Auteur Sujet: Hopus, c'est du transit partiel, pas du peering (et encore moins un GIX)  (Lu 51719 fois)

0 Membres et 1 Invité sur ce sujet

Symbol

  • AS52075 Wifirst
  • Expert
  • *
  • Messages: 349
Hopus, c'est du transit partiel, pas du peering (et encore moins un GIX)
« Réponse #120 le: 28 février 2016 à 15:08:21 »
- Couper des ports : pas bon
Oui, quelle bonne idée, c'est super que madame michu puisse inonder toute la Terre avec ses scans de serveurs SMTP (car infectée par deux trois virus) et se fasse blacklister son IP (et râle ensuite auprès de son FAI).
Et puis laisser les ssdp/chargen/ntp/dns/autres entrer sans limitation, c'est encore mieux, parce que bon tu comprends le DDoS c'est Neutre.
Quelle blague.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
Hopus, c'est du transit partiel, pas du peering (et encore moins un GIX)
« Réponse #121 le: 28 février 2016 à 15:10:55 »
Oui, quelle bonne idée, c'est super que madame michu puisse inonder toute la Terre avec ses scans de serveurs SMTP (car infectée par deux trois virus) et se fasse blacklister son IP (et râle ensuite auprès de son FAI).
Et puis laisser les ssdp/chargen/ntp/dns/autres entrer sans limitation, c'est encore mieux, parce que bon tu comprends le DDoS c'est Neutre.
Quelle blague.
Je crois que tu confonds avec "configurer son serveur correctement".

Si tu configures des serveurs DNS, SMTP etc etc, comme un gueux, TU es le coupable, et personne d'autre.

Boris de Bouygues Telecom

  • AS5410 Expert Bouygues Telecom
  • Abonné Bbox fibre
  • *
  • Messages: 2 763
  • Technopôle de Bouygues Telecom sur Meudon (92)
Hopus, c'est du transit partiel, pas du peering (et encore moins un GIX)
« Réponse #122 le: 28 février 2016 à 15:25:33 »
Akamai a la particularité d'envoyer du trafic avec de nombreux AS différents. Un exemple avec le CERN qui envoyait une majorité du trafic Akamai vers K-Net.
Le fait n'est pas isolé et quand un AS voit son trafic avec Bouygues Telecom exploser, on investigue et généralement, c'est Akamai qui est derrière (ce n'est pas facile à identifier, il faut généralement demander à l'AS en question des explications)
Un AS qui interviens régulièrement sur ce forum va voir son peering privé passer de 10 Gb/s à 100 Gb/s dans les prochaines semaines à cause du trafic Akamai. Il sait décharger à la main son trafic, afin d'éviter de saturer le 10 Gb/s actuel, le fait que le PNI actuel soit sous-dimensionné n'a aucun impact pour nos clients.
C'est très intéressant, est-ce que tu sais s'il est possible de limiter ce genre de chose ?
Si moi, j'accepte de mettre un cache akamai sur mon réseau, j'entends bien ne pas le saturer de tout côté pour nourrir le reste du monde

Je suppose que les opérateurs (comme le CERN en exemple) sont rémunérés pour le trafic générés par ces caches Akamai.

Dans le passé, avant que Akamai mettre des caches commun a plusieurs opérateurs, Bouygues Telecom a eu un cache Akamai sur TH2 : Akamai à loué une baie à TH2 dédiée à Bouygues Telecom avec un cache et un routeur. Il y avait deux liens : Un lien 2x 1Gb/s de transit full view Bouygues Telecom pour alimenter la cache et un lien 2x 20 Gb/s qui était vu comme un peering standard coté Bouygues. Le seul moyen d'envoyer du trafic à d'autre AS, serait d'utiliser le lien 2 Gb/s de transit et cela se serait vu, car le trafic en out sur ce lien était limité a des acquittements.

Symbol

  • AS52075 Wifirst
  • Expert
  • *
  • Messages: 349
Hopus, c'est du transit partiel, pas du peering (et encore moins un GIX)
« Réponse #123 le: 28 février 2016 à 15:31:10 »
Je crois que tu confonds avec "configurer son serveur correctement".
Si tu configures des serveurs DNS, SMTP etc etc, comme un gueux, TU es le coupable, et personne d'autre.
T'as pas compris ce que j'ai écrit  :-\
Ou alors tu reçois jamais de DDoS.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
Hopus, c'est du transit partiel, pas du peering (et encore moins un GIX)
« Réponse #124 le: 28 février 2016 à 15:32:57 »
T'as pas compris ce que j'ai écrit  :-\
Ou alors tu reçois jamais de DDoS.
Je crois avoir compris, et j'ai parfois des DDoS

En revanche, je n'ai jamais de DDoS en provenance de serveurs configurés convenablement
Et donc, il me parait absurde de faire payer des innocents pour la faute d'autres incompétents

Finalement, c'est comme lorsque certains FAI cherchent à se faire payer par les CDN : une absence de prise de responsabilité, et une tentative de faire payer un autre pour des choix que ce dernier n'a pas fait.


