ne
> devrais pas, ca serait bien de pouvoir configurer finement ce que tu
> blackhole (genre pouvoir specifier des sources - ports et/ou ip -, voire
> meme faire du filtre passant - drop tout sauf ca - pour preserver certains
> choses).

C’est pour ça que des gens montent des boites et levent des fonds :) Pour 
fournir ce genre de service voila voila ^^
> 
> Est-ce que c'est du long term ? Non, c'est clair, mais si c'est facile et
> rapide a mettre en oeuvre, alors tu as au moins deja rendu un coup.
> 
> Paul
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Raphael Maunier]

> On 2 Jul 2019, at 17:57, Michel Py  wrote:
> 
>> Paul Rolland a écrit :
>> Marrant, c'est la question que je me posais justement hier en lisant les 
>> posts et les articles... Si tu
>> te fais DDoS ton port, effectivement, BGP, c'est comme le reste de ton 
>> traffic, ca a du mal a passer.
>> Du coup, est-ce qu'il y a eu des debuts de reflexion sur le fait de faire 
>> passer une session dedie BGP
>> flowspec en OoB / multihops ? Parce que la, comme le fait remarquer Raph, en 
>> cas de saturation du port,
>> je vois pas comment ca va le faire.
> 
> Justement j'étais en train de travailler là-dessus avec UTRS avec le même 
> raisonnement :
> Si mon site principal est saturé par une attaque, la seule solution c'est 
> d'avoir une session, probablement multihop, venant d'un site satellite. 
> Disons que de la maison ou de MacDo je me connectes à mon site satellite pour 
> configure parce que ce que je fais du site principal c'est down. Pour 
> l'instant, pas possible. C'est clair que tout ce qui est BGP il faut avoir 
> une infra d'injection indépendante.
> 
> 
>> Raphael Maunier a écrit :
>> Pour moi le blackhole n’est pas une solution, l’attaquant a gagné :)
> 
> Sur ce coup-là je ne suis pas d'accord avec toi. Ca permet de limiter la 
> casse, dans certaines situations. Si j'ai une saturation de port et que de 
> blackholer 1 IP en amont çà me permet de garder le reste du réseau, je vais 
> pas réfléchir trop longtemps et malheureusement sacrifier la victime pour 
> sauver le reste. Je vois la situation comme çà : l'attaquant avait déjà 
> gagné; intellectuellement, j'aimerais bien avoir les moyens de m'offrir 
> arbor, dans la pratique je ne les ai pas. Le blackhole, c'est la solution du 
> pauvre.


Le but du ddos c’est de rentre ta plateforme indisponible. Donc, si le site 
derriere n’est plus joignable. l’attaquant a gagné
D’un point de vue de l’opérateur, il a sauvé 99 clients tout en perdant 1 
client.

Le resultat pour LE client c’est qu’il est down et que donc l’attaquant a gagné 
:)

> 
> Oh et aucune relation avec ce fil, mais je viens de tomber sur çà :
> https://github.com/tarraschk/richelieu/blob/master/french_passwords_top5000.txt
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Hugues Voiturier]

Ce n’est pas un DDoS : https://twitter.com/jgrahamc/status/1146078278278635520 



Hugues
AS57199 - AS50628

> On 2 Jul 2019, at 20:32, Erwan David  wrote:
> 
> 
> Le 02/07/2019 à 19:59, Paul Rolland (ポール・ロラン) a écrit :
>> Rooohh... le pessimiste ;)
>> Sur ce coup-la, je suis en phase avec Michel. On peut pas tous avoir les
>> moyens de se payer 200G juste pour que l'attaque, on s'en moque (et si on
>> pouvait le faire, alors les attaques feraient 10T, et on aurait juste
>> deplacer le probleme).
>> Si qq'un est capable de faire en sorte que tu recoives du traffic que tu ne
>> devrais pas, ca serait bien de pouvoir configurer finement ce que tu
>> blackhole (genre pouvoir specifier des sources - ports et/ou ip -, voire
>> meme faire du filtre passant - drop tout sauf ca - pour preserver certains
>> choses).
>> 
>> Est-ce que c'est du long term ? Non, c'est clair, mais si c'est facile et
>> rapide a mettre en oeuvre, alors tu as au moins deja rendu un coup.
>> 
> À propos de gros tuyaux, j'ai vu passer (mais sans sources) que la panne
> de cloudflare aujourd'hui était due à un dDDOS : quel taille de transit
> aurait-il fallu pour tenir face à un dDOS capable de faire tomber
> cloudflare ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Erwan David]

