La Fibre
Télécom => Réseau => Attaques informatiques => Discussion démarrée par: Bensay le 06 juillet 2014 à 14:46:42
-
Bonjour à tous,
Avis à tout les experts réseaux/sécurité et autres.
Quels solutions aurait un particulier cible par exemple d'un DDoS Volumétrique ou Applicatif par exemple dans le cadre d'une attaque sur un support Jeux-Vidéo ou FTTH ?
Dans le cas d'une adresse dynamique cela parait assez simple (renouvellement bail) mais dans le cas d'une IP Fixe à part des solutions "ARBOR" & "Tiléra" comme l'on en vois chez les Hébergeurs tels que "OVH" & "Online" , quel solution peuvent être mis en place par l'utilisateur terminal , ou quelles solutions sont éventuellement mis en place par les FAI ?
Quid également de l'IPV6 ?
Les activités DDoS n'étant visiblement pas prête à s’arrêter et pour ma culture personnelle & la culture du forum je suis très intéresser par vos réponses.
Merci par avance.
Cdt
Bensay
-
Concernant ce qu'il est possible de faire de ton côté, graduellement :
- Si tu as une adresse IP dynamique, redémarrer la box.
- Si l'attaque DDoS sature les capacités de traitement de la box sans saturer la bande passante qu'elle peut faire normalement passer, dire au FAI qu'il doit y avoir un problème logiciel qui est exploité ?
- Si l'attaque DDoS sature la bande passante au point de rendre la connexion inutilisable (ce qui est plus simple à faire, pour un attaquant, si la cible est en ADSL plutôt qu'en FTTH), je ne vois pas grand chose d'autre à faire que de contacter le FAI pour qu'il agisse de son côté.
Je n'ai pas connaissance d'une protection contre les attaques DDoS ciblées qui aurait été mise en place par un FAI.
Les solutions dont tu parles ne devraient franchement pas se révéler utiles pour toi.
Je pense que l'IPv6 n'arrangera rien.
EDIT : Modifié des choses.
-
Bonjour,
Bouygues Telecom a acheté un VAC pour pouvoir nettoyer les attaques qui saturent la bande passante au point de rendre la connexion inutilisable.
La page d'OVH explique bien le fonctionnement : https://www.ovh.com/fr/anti-ddos/gestion-attaque-ddos.xml (https://www.ovh.com/fr/anti-ddos/gestion-attaque-ddos.xml) celle d'Online aussi : https://www.online.net/fr/serveur-dedie/ddos-arbor (https://www.online.net/fr/serveur-dedie/ddos-arbor)
L'idée est de supprimer le trafic de l'attaque pour que le client puisse continuer à utiliser sa connexion Internet, même en étant attaqué par un trafic important.
Cordialement,
Boris de Bouygues Telecom
-
Je pense que Bensay voulait dire "at home"
Mon routeur bloc les attaques de DDos, ça bloc mais bon ma connexion restera bloqué.
Et là comme dit Boris, seul notre FAI peut nous sauver.
-
Merci à tous pour vos 1eres réponses.
Mais concrètement coté FAI, que peut faire ce dernier a part mettre en Place un #VAC comme Boris le cite.
A part BT ce serait déployé ailleurs selon vous ?
Cdt
Bensay
-
Pour "nettoyer" un DDoS, il faut avoir une capacité supérieur à son débit.
Donc hors coeur de réseau de l'opérateur, point de salut.
-
Pour "nettoyer" un DDoS, il faut avoir une capacité supérieur à son débit.
Donc hors coeur de réseau de l'opérateur, point de salut.
Cela ne peut donc être traiter au niveau des DSLAM avant l'utilisateur ?
Cdt
Bensay
-
Au niveau du DSLAM, c'est trop tard : le DSLAM n'est relié au réseau que par un lien 1 Gb/s.
Une attaque à 2 Gb/s va faire tomber tous les clients du DSLAM.
Il faut donc traiter l'attaque en amont.
Comme l'explique OVH, cela doit être réalisé au plus tard au niveau des routeurs de backbone : Le trafic qui inclus l'attaque est rerouté vers une plateforme qui est capable de supprimer les paquets de l'attaque, tout en laissant les paquets qui ne font pas partie de l'attaque rejoindre leur destination. La plateforme qui fait le nettoyage est assez complexe et doit être en mesure de traiter n x 10Gb/s pour absorber des attaques importantes.
(https://lafibre.info/images/ovh/201407_ovh_contrer_une_attaque_ddos.png)
Je dit "être réalisé au plus tard au niveau des routeurs de backbone" : Il est tout à fait possible de le proposer encore plus haut dans le réseau : au niveau des transitaires. La majorité des transitaires proposent maintenant une solution DDOS. Bien sur cela ne protège pas si l'attaque viens des peering mais il suffit éventuellement de couper les annonces BGP des peering le temps de l’attaque pour que le flux entrant passe par les transitaires et leur VAC.
-
Bonsoir Boris,
Merci de ce retour,
une diminution des priorité sur les annonces ne suffirait pas pour privilégié les transitaires ?
ça va être quand même être de plus en plus dur d'avoir des capacité excédentaire vu les facteurs d'amplifications de certaines attaques (NTP , SNMP) non?
Cdt
Bensay
-
Ah quand même, en effet déjà pour une attaque de 10 Gb/s il faut pouvoir. C'est très bien fait ce système.
-
Je dit "être réalisé au plus tard au niveau des routeurs de backbone" : Il est tout à fait possible de le proposer encore plus haut dans le réseau : au niveau des transitaires. La majorité des transitaires proposent maintenant une solution DDOS. Bien sur cela ne protège pas si l'attaque viens des peering mais il suffit éventuellement de couper les annonces BGP des peering le temps de l’attaque pour que le flux entrant passe par les transitaires et leur VAC.[/size]
C'est aussi le cas pour certains IXP notamment au DECIX : ils ont une solution antiDDOS qui permet de blackholer le trafic illégitime avant qu'il n'entre dans le réseau pour ne pas saturer le port et maintenir les sessions actives ;)
-
Tu peux aussi prendre un VPN chez ipredator, pour arriver à saturer la bande passante il faudra au noob plusieurs dizaines de Gb/s de bande passante.
-
J'ai fais un post qui archive les informations disponibles sur le site d'OVH avec ds photos du matériel
=> Protection anti-DDoS OVH (Arbor) (https://lafibre.info/ovh-datacenter/anti-ddos-arbor/)
Rien de neuf, mais pratique, le jour où le site d'OVH changera.