chez SFR, les DNS tiers passent
c'est tout ce qui n'est pas DNS qui est bloqué. (de ce que j'ai compris des tests de Vivien)
Intéressant cette nuance ! Vu la volumétrie que doit gérer SFR, je doute qu'ils aillent regarder dans le paquet vérifier que ça soit bien un paquet DNS.
Peut-être une limite de taille sur les paquets qui est activée ? Je doute que vos requêtes DNS fassent 1500 octets
Oui, c'est tout le but du forum, pourvoir discuter de ces choses un peu techniques (et de mon côté d'apprendre des choses). Mais ça fait un moment que je suis tes messages et ton FAI, et je crois pouvoir dire sans me tromper que tu n'es pas un FAI "standard", rien que dans la gestion de ton réseau, dans les investissements fais et dans la satisfaction client qui est affichée sur le forum.
Oui. Moi-même à mes débuts, neutralité du net, on ouvre tout à fond. Mais la réalité du terrain fait que tu es obligé de filtrer/brider, sinon tu as des sollicitations SAV derrière. Mais tu as raison, il faut expliquer, et argumenter sa démarche, et si possible laisser une alternative. Comme le fait de couper les connexions entrantes en IPv6 par exemple, c'est un "mal" nécessaire pour protéger à minima le LAN des particuliers... mais avoir un switch pour désactiver cette protection.
Je serais curieux de connaître la fréquence des DDOS. Comment c'est géré ? Tu reatribu une IP au client et tu bloque l'ancienne ?
Environ 1 attaque par jour.
Il y a 2 parties :
- la détection : chaque routeur qui a des intercos avec l'extérieur (le peering, les transits) renvoie un échantillon de tout le trafic (genre 0.1%) à un serveur qui analyse le nbre de paquets, les flux suspects etc. C'est lui qui détecte et décide s'il y a attaque ou pas. Il me produit un fichier avec tous les flux qu'il a vu pour pouvoir mieux régler mes filtres et servir à des enquêtes judiciaires à postériori.
- le filtrage : là le serveur a une session constante avec les routeurs (comme du peering), et le serveur annonce aux routeurs "hé pour joindre 62.192.xxx.xxx, c'est DTC", et comme les routeurs préfèrent cette "route", ils vont la mettre en top priorité dans la table de routage, et l'abonné est coupé net. L'annonce remonte même en dehors de mon réseau, pour pas que le trafic rentre dans le réseau (donc c'est même bloqué en amont pour garder des ressources sur les intercos pour le reste des abonnés).
Le blocage dure 1min, et aussi longtemps qu'il se fera doucher. Si c'est fini au bout de 2min, il retrouve son accès, l'IP ne change pas.
(je laisse le soin à un modo de scinder si besoin).