Le 02/07/2019 à 19:59, Paul Rolland (ポール・ロラン) a écrit :
> Rooohh... le pessimiste ;)
> Sur ce coup-la, je suis en phase avec Michel. On peut pas tous avoir les
> moyens de se payer 200G juste pour que l'attaque, on s'en moque (et si on
> pouvait le faire, alors les attaques feraient 10T, et on aurait juste
> deplacer le probleme).
> Si qq'un est capable de faire en sorte que tu recoives du traffic que tu ne
> devrais pas, ca serait bien de pouvoir configurer finement ce que tu
> blackhole (genre pouvoir specifier des sources - ports et/ou ip -, voire
> meme faire du filtre passant - drop tout sauf ca - pour preserver certains
> choses).
>
> Est-ce que c'est du long term ? Non, c'est clair, mais si c'est facile et
> rapide a mettre en oeuvre, alors tu as au moins deja rendu un coup.
>
À propos de gros tuyaux, j'ai vu passer (mais sans sources) que la panne
de cloudflare aujourd'hui était due à un dDDOS : quel taille de transit
aurait-il fallu pour tenir face à un dDOS capable de faire tomber
cloudflare ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Paul Rolland (ポール・ロラン)]

Hello,

On Tue, 2 Jul 2019 15:57:48 +
Michel Py  wrote:

> Justement j'étais en train de travailler là-dessus avec UTRS avec le même
> raisonnement : Si mon site principal est saturé par une attaque, la seule
> solution c'est d'avoir une session, probablement multihop, venant d'un
> site satellite. Disons que de la maison ou de MacDo je me connectes à mon
> site satellite pour configure parce que ce que je fais du site principal
> c'est down. Pour l'instant, pas possible. C'est clair que tout ce qui est
> BGP il faut avoir une infra d'injection indépendante.

Mouais, du coup, l'interet de BGP dans l'histoire, je vois moins... En
fait, une API, ca le fait... pas besoin qu'elle s'appelle BGP. Il te suffit
d'un acces mobile, d'une bonne authentif securisee, et hop, tu postes tes
regles de drop.
 
> > Raphael Maunier a écrit :
> > Pour moi le blackhole n’est pas une solution, l’attaquant a gagné :)  

Rooohh... le pessimiste ;) 
Sur ce coup-la, je suis en phase avec Michel. On peut pas tous avoir les
moyens de se payer 200G juste pour que l'attaque, on s'en moque (et si on
pouvait le faire, alors les attaques feraient 10T, et on aurait juste
deplacer le probleme).
Si qq'un est capable de faire en sorte que tu recoives du traffic que tu ne
devrais pas, ca serait bien de pouvoir configurer finement ce que tu
blackhole (genre pouvoir specifier des sources - ports et/ou ip -, voire
meme faire du filtre passant - drop tout sauf ca - pour preserver certains
choses).

Est-ce que c'est du long term ? Non, c'est clair, mais si c'est facile et
rapide a mettre en oeuvre, alors tu as au moins deja rendu un coup.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Transit et déni de service

[Michel Py]

> Paul Rolland a écrit :
> Marrant, c'est la question que je me posais justement hier en lisant les 
> posts et les articles... Si tu
> te fais DDoS ton port, effectivement, BGP, c'est comme le reste de ton 
> traffic, ca a du mal a passer.
> Du coup, est-ce qu'il y a eu des debuts de reflexion sur le fait de faire 
> passer une session dedie BGP
> flowspec en OoB / multihops ? Parce que la, comme le fait remarquer Raph, en 
> cas de saturation du port,
> je vois pas comment ca va le faire.

Justement j'étais en train de travailler là-dessus avec UTRS avec le même 
raisonnement :
Si mon site principal est saturé par une attaque, la seule solution c'est 
d'avoir une session, probablement multihop, venant d'un site satellite. Disons 
que de la maison ou de MacDo je me connectes à mon site satellite pour 
configure parce que ce que je fais du site principal c'est down. Pour 
l'instant, pas possible. C'est clair que tout ce qui est BGP il faut avoir une 
infra d'injection indépendante.


