Auteur Sujet: Possible ajout d'un anti-DDoS sur les IP clients (Lu 2243 fois)

Stilnox · « **le:** 11 mai 2023 à 06:03:19 »

Bonjour,

je possède un abonnement chez un prestataire permettant de lancer des DDoS de tout types afin de tester les lacunes des infras. J'ai pu constater que depuis peu, Free filtre tout les paquets malveillants en amont, que ce soit du DNS/NTP reflect ou des paquets TCP malveillants. Testé sur un abo résidentiel avec une Freebox Delta en FTTH, j'ai une DMZ vers un serveur pour qu'il reçoive le trafic "malveillant" connecté en SFP+ sur la box, il s'avère qu'il ne reçoit absolument rien, même pas un paquet de malveillant. Je ne sais pas quel type de matos a pu mettre Free côté NRO/backbone, mais c'est sûrement le seul FAI grand public à avoir un anti-DDoS. A ce jour le seul FAI que je connaissais qui proposait un anti-DDoS c'était MilkyWan, donc un petit FAI.
C'est une bonne chose car les joueurs qui jouent sur des jeux P2P (comme Call of Duty) ont l'habitude de se faire DDoS par des kikoolols.
J'ai testé sur une box SFR Business en revanche, et l'accès tombe immédiatement dès que le DDoS est lancé, ce n'est donc pas une erreur du côté du service que j'utilise permettant de tester son infra.
Je ne sais pas si cet anti-DDoS a été généralisé pour tout les clients, sachant que Free a déployé la FTTH en début d'année chez moi (donc le réseau est totalement neuf, ce sont eux qui ont déployés la fibre en premier), mais c'est une bonne chose pour les joueurs et les personnes qui hébergent en auto-hébergement (comme moi) des serveurs type sites web ou serveurs mails.

Hugues · « **Réponse #1 le:** 11 mai 2023 à 08:49:53 »

Citation de: Stilnox le 11 mai 2023 à 06:03:19

A ce jour le seul FAI que je connaissais qui proposait un anti-DDoS c'était MilkyWan, donc un petit FAI.

Ah bon ? Je l'apprends

Le cout d'un anti-ddos est phénoménal pour un intérêt très faible quand tu ne fais pas d'hébergement

Stilnox · « **Réponse #2 le:** 11 mai 2023 à 08:58:42 »

Citation de: Hugues le 11 mai 2023 à 08:49:53

Ah bon ? Je l'apprends

Le cout d'un anti-ddos est phénoménal pour un intérêt très faible quand tu ne fais pas d'hébergement

Si je ne me trompe pas lors d'une conférence tu avais dis avoir reçu plusieurs dizaines de Gbps jusqu'au freeze total du réseau Milkywan, et plus tard j'ai vu des posts où tu disais être en collaboration avec "F5" pour tout ce qui est DDoS. Je me trompe ?

Hugues · « **Réponse #3 le:** 11 mai 2023 à 09:01:40 »

On a un transitaire (trois en réalité) qui ont des services d'anti-DDoS, mais ça ne veut pas dire qu'on a un anti-DDoS en interne, ce sont deux logiques de fonctionnement bien différentes.

thinklad · « **Réponse #4 le:** 15 mai 2023 à 15:45:05 »

Citation de: Stilnox le 11 mai 2023 à 06:03:19

je possède un abonnement chez un prestataire permettant de lancer des DDoS de tout types afin de tester les lacunes des infras.

Ce que tu as fait est probablement illégal. Il existe en effet quelques services de test DDoS légitimes, qui se doivent d'encadrer dans quelles conditions ces tests sont menés (tonnage, subnet de destination, chemin, etc.). En revanche, la majorité des sites qui se revendiquent comme "stressers" n'opèrent pas dans ces paramètres et ne sont que du DDoS-for-hire.
Pour rappel, les attaques DDoS n'ont pas que pour impact la disponibilité de l'hôte de destination, mais aussi ce qu'il y a sur le chemin pour y arriver.

Stilnox · « **Réponse #5 le:** 15 mai 2023 à 16:15:00 »

Citation de: thinklad le 15 mai 2023 à 15:45:05

Ce que tu as fait est probablement illégal. Il existe en effet quelques services de test DDoS légitimes, qui se doivent d'encadrer dans quelles conditions ces tests sont menés (tonnage, subnet de destination, chemin, etc.). En revanche, la majorité des sites qui se revendiquent comme "stressers" n'opèrent pas dans ces paramètres et ne sont que du DDoS-for-hire.
Pour rappel, les attaques DDoS n'ont pas que pour impact la disponibilité de l'hôte de destination, mais aussi ce qu'il y a sur le chemin pour y arriver.

Je confirme que la légalité de l'outil en question est juridiquement discutable étant donné que ça peut saturer une ip de destination mais aussi les interconnexions qui y sont liées. Mais pour anecdote on en trouve partout sur Google ce genre d'outils.

Sinon concernant le topic, j'ai pu voir ceci sur Twitter : https://twitter.com/FreePro/status/1658105724050735108

Free Pro indique fournir de l'anti-DDoS. Je n'ai pas d'abonnement pro (j'ai une Delta) et je ne reçois visiblement aucune attaque DDoS, en sachant de plus que j'héberge des serveurs de jeux, un vrai terrain de kikoos qui peuvent tenter de m'attaquer donc, et je n'ai eu aucune coupure à ce jour.

simon · « **Réponse #6 le:** 15 mai 2023 à 16:32:24 »

Au hasard, free n'aurait-il pas simplement blacklisté l'ASN/les IP sources dudit service ? Arrives-tu à échanger du traffic "légitime" avec les IP sources ?

