"Interconnexion directe" est le bon terme, tu le sauras pour le prochain post ;-)

;-)

Parce que l'objectif d'Hugues n'est pas de comprendre ou de féliciter mais plutôt de nous aplatir en public, donc son commentaire n'a aucun sens sous notre publication.

Les commentaires de Hugues étaient-ils faux, calomnieux ou offensants ?
Des adultes responsables auraient argumentés au lieu de jouer les kikoulols...

Loin de là, d'ailleurs ils sont plutôt content d'être chez nous, avec de la transparence.  Il n'y a pas d'incident, et sur ceux qu'il y a eu, ils ont toujours sû directement ce qu'il s'est passé.

Je confirme de ne pas avoir de souci Très content d'être chez Dyjix personnellement.

Depuis presque un an d'ailleurs.

Prepend ?

Pour utiliser le blackholing sur FranceIX (avec fastnetmon et exabgp), ça marche très très bien, en qq secondes le trafic incriminé ne rentre plus. Par contre, si les attaques arrosent toute ta plage, là oui c'est problématique. Je te conseille de plutôt garder tes préfixes annoncés sur les RS, mais tu ajoutes les communautés au fur et à mesure pour ne plus réannoncer à certains peers précis (notamment ceux qui consomment le plus). Car sinon tu n'as pas fini.

Et si les attaques sont vraiment préjudiciables à l'ensemble de l'activité... ne vaut-il pas mieux prendre le pb dans l'autre sens et dégager les clients concernés ?

Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup.


Enfin, je pense que le pb de fond vienne juste du fait que tu dises que Dyjix ait une interco privée avec AWS, alors que cela ne semble pas être le cas, c'est juste une session bgp sur franceix. Je comprends qu'en étant petit, l'on doive jouer des coudes pour se faire une place (surtout dans l'héberg qui est ultra concurrentiel), mais cela amène à une surenchère inutile. Si l'on peut juste admettre cela et passer à autre chose 

Hello,

On aurait pu en effet, mais je n'ai pas eu le temps pour ça hier. C'était plus simple pour moi d'enlever le préfixe en question, d'ailleurs prepend nous aurait mené au même aboutissement : enlever le traffic de FranceIX.

Pour utiliser le blackholing sur FranceIX (avec fastnetmon et exabgp), ça marche très très bien, en qq secondes le trafic incriminé ne rentre plus. Par contre, si les attaques arrosent toute ta plage, là oui c'est problématique. Je te conseille de plutôt garder tes préfixes annoncés sur les RS, mais tu ajoutes les communautés au fur et à mesure pour ne plus réannoncer à certains peers précis (notamment ceux qui consomment le plus). Car sinon tu n'as pas fini.

Nous on utilise wanguard, mais comme tout le monde n'accepte pas les annonces de /32 sur FranceIX et n'interprète pas la communauté BGP de blackhole, on reçoit toujours trop de traffic.
Pour les résidus via FranceIX, beaucoup de hurricane, du SFR, et ensuite 100 - 200 Mbps par là par beaucoup d'opérateurs. Le panel FranceIX n'aide pas vraiment à connaitre tous les opérateurs, alors pour 24h.

Et si les attaques sont vraiment préjudiciables à l'ensemble de l'activité... ne vaut-il pas mieux prendre le pb dans l'autre sens et dégager les clients concernés ?

L'attaque n'était pas objectivement visée. Elle était visée sur deux IPs différentes en début de bloc (185.171.202.2 & 185.171.202.3). Il n'y avait pas d'impact car nous avons une solution de filtrage, simplement le commit FranceIX ne nous laisse peu de marge, là où chez nos transitaires nous avons des plus gros commîts (et surtout, nous sortons + de traffic que ce que nous en rentrons, alors ça s'équilibre).

Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup.

Intéressant !

Enfin, je pense que le pb de fond vienne juste du fait que tu dises que Dyjix ait une interco privée avec AWS, alors que cela ne semble pas être le cas, c'est juste une session bgp sur franceix. Je comprends qu'en étant petit, l'on doive jouer des coudes pour se faire une place (surtout dans l'héberg qui est ultra concurrentiel), mais cela amène à une surenchère inutile. Si l'on peut juste admettre cela et passer à autre chose 

J'ai rien contre ça, j'ai utilisé des mots simples, mais bon il aurait suffit de le notifier dès le début au lieu d'attaquer ^^

Mais il y'a aussi des choses que je n'aime pas, et dont je t'ai fait part en privé depuis longtemps. Notamment une certaine langue de bois sur la partie technique & réseau. On sent que tu aimerais avoir certaines choses, mais tu n'y arrive pas et tu te sens obligé de maquiller la vérité (les deux transits par exemple) plutôt que de dire les choses franchement.

On a bien deux transitaires différents via deux chemins / routeurs différents que ce soit chez nous ou chez notre transitaire. D'ailleurs il a déjà fait ses preuves.

Il y'a aussi ce mélange des genres entre l'association dyjix et la SAS, pour bien connaitre la chose, il est très compliqué voir impossible de transitionner d'une Asso 1901 à une SAS en respectant la loi. Je n'ai pas vu passer de communication RGPD informant les clients de l'association que leurs informations ont été transmises à un tiers (Dyjix SAS) par exemple.

Je laisserais Pierre pour la partie légale, il est plus calé que moi

On a bien deux transitaires différents via deux chemins / routeurs différents que ce soit chez nous ou chez notre transitaire. D'ailleurs il a déjà fait ses preuves.

C'est précisément ce qui me gène, tu ne peux pas dire que tu as deux transitaires avec ça.
Pourquoi ? Parce que tu as toujours des SPOF :
- Une attaque sur le réseau de ton transitaire qui ferait tomber les deux routeurs (je ne parle pas de DDoS)
- Une erreur de conf d'un ingé ou d'un script qui casserait le routage des deux pattes

Tu as une liaison diversifiée avec AS49434 (je n'ai pas regardé en détail si il y'avait des SPOF sur cette partie mais on va dire que non), mais pas au delà.
Pour le coup j'ai du mal avec ce genre de détails techniques maquillés, j'ai déjà vu des backbones tomber parce qu'un commercial avait vendu un "tkt c'est redondant", rogers en a fait les frais encore Hier de mémoire.

Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup.

(désolé pour le HS)
France-IX est bien au courant de ce qui se fait ailleurs (et pour être transparent, c'était même discuté en interne avant que ça ne soit poussé ailleurs), mais comme toute structure, il n'y a hélas pas de moyens illimités (on recrute !!!!)... C'est en réflexion/todolist pour... Un jour peut être !
Mais n'hésitez pas à dire ce que vous voulez en priorité, ce qu'il manque (de manière constructive évidemment, mais on a pas à se plaindre de ça).
On sait parfois être assez agiles (I.E. pousser en deux semaines des fix sur tous les RS avec des périodes de lab, de tests d'observation) quand il le faut.