> Raphael Maunier a écrit :
> Pour moi le blackhole n’est pas une solution, l’attaquant a gagné :)

Sur ce coup-là je ne suis pas d'accord avec toi. Ca permet de limiter la casse, 
dans certaines situations. Si j'ai une saturation de port et que de blackholer 
1 IP en amont çà me permet de garder le reste du réseau, je vais pas réfléchir 
trop longtemps et malheureusement sacrifier la victime pour sauver le reste. Je 
vois la situation comme çà : l'attaquant avait déjà gagné; intellectuellement, 
j'aimerais bien avoir les moyens de m'offrir arbor, dans la pratique je ne les 
ai pas. Le blackhole, c'est la solution du pauvre.

Oh et aucune relation avec ce fil, mais je viens de tomber sur çà :
https://github.com/tarraschk/richelieu/blob/master/french_passwords_top5000.txt

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Raphael Maunier]

Il y a plusieurs sujets dans ce cas :
- Attaque du routeur directement
- Avoir des filtres propre sur le routeur ou des ip non 
routées/routable sur le routeur de bordure vers les transitaires : Si tu as des 
peerings sur ce edge, ben le coup des ip , ça marche plus.
- Avoir largement la BP pour ne pas saturer les ports d’uplinks 
: Quand tu te prends 20/30G c’est gérable facilement. Quand tu te prends 200G, 
c’est un autre sujet
- Attague avec le routeur en “transit”
- Si l’attaque est petite (<50G) : ça passe  et avec un vrai 
routeur ( non, non je ne lance le trop sur les routeurs laiton), tu peux mettre 
des filtres (genre BCP38 et +++ ) et faire du flowspec sur ton reseau
- Si attaque moyenne >50G <200G : Tu peux te debrouiller pour 
n’exporter que le prefixe concerné sur un transitaire , le depref et sortir par 
ailleur et attendre que ça passe :)
- Si attaque >200G : Il faut acheter un service chez qqn stou

Pour moi le blackhole n’est pas une solution, l’attaquant a gagné :)

Raphael

> On 2 Jul 2019, at 10:04, Paul Rolland (ポール・ロラン)  wrote:
> 
> Hello,
> 
> On Tue, 2 Jul 2019 00:29:55 +0200
> Raphael Maunier  wrote:
> 
>> Flowspec seul en inter-isp ça ne suffit pas car des lors que ton bgp
>> flappe ( port full par ex ) bah… ça marche plus trop.
> 
> Marrant, c'est la question que je me posais justement hier en lisant les
> posts et les articles... Si tu te fais DDoS ton port, effectivement, BGP,
> c'est comme le reste de ton traffic, ca a du mal a passer.
> Du coup, est-ce qu'il y a eu des debuts de reflexion sur le fait de faire
> passer une session dedie BGP flowspec en OoB / multihops ? 
> 
> Parce que la, comme le fait remarquer Raph, en cas de saturation du port,
> je vois pas comment ca va le faire.
> 
> Paul
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Paul Rolland (ポール・ロラン)]

Hello,

On Tue, 2 Jul 2019 00:29:55 +0200
Raphael Maunier  wrote:

> Flowspec seul en inter-isp ça ne suffit pas car des lors que ton bgp
> flappe ( port full par ex ) bah… ça marche plus trop.

Marrant, c'est la question que je me posais justement hier en lisant les
posts et les articles... Si tu te fais DDoS ton port, effectivement, BGP,
c'est comme le reste de ton traffic, ca a du mal a passer.
Du coup, est-ce qu'il y a eu des debuts de reflexion sur le fait de faire
passer une session dedie BGP flowspec en OoB / multihops ? 

Parce que la, comme le fait remarquer Raph, en cas de saturation du port,
je vois pas comment ca va le faire.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Alarig Le Lay]

Hello,

On jeu. 27 juin 20:28:47 2019, Xavier Beaudouin wrote:
> Après ça fait quelques temps et donc le paysage a peut-être changé...
> (eg je sais pas si des transitaires sont BGP Flowspec compatibles par
> exemple).

La dernière fois (il y a moins d’un an) que je me suis intéressé à du
BGP FlowSpec en eBGP personne n’a su m’en livrer. J’ai même des
transitaires qui m’ont demandé ce que c’était !

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Emmanuel DECAEN]

Bonjour,

Le 01/07/2019 à 19:21, Alexandre BATON a écrit :
>>> Et pourquoi pas BGP flowspec mais là c'est carrément du rêve pour moi. Mon 
>>> transit principal il a jamais entendu parler des communautés :-(
>>
>> J'avoue que je ne l'avais pas envisagé initialement, mais vu que BGP
>> flowspec commence à être proposé, cela me tente pas mal :-).
>>
> BGP Flowspec me fait aussi de l’oeil mais mes transits actuels n’en font pas… 
> Vous avez une liste de fournisseurs de transit en France qui le propose ? 