Blacklister les IP sources de telles nuisances en bordure de réseau me parait sain pour un ISP, surtout pour free qui a tendance à être populaire auprès des gamers (et de tout ce qui va avec). Je serai surpris si des listes de préfixes n'existaient pas "as a service". Du coup, pas besoin d'équipement anti-DDoS spécial, on importe une blacklist qu'on distribue aux routeurs, et bim, on blackhole les IP sources en question.

Nao · « **Réponse #7 le:** 15 mai 2023 à 16:33:55 »

Hello,
Chez les quatres gros opérateurs, il a des systèmes de détection de traffic illégitime.

Exemple de Bouygues Telecom d'où il a était dit dans ce forum qu'il travaille avec des solutions arbor network.
Ne pensait pas que ce sont les seules.

Les architectures de prévention du traffic illégitime ont certainement des différences entre les quatres.
Chez Free d'ailleurs on a vu qu'une sécurité coupait le trafic d'un abonné en cas de ddos de sa ligne.

thinklad · « **Réponse #8 le:** 15 mai 2023 à 16:38:03 »

Citation de: Stilnox le 15 mai 2023 à 16:15:00

Mais pour anecdote on en trouve partout sur Google ce genre d'outils.

Oui, et ces outils sont aussi généralement protégés par Cloudflare ; ça ne les rend pas plus conforme au code pénal français :-).

Citation de: Stilnox le 15 mai 2023 à 16:15:00

Sinon concernant le topic, j'ai pu voir ceci sur Twitter : https://twitter.com/FreePro/status/1658105724050735108

Free Pro indique fournir de l'anti-DDoS. Je n'ai pas d'abonnement pro (j'ai une Delta) et je ne reçois visiblement aucune attaque DDoS, en sachant de plus que j'héberge des serveurs de jeux, un vrai terrain de kikoos qui peuvent tenter de m'attaquer donc, et je n'ai eu aucune coupure à ce jour.

Ca semble être fourni par Arbor: https://community.jaguar-network.com/reseau-tres-haut-debit-et-securite-jaguar-network-partenaire-privilegie-de-lesport/

Comme le mentionnait Hugues ci-dessus, c'est une solution coûteuse (typiquement 3-10 k€/Gbps protégé avec TMS), donc il n'y a tout simplement pas de modèle économique pour un opérateur grand public à protéger ses abonnés. (et d'autre part, la protection ne serait pas immédiate car au niveau d'un réseau FAI ça se passe typiquement d'abord par une détection sur échantillon Netflow avant d'être redirigé vers scrubber pour nettoyage, donc au mieux quelques minutes de latence entre début de l'attaque et début de mitigation effective.)

thinklad · « **Réponse #9 le:** 15 mai 2023 à 16:42:55 »

Citation de: simon le 15 mai 2023 à 16:32:24

Au hasard, free n'aurait-il pas simplement blacklisté l'ASN/les IP sources dudit service ? Arrives-tu à échanger du traffic "légitime" avec les IP sources ?

Blacklister les IP sources de telles nuisances en bordure de réseau me parait sain pour un ISP, surtout pour free qui a tendance à être populaire auprès des gamers (et de tout ce qui va avec). Je serai surpris si des listes de préfixes n'existaient pas "as a service". Du coup, pas besoin d'équipement anti-DDoS spécial, on importe une blacklist qu'on distribue aux routeurs, et bim, on blackhole les IP sources en question.

Il y a entre 500k et 1M de bots DDoS estimés, donc bon courage pour installer le nombre d'ACLs équivalent sur des routeurs de peering. (Et aussi, certaines attaques utilisent des adresses dont la source est spoofée, notamment pour certains TCP floods ; donc le filtrage statique ne serait pas utile là-dessus non plus.)

thinklad · « **Réponse #10 le:** 15 mai 2023 à 16:56:14 »

Citation de: Stilnox le 11 mai 2023 à 06:03:19

J'ai testé sur une box SFR Business en revanche, et l'accès tombe immédiatement dès que le DDoS est lancé, ce n'est donc pas une erreur du côté du service que j'utilise permettant de tester son infra.

Ce qui me semble plus probable en revanche pour la différence de comportement entre Free et SFR Pro, c'est que l'un utilise CGNAT en IPv4, et pas l'autre (d'après ce que je lis sur le récapitulatif actuel).

Stilnox · « **Réponse #11 le:** 15 mai 2023 à 16:56:45 »

Citation de: Nao le 15 mai 2023 à 16:33:55

Hello,
Chez les quatres gros opérateurs, il a des systèmes de détection de traffic illégitime.

Exemple de Bouygues Telecom d'où il a était dit dans ce forum qu'il travaille avec des solutions arbor network.
Ne pensait pas que ce sont les seules.

Les architectures de prévention du traffic illégitime ont certainement des différences entre les quatres.
Chez Free d'ailleurs on a vu qu'une sécurité coupait le trafic d'un abonné en cas de ddos de sa ligne.

La "sécurité" en question est un nullroute sur l'IP de l'abonné, uniquement en xDSL sur un NRA dégroupé par Free. C'est une sécurité absurde car l'attaque touche toujours le DSLAM (ayant fait des traceroute vers une ip nullroutée, je voyais le DSLAM en fin de traceroute). Cette méthode est également employée par Bouygues Telecom sur ses box 4G, l'abonné d'une box 4G chez Bouygues possède une IP publique à lui et non une IP CG-natée, du coup la box est accessible depuis Internet. Je ne sais pas si ça a changé de méthode de ce côté-là, mais c'est ce que j'avais pu constater après quelques tests lors de la sortie de la "4G Box".