Bref, je ne me vois pas limiter mes abonnés, pour les fautes de pseudo-adminsys en dilettante.

Synack

  • AS16080 Rentabiliweb Telecom
  • Expert
  • *
  • Messages: 689
Hopus, c'est du transit partiel, pas du peering (et encore moins un GIX)
« Réponse #125 le: 28 février 2016 à 16:52:42 »
Oui, quelle bonne idée, c'est super que madame michu puisse inonder toute la Terre avec ses scans de serveurs SMTP (car infectée par deux trois virus) et se fasse blacklister son IP (et râle ensuite auprès de son FAI).
Et puis laisser les ssdp/chargen/ntp/dns/autres entrer sans limitation, c'est encore mieux, parce que bon tu comprends le DDoS c'est Neutre.
Quelle blague.

Attention, je n'ai pas dit ce qu'il fallait ou ne pas faire, je dis juste que ça tape dans la neutralité de le faire. Après ça peut-être bloqué déblocable optionnellement comme free avec son CGNAT à 4 abonnés par IP.

Je liste juste des choses qu'on peut trancher facilement comme neutres ou non.

Déjà une première bonne chose c'est d'informer le client de ces limitations et de lui laisser potentiellement la possibilité de débloquer ces ports (ce que Madame Michu ne fera jamais)

Accessoirement les DDoS fonctionneraient moins bien si les protections anti spoofing étaient appliquées correctement partout (mais là je suis d'accord c'est une utopie).

Synack

  • AS16080 Rentabiliweb Telecom
  • Expert
  • *
  • Messages: 689
Hopus, c'est du transit partiel, pas du peering (et encore moins un GIX)
« Réponse #126 le: 28 février 2016 à 17:00:40 »
Je crois avoir compris, et j'ai parfois des DDoS

En revanche, je n'ai jamais de DDoS en provenance de serveurs configurés convenablement
Et donc, il me parait absurde de faire payer des innocents pour la faute d'autres incompétents

Finalement, c'est comme lorsque certains FAI cherchent à se faire payer par les CDN : une absence de prise de responsabilité, et une tentative de faire payer un autre pour des choix que ce dernier n'a pas fait.


Bref, je ne me vois pas limiter mes abonnés, pour les fautes de pseudo-adminsys en dilettante.

Non là dessus je rejoins Symbol, c'est utopique de croire qu'on est clean, "comme dirait l'autre" de la sécu : Il y a les gens qui se sont fait powner et ceux qui ne le savent pas encore.

Tu ne peux jamais être sûr qu'un client n'aura pas de la merde chez lui. Il est important du coup d'avoir des protections, qu'elles soient dans le monitoring du trafic ou dans la préparation au risque.

Beaucoup de FDC par exemple aujourd'hui bloquent le port 80 en UDP pour cette raison (et plein d'autres nommés avant). Le problème c'est ce que tu fais pour toi et ce que tu fais par rapport à tes clients, si tu les informes, si tu bloques en anticipation ou pas. Parce que sur le net, tu es dans un univers de confiance mais que tu ne peux pas faire confiance à tout le monde sur le fait que tout soit propre.

Et ces dernières années on voit bien que se maintenir à jour de toutes les failles de sécu, c'est un vrai boulot qui prend pas mal de temps (l'avantage c'est que tu sais que ton parc redémarre bien à force de le rebooter tous les mois :D )

Je ne juge pas un FAI qui bloque des ports de service quasi jamais utilisés par ses clients, je ferais surement la même chose, par contre c'est dommage de ne pas informer de ce fait et de ne pas laisser la possibilité à un client spécifique de débloquer ses ports pour ses éventuels besoins.

Mais quoi qu'il en soit mon propos était de lister quelques éléments simples par rapport à la neutralité, pas de débattre du niveau de gravité qui en découle. Les DNS menteurs sont bien plus embêtants par exemple.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
Hopus, c'est du transit partiel, pas du peering (et encore moins un GIX)
« Réponse #127 le: 28 février 2016 à 17:18:53 »
Je ne vois pas ce que cela protége, m'enfin