Je suis également preneur d'une liste.

Pour le moment, j'ai un contact avec un opérateur français le mettant en
oeuvre pour son offre anti-DDoS.
Je le laisse réagir ici s'il le souhaite.

Merci.
-- 
*Emmanuel DECAEN*
E-Mail: e...@xsalto.com

www.xsalto.com
Tél: 04 92 36 60 06
Support: 04 92 36 60 07
Fax: 04 92 36 19 75

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Raphael Maunier]

Hello,

Je ne vais repondre que techniquement car bon voila pas de commercial ici :)

Inter-ISP flowspec ce n’est pas aussi simple que ça. Je vous invite a regarder 
la presentation de Century Link et ATT faite par Nimrod Levy, Donald Smith  et 
John Schiel qui a ete faite au nanog 71
https://www.youtube.com/watch?v=Aj8EKYVSTtk 
 ( marrant on me voit sur la video 
en arrière plan lors des questions :) )

Il y a beaucoup de paramètres a prendre en compte et demande beaucoup de 
coordination et de “confiance’. On a regardé de notre coté pour l’implémenter 
avec nos clients et franchement, il y a encore beaucoup de boulot avant de 
penser a l’implémenter.
Nous avons contourné la complexité pour le moment en fournissant plutôt une API 
qui permet au peer/client de bloquer le ingress sur son port.
Nous avons d’autres choses en cours, pour s’approcher d’un meilleur traitement 
de l’attaque directement sur nos ports edge en ingress.

Flowspec seul en inter-isp ça ne suffit pas car des lors que ton bgp flappe ( 
port full par ex ) bah… ça marche plus trop.


Bref, on y est pas encore, mais ça arrivera bien un jour !

Raphael


> On 1 Jul 2019, at 19:21, Alexandre BATON  wrote:
> 
> 
>>> Et pourquoi pas BGP flowspec mais là c'est carrément du rêve pour moi. Mon 
>>> transit principal il a jamais entendu parler des communautés :-(
>> 
>> 
>> J'avoue que je ne l'avais pas envisagé initialement, mais vu que BGP
>> flowspec commence à être proposé, cela me tente pas mal :-).
>> 
> 
> BGP Flowspec me fait aussi de l’oeil mais mes transits actuels n’en font pas… 
> Vous avez une liste de fournisseurs de transit en France qui le propose ? 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Alexandre BATON]

>> Et pourquoi pas BGP flowspec mais là c'est carrément du rêve pour moi. Mon 
>> transit principal il a jamais entendu parler des communautés :-(
> 
> 
> J'avoue que je ne l'avais pas envisagé initialement, mais vu que BGP
> flowspec commence à être proposé, cela me tente pas mal :-).
> 

BGP Flowspec me fait aussi de l’oeil mais mes transits actuels n’en font pas… 
Vous avez une liste de fournisseurs de transit en France qui le propose ? 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Emmanuel DECAEN]

Bonjour,

Le 28/06/2019 à 04:52, Michel Py a écrit :
>> Emmanuel DECAEN a écrit :
>> Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de 
>> transit BGP
>> (quelques 10G). Cette année, j'ai le souhait de demander à chaque opérateur 
>> de transit
>> de prendre la charge d'un éventuel DDoS directement au niveau de son 
>> backbone.
> Beaucoup dépend de ce que tu vois arriver comme DDOS. Si tu te prends des 
> DDOS térabit tous les jours, Arbor c'est très cher mais pas forcément trop 
> cher, çà dépend de l'épaisseur de ton portefeuille et de combien le DDOS te 
> coute vraiment. Si tes DDOS se font principalement sur une IP, avec les 
> communautés tu t'en sors très bien. Si tu as un truc qui attaque l'ensemble 
> de tes adresses, c'est pas glop.
> Ca dépend qui est attaqué : toi, ou quelqu'un que tu héberges.
>
> Et beaucoup dépend aussi de ce que tes transits font déjà (communautés ? sans 
> une solution commerciale)
> Et pourquoi pas BGP flowspec mais là c'est carrément du rêve pour moi. Mon 
> transit principal il a jamais entendu parler des communautés :-(


J'avoue que je ne l'avais pas envisagé initialement, mais vu que BGP
flowspec commence à être proposé, cela me tente pas mal :-).

> Et est-ce qu'ils souscrivent à quelque chose comme çà : 
> http://www.team-cymru.com/utrs.html


Je ne sais pas, mais ça semble pas mal, je suis très intéressé par un
retour d'expérience.


