Auteur Sujet: Solution(s) Anti DDoS derrière une Box  (Lu 12072 fois)

0 Membres et 1 Invité sur ce sujet

Bensay

  • Technicien Orange ADSL / FTTH / MIC
  • Client Orange Fibre
  • *
  • Messages: 723
  • Val D'oise
Solution(s) Anti DDoS derrière une Box
« le: 06 juillet 2014 à 14:46:42 »
Bonjour à tous,
Avis à tout les experts réseaux/sécurité et autres.

Quels solutions aurait un particulier cible par exemple d'un DDoS Volumétrique ou Applicatif par exemple dans le cadre d'une attaque sur un support Jeux-Vidéo ou FTTH ?
Dans le cas d'une adresse dynamique cela parait assez simple (renouvellement bail) mais dans le cas d'une IP Fixe à part des solutions "ARBOR" & "Tiléra" comme l'on en vois chez les Hébergeurs tels que "OVH" & "Online" , quel solution peuvent être mis en place par l'utilisateur terminal , ou quelles solutions sont éventuellement mis en place par les FAI ?
Quid également de l'IPV6 ?
Les activités DDoS n'étant visiblement pas prête à s’arrêter et pour ma culture personnelle & la culture du forum je suis très intéresser par vos réponses.
Merci par avance.

Cdt

Bensay

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 750
  • île-de-France
Solution(s) Anti DDoS derrière une Box
« Réponse #1 le: 06 juillet 2014 à 15:04:48 »
Concernant ce qu'il est possible de faire de ton côté, graduellement :
  • Si tu as une adresse IP dynamique, redémarrer la box.
  • Si l'attaque DDoS sature les capacités de traitement de la box sans saturer la bande passante qu'elle peut faire normalement passer, dire au FAI qu'il doit y avoir un problème logiciel qui est exploité ?
  • Si l'attaque DDoS sature la bande passante au point de rendre la connexion inutilisable (ce qui est plus simple à faire, pour un attaquant, si la cible est en ADSL plutôt qu'en FTTH), je ne vois pas grand chose d'autre à faire que de contacter le FAI pour qu'il agisse de son côté.
Je n'ai pas connaissance d'une protection contre les attaques DDoS ciblées qui aurait été mise en place par un FAI.

Les solutions dont tu parles ne devraient franchement pas se révéler utiles pour toi.

Je pense que l'IPv6 n'arrangera rien.

EDIT : Modifié des choses.

Boris de Bouygues Telecom

  • AS5410 Expert Bouygues Telecom
  • Client Bbox fibre FTTH
  • *
  • Messages: 2 836
  • Technopôle de Bouygues Telecom sur Meudon (92)
Solution(s) Anti DDoS derrière une Box
« Réponse #2 le: 06 juillet 2014 à 15:45:54 »
Bonjour,

Bouygues Telecom a acheté un VAC pour pouvoir nettoyer les attaques qui saturent la bande passante au point de rendre la connexion inutilisable.
La page d'OVH explique bien le fonctionnement : https://www.ovh.com/fr/anti-ddos/gestion-attaque-ddos.xml celle d'Online aussi : https://www.online.net/fr/serveur-dedie/ddos-arbor

L'idée est de supprimer le trafic de l'attaque pour que le client puisse continuer à utiliser sa connexion Internet, même en étant attaqué par un trafic important.

Cordialement,
Boris de Bouygues Telecom

Breizh 29

  • Client Bouygues ADSL +
  • Client Orange adsl
  • *
  • Messages: 4 204
  • FTTNRA sur Guilers 29820 (29N)
Solution(s) Anti DDoS derrière une Box
« Réponse #3 le: 06 juillet 2014 à 16:13:37 »
Je pense que Bensay voulait dire "at home"
Mon routeur bloc les attaques de DDos, ça bloc mais bon ma connexion restera bloqué.
Et là comme dit Boris, seul notre FAI peut nous sauver.

Bensay

  • Technicien Orange ADSL / FTTH / MIC
  • Client Orange Fibre
  • *
  • Messages: 723
  • Val D'oise
Solution(s) Anti DDoS derrière une Box
« Réponse #4 le: 06 juillet 2014 à 17:39:44 »
Merci à tous pour vos 1eres réponses.

Mais concrètement coté FAI, que peut faire ce dernier a part mettre en Place un #VAC comme Boris le cite.
A part BT ce serait déployé ailleurs selon vous ?

Cdt

Bensay

thenico

  • Expert.
  • Client Orange Fibre
  • *
  • Messages: 760
  • FTTH >500 Mb/s et FTTLA 100 Mb/s (13)
Solution(s) Anti DDoS derrière une Box
« Réponse #5 le: 06 juillet 2014 à 18:51:03 »
Pour "nettoyer" un DDoS, il faut avoir une capacité supérieur à son débit.
Donc hors coeur de réseau de l'opérateur, point de salut.

