Prepend ?
Pour utiliser le blackholing sur FranceIX (avec fastnetmon et exabgp), ça marche très très bien, en qq secondes le trafic incriminé ne rentre plus. Par contre, si les attaques arrosent toute ta plage, là oui c'est problématique. Je te conseille de plutôt garder tes préfixes annoncés sur les RS, mais tu ajoutes les communautés au fur et à mesure pour ne plus réannoncer à certains peers précis (notamment ceux qui consomment le plus). Car sinon tu n'as pas fini.
Et si les attaques sont vraiment préjudiciables à l'ensemble de l'activité... ne vaut-il pas mieux prendre le pb dans l'autre sens et dégager les clients concernés ?
Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup.
Enfin, je pense que le pb de fond vienne juste du fait que tu dises que Dyjix ait une interco privée avec AWS, alors que cela ne semble pas être le cas, c'est juste une session bgp sur franceix. Je comprends qu'en étant petit, l'on doive jouer des coudes pour se faire une place (surtout dans l'héberg qui est ultra concurrentiel), mais cela amène à une surenchère inutile. Si l'on peut juste admettre cela et passer à autre chose
Hello,
On aurait pu en effet, mais je n'ai pas eu le temps pour ça hier. C'était plus simple pour moi d'enlever le préfixe en question, d'ailleurs prepend nous aurait mené au même aboutissement : enlever le traffic de FranceIX.
Pour utiliser le blackholing sur FranceIX (avec fastnetmon et exabgp), ça marche très très bien, en qq secondes le trafic incriminé ne rentre plus. Par contre, si les attaques arrosent toute ta plage, là oui c'est problématique. Je te conseille de plutôt garder tes préfixes annoncés sur les RS, mais tu ajoutes les communautés au fur et à mesure pour ne plus réannoncer à certains peers précis (notamment ceux qui consomment le plus). Car sinon tu n'as pas fini.
Nous on utilise wanguard, mais comme tout le monde n'accepte pas les annonces de /32 sur FranceIX et n'interprète pas la communauté BGP de blackhole, on reçoit toujours trop de traffic.
Pour les résidus via FranceIX, beaucoup de hurricane, du SFR, et ensuite 100 - 200 Mbps par là par beaucoup d'opérateurs. Le panel FranceIX n'aide pas vraiment à connaitre tous les opérateurs, alors pour 24h.
Et si les attaques sont vraiment préjudiciables à l'ensemble de l'activité... ne vaut-il pas mieux prendre le pb dans l'autre sens et dégager les clients concernés ?
L'attaque n'était pas objectivement visée. Elle était visée sur deux IPs différentes en début de bloc (185.171.202.2 & 185.171.202.3). Il n'y avait pas d'impact car nous avons une solution de filtrage, simplement le commit FranceIX ne nous laisse peu de marge, là où chez nos transitaires nous avons des plus gros commîts (et surtout, nous sortons + de traffic que ce que nous en rentrons, alors ça s'équilibre).
Aussi ça peut t'intéresser. Le DECIX propose des communautés BGP pour dropper carrément ou shapper le trafic à 5 Mbps suivant certains ports (genre UDP 53, 161, 123, etc). Et le suggérer à FranceIX du coup.
Intéressant !
Enfin, je pense que le pb de fond vienne juste du fait que tu dises que Dyjix ait une interco privée avec AWS, alors que cela ne semble pas être le cas, c'est juste une session bgp sur franceix. Je comprends qu'en étant petit, l'on doive jouer des coudes pour se faire une place (surtout dans l'héberg qui est ultra concurrentiel), mais cela amène à une surenchère inutile. Si l'on peut juste admettre cela et passer à autre chose
J'ai rien contre ça, j'ai utilisé des mots simples, mais bon il aurait suffit de le notifier dès le début au lieu d'attaquer ^^
Mais il y'a aussi des choses que je n'aime pas, et dont je t'ai fait part en privé depuis longtemps. Notamment une certaine langue de bois sur la partie technique & réseau. On sent que tu aimerais avoir certaines choses, mais tu n'y arrive pas et tu te sens obligé de maquiller la vérité (les deux transits par exemple) plutôt que de dire les choses franchement.
On a bien deux transitaires différents via deux chemins / routeurs différents que ce soit chez nous ou chez notre transitaire. D'ailleurs il a déjà fait ses preuves.
Il y'a aussi ce mélange des genres entre l'association dyjix et la SAS, pour bien connaitre la chose, il est très compliqué voir impossible de transitionner d'une Asso 1901 à une SAS en respectant la loi. Je n'ai pas vu passer de communication RGPD informant les clients de l'association que leurs informations ont été transmises à un tiers (Dyjix SAS) par exemple.
Je laisserais Pierre pour la partie légale, il est plus calé que moi