> C'est pas évident de faire soi-même, mais t'as 5 ingés. Achète une bouteille 
> de Stroh à Xavier :P


Bonne idée ;-)


-- 
*Emmanuel DECAEN*


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Emmanuel DECAEN]

Salut Xavier,

Le 27/06/2019 à 20:28, Xavier Beaudouin a écrit :
>> Avez-vous des retours d'expérience sur les solutions anti-DDoS (Arbor,
>> etc.) proposées par les opérateurs de transit et surtout leur efficacité
>> en conditions réelles ?
> Retours d'expérience: cher et autant le faire soit même avec les bonnes 
> communautés BGP,
> tel a été le choix d'un de mes précédents jobs. Surtout quand on peux écraser 
> la merde
> sur les routers border avec soit des ACL soit du BGP Flowspec :)

Effectivement :-)
Je vais laisser la porte ouverte pour une solution BGP Flowspec en plus
d'une solution anti-DDoS

J'ai eu quelques retours d'expérience, mais surtout plusieurs réponses
commerciales en privé, voici un petit résumé des "solutions" autres
qu'un équivalent Arbor :

1> prendre du gros tuyaux et nettoyer à l'entrée 

Le raisonnement de l'opérateur est que le prix d'une 10G est
relativement raisonnable maintenant.
Donc on peut nettoyer à l'entrée (ACL), et se contenter du point 2 en
cas extrême (ci-dessous).

2> utiliser du BGP blackhole

Quasiment tous les opérateurs semblent offrir un service de ce type.
Le problème est que tu blacklistes toi même les adresses IP concernées,
donc le déni de service est réussi au final.

3> Utiliser du BGP Flowspec

Cette solution semble moins proposée de prime abord.
Je ne sais pas encore si c'est par absence d'offre ou par méconnaissance
du catalogue pour ceux qui ne l'ont pas proposé.

J'aime bien le principe général, c'est très granulaire, et s'il
s'applique sur tout le réseau de l'opérateur (via les PE ?), l'attaque
n'entre même pas sur le réseau.
Tout le monde y gagne.


> En général le prix étant tellement plus élevé que prendre du tuyaux et négo 
> des commits
> que pour cette expérience le résultat a été celui là. 


C'est effectivement le raisonnement de plusieurs opérateurs m'ayant
contacté en privé.


>
> Surtout que les IX commencent a donner les moyen de null router les ips 
> cibles (ou mieux
> shut la connection sur l'IX et attendre via flowspec / arbor / whatever que 
> ca se calme).


Il faut que je vois avec Grenoblix Lyonix si BGP flowspec est supporté ;-)

>> Ou avez-vous plutôt privilégié des solutions BGP de pure player (Qrator,
>> etc.) ?
> Jamais testé, elles n'existaient pas (ou débutais à l'époque). Pour certains 
> trucs un CDN
> a été utilisé pour limiter l'impact de l'appeau a DDoS. :)


J'ai eu plusieurs réponses de fournisseurs anti-DDoS utilisant BGP.
Le principe est assez simple: en cas d'attaque, on coupe tous les autres
transits, la totalité du trafic bascule alors sur le fournisseur anti-DDoS.
Finalement, on prend des tuyaux raisonnables chez quelques transitaires
classiques, et un chez le fournisseur anti-DDoS;

Cerise sur le gâteau, si le fournisseur anti-DDoS est présent sur ton
point d'échange favori, ta liaison avec lui ne te coute quasiment rien,
tu rétribues juste le service.


> Après ça fait quelques temps et donc le paysage a peut-être changé...  (eg je 
> sais pas si 
> des transitaires sont BGP Flowspec compatibles par exemple).

Oui, je te confirme que c'est supporté, mais je n'ai pas l'impression
que c'est la grande majorité.

> Ne pas oublier, certains traffic pourris viennent AUSSI des IX, et si tu as 
> donc des IX a 
> gérer, et bien les protection des transitaires peuvent être useless. Ah aussi 
> tu leur donne
> confiance car tu dois ajouter une route de tes prefix dans leur AS... A toi 
> de voir jusqu'où
> vas ta confiance en eux :)

Aujourd'hui, la partie IX représente une faible partie de mon trafic, en
cas d'attaque, je pense raisonnable de couper ;-)


Je vais rester ouvert sur l'aspect DDoS, je pense que  je vais prendre
quelques transits 10 G en privilégiant au moins un supportant BGP flowspec.
Et un prestataire anti-DDoS, qu'il soit opérateur de transit ou non.