Bensay

  • Technicien Orange ADSL / FTTH / MIC
  • Client Orange Fibre
  • *
  • Messages: 723
  • Val D'oise
Solution(s) Anti DDoS derrière une Box
« Réponse #6 le: 06 juillet 2014 à 22:01:56 »
Pour "nettoyer" un DDoS, il faut avoir une capacité supérieur à son débit.
Donc hors coeur de réseau de l'opérateur, point de salut.
Cela ne peut donc être traiter au niveau des DSLAM avant l'utilisateur ?

Cdt

Bensay

Boris de Bouygues Telecom

  • AS5410 Expert Bouygues Telecom
  • Client Bbox fibre FTTH
  • *
  • Messages: 2 836
  • Technopôle de Bouygues Telecom sur Meudon (92)
Solution(s) Anti DDoS derrière une Box
« Réponse #7 le: 06 juillet 2014 à 22:32:00 »
Au niveau du DSLAM, c'est trop tard : le DSLAM n'est relié au réseau que par un lien 1 Gb/s.

Une attaque à 2 Gb/s va faire tomber tous les clients du DSLAM.
Il faut donc traiter l'attaque en amont.

Comme l'explique OVH, cela doit être réalisé au plus tard au niveau des routeurs de backbone : Le trafic qui inclus l'attaque est rerouté vers une plateforme qui est capable de supprimer les paquets de l'attaque, tout en laissant les paquets qui ne font pas partie de l'attaque rejoindre leur destination. La plateforme qui fait le nettoyage est assez complexe et doit être en mesure de traiter n x 10Gb/s pour absorber des attaques importantes.



Je dit "être réalisé au plus tard au niveau des routeurs de backbone" : Il est tout à fait possible de le proposer encore plus haut dans le réseau : au niveau des transitaires. La majorité des transitaires proposent maintenant une solution DDOS. Bien sur cela ne protège pas si l'attaque viens des peering mais il suffit éventuellement de couper les annonces BGP des peering le temps de l’attaque pour que le flux entrant passe par les transitaires et leur VAC.

Bensay

  • Technicien Orange ADSL / FTTH / MIC
  • Client Orange Fibre
  • *
  • Messages: 723
  • Val D'oise
Solution(s) Anti DDoS derrière une Box
« Réponse #8 le: 06 juillet 2014 à 23:13:42 »
Bonsoir Boris,

Merci de ce retour,
une diminution des priorité sur les annonces ne suffirait pas pour privilégié les transitaires ?
ça va être quand même être de plus en plus dur d'avoir des capacité excédentaire vu les facteurs d'amplifications de certaines attaques (NTP , SNMP) non?

Cdt

Bensay

Paul

  • Client Orange Fibre
  • *
  • Messages: 4 199
  • Vannes (56)
Solution(s) Anti DDoS derrière une Box
« Réponse #9 le: 07 juillet 2014 à 19:15:11 »
Ah quand même, en effet déjà pour une attaque de 10 Gb/s il faut pouvoir. C'est très bien fait ce système.

Optix

  • AS203679 NEWSOO
  • Expert
  • *
  • Messages: 575
  • Strasbourg (67)
    • Newsoo
Solution(s) Anti DDoS derrière une Box
« Réponse #10 le: 07 juillet 2014 à 19:25:39 »
Je dit "être réalisé au plus tard au niveau des routeurs de backbone" : Il est tout à fait possible de le proposer encore plus haut dans le réseau : au niveau des transitaires. La majorité des transitaires proposent maintenant une solution DDOS. Bien sur cela ne protège pas si l'attaque viens des peering mais il suffit éventuellement de couper les annonces BGP des peering le temps de l’attaque pour que le flux entrant passe par les transitaires et leur VAC.[/size]
C'est aussi le cas pour certains IXP notamment au DECIX : ils ont une solution antiDDOS qui permet de blackholer le trafic illégitime avant qu'il n'entre dans le réseau pour ne pas saturer le port et maintenir les sessions actives ;)

cali

  • Officiel Ukrainian Resilient Data Network
  • Client OVH
  • *
  • Messages: 1 850
    • Ukrainian Resilient Data Network
Solution(s) Anti DDoS derrière une Box
« Réponse #11 le: 07 juillet 2014 à 21:09:50 »
Tu peux aussi prendre un VPN chez ipredator, pour arriver à saturer la bande passante il faudra au noob plusieurs dizaines de Gb/s de bande passante.

 

Mobile View