Merci de ta réponse.

PS: Je ne suis pas opposé aux propositions de transit ou anti-DDoS BGP
par mail privé mais pas d'appels téléphoniques SVP.

-- 
*Emmanuel DECAEN*


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Transit et déni de service

[Michel Py]

> Emmanuel DECAEN a écrit :
> Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de 
> transit BGP
> (quelques 10G). Cette année, j'ai le souhait de demander à chaque opérateur 
> de transit
> de prendre la charge d'un éventuel DDoS directement au niveau de son backbone.

Beaucoup dépend de ce que tu vois arriver comme DDOS. Si tu te prends des DDOS 
térabit tous les jours, Arbor c'est très cher mais pas forcément trop cher, çà 
dépend de l'épaisseur de ton portefeuille et de combien le DDOS te coute 
vraiment. Si tes DDOS se font principalement sur une IP, avec les communautés 
tu t'en sors très bien. Si tu as un truc qui attaque l'ensemble de tes 
adresses, c'est pas glop.
Ca dépend qui est attaqué : toi, ou quelqu'un que tu héberges.

Et beaucoup dépend aussi de ce que tes transits font déjà (communautés ? sans 
une solution commerciale)
Et pourquoi pas BGP flowspec mais là c'est carrément du rêve pour moi. Mon 
transit principal il a jamais entendu parler des communautés :-(
Et est-ce qu'ils souscrivent à quelque chose comme çà : 
http://www.team-cymru.com/utrs.html

C'est pas évident de faire soi-même, mais t'as 5 ingés. Achète une bouteille de 
Stroh à Xavier :P
Tu pourrais éviter pas mal d'emmerdes en triant les clients et en se 
débarrassant de ceux qui hébergent les serveurs de jeux et autres machins qui 
se font DDOSser tout le temps.

Il n'y a pas de réponse simple à ta question.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit et déni de service

[Xavier Beaudouin]

Salut Emmanuel,

> Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de
> transit BGP (quelques 10G).
> Cette année, j'ai le souhait de demander à chaque opérateur de transit
> de prendre la charge d'un éventuel DDoS directement au niveau de son
> backbone.
> 
> Avez-vous des retours d'expérience sur les solutions anti-DDoS (Arbor,
> etc.) proposées par les opérateurs de transit et surtout leur efficacité
> en conditions réelles ?

Retours d'expérience: cher et autant le faire soit même avec les bonnes 
communautés BGP,
tel a été le choix d'un de mes précédents jobs. Surtout quand on peux écraser 
la merde
sur les routers border avec soit des ACL soit du BGP Flowspec :)

En général le prix étant tellement plus élevé que prendre du tuyaux et négo des 
commits
que pour cette expérience le résultat a été celui là. 

Surtout que les IX commencent a donner les moyen de null router les ips cibles 
(ou mieux
shut la connection sur l'IX et attendre via flowspec / arbor / whatever que ca 
se calme).

> Ou avez-vous plutôt privilégié des solutions BGP de pure player (Qrator,
> etc.) ?

Jamais testé, elles n'existaient pas (ou débutais à l'époque). Pour certains 
trucs un CDN
a été utilisé pour limiter l'impact de l'appeau a DDoS. :)

Après ça fait quelques temps et donc le paysage a peut-être changé...  (eg je 
sais pas si 
des transitaires sont BGP Flowspec compatibles par exemple).

Ne pas oublier, certains traffic pourris viennent AUSSI des IX, et si tu as 
donc des IX a 
gérer, et bien les protection des transitaires peuvent être useless. Ah aussi 
tu leur donne
confiance car tu dois ajouter une route de tes prefix dans leur AS... A toi de 
voir jusqu'où
vas ta confiance en eux :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Transit et déni de service

[Emmanuel DECAEN]

Bonjour,

Comme beaucoup d'entre vous, je fais évoluer régulièrement nos liens de
transit BGP (quelques 10G).
Cette année, j'ai le souhait de demander à chaque opérateur de transit
de prendre la charge d'un éventuel DDoS directement au niveau de son
backbone.

Avez-vous des retours d'expérience sur les solutions anti-DDoS (Arbor,
etc.) proposées par les opérateurs de transit et surtout leur efficacité
en conditions réelles ?
Ou avez-vous plutôt privilégié des solutions BGP de pure player (Qrator,
etc.) ?

Merci.
-- 
*Emmanuel DECAEN*  - e...@xsalto.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/