Auteur Sujet: Attaque DDoS sur Europessonne et grand Nancy (Lu 10273 fois)

Nico · « **Réponse #24 le:** 17 janvier 2015 à 22:50:42 »

Citation de: TitiDu01 le 17 janvier 2015 à 22:39:57

Smokeping depuis OVH et depuis K-net :
- E² a été touché par deux fois (00H et 03H)
- Nancy a été touché par deux fois (00H et 03H)
- Le Calvados a été touché une fois (03H)
- L'ain n'a pas été impacté

D'accord, merci pour la précision.

vivien · « **Réponse #25 le:** 17 janvier 2015 à 22:53:47 »

Ah effectivement si le calvados a été impacté, c'est que le lien Genève <=> Paris a saturé avec les 570 Mb/s de trafic DDoS qui sont passé sur ce lien.

A mois que ce soit le lien Lyon-Paris qui ait été utilisé pour le trafic Genève <=> Paris.

Adeli étant récupéré sur Lyon, il y a de grande chance que Adeli remonte via le lien Lyon-Paris. Donc cela indiquerait que la saturation concernerait ce lien qui serait utilisé par 670 Mb/s de trafic DDoS.

Par contre, je me demande quelles sont les règles pour remplir le lien Geneve-Paris si une partie du trafic Geneve-Paris passe par Geneve-Lyon-Paris.

Nico · « **Réponse #26 le:** 17 janvier 2015 à 22:57:28 »

Citation de: TitiDu01 le 17 janvier 2015 à 22:49:56

Nico 1Gbs c'est le lien de collecte de la région de Paris qui a du saturé. (KNET_TE2-GNY)

Mais pas que, Calvados touché. (cela dit je n'avais pas noté que E² et Nancy étaient sur le même lien)

Citation de: vivien le 17 janvier 2015 à 22:53:47

Ah effectivement si le calvados a été impacté, c'est que le lien Genève <=> Paris a saturé avec les 570 Mb/s de trafic DDoS qui sont passé sur ce lien.

Ou alors c'est pas le lien mais le routeur (trop de pps) ?

Thibault · « **Réponse #27 le:** 17 janvier 2015 à 23:00:54 »

Le lien Genève => Paris n'a pas bloqué car depuis chez moi Ain, aucun problème pour rejoindre testdebit.info (bouygues) via Equinix. Après Lyon => Paris je ne sais ou je pourrais vérifier.
Guigui est sur la conversation il vous nous éclairer

vivien · « **Réponse #28 le:** 17 janvier 2015 à 23:12:31 »

Attention, le lien était saturé dans le sens en direction de paris.
SI tu récupère un fichier, c'est dans l'autre sens, pas saturé.

testdebit.info (le site web) est hébergé chez Adeli.
Il faut pinger un serveur par exemple :
- 1.testdebit.info qui est chez Bouygues Telecom
- ikoula.testdebit.info qui est chez Ikoula
ect...

Thibault · « **Réponse #29 le:** 17 janvier 2015 à 23:19:01 »

Vivien tu me me fait pleurer ... J'ai dis juste au dessus que c'est depuis un Smokeping que me base. Maitre OVH et esclave K-net. Depuis les graphiques du smokeping qui est sur la connexion K-net on voit bien que Grand Nancy sature mais pas Paris.

Edit : Ok bêtise de ma part, pas pensé que le site est sur Adeli. ~~Je regardes les autres graphes.~~
Dns de google 8.8.8.8 aucun problème 14ms de ping on est bien sur Paris, via FranceIX :

De 0h00 à 3h00 la courbe super lisse 0 paquet drop.

Et j'ai dis un bêtise je pense que de l'Ain pour rejoindre Paris on fait Ain => Genève => Lyon => Paris et non Ain => Genève => Paris (Via Amsterdam ?)
Car si on monte jusqu'à Amsterdam le ping serait plus important je pense.

jack · « **Réponse #30 le:** 17 janvier 2015 à 23:51:58 »

En fait, à 3H du matin :
- nous avons reçu 800+Mbps de Cogent
- nous avons reçu 900Mbps de Ielo à TH2
- nous avons reçu 900Mbps de Global Crossing

Le lien Geneve - Paris n'a pas saturé
Le lien entre TH2 et la zone a saturé

La configuration du BGP a fait pousser le traffic de Ielo sur Paris; sans cela, le port 10G de Genève eu saturé;

vivien · « **Réponse #31 le:** 18 janvier 2015 à 08:24:10 »

C'est vrai que le LinkUsage est trompeur, on voit uniquement le top 20 AS par lien.

J'ai trois questions :

1/ Pas de trafic DDoS sur Ielo Genève ?
Je vois China Unicom (AS4837) avec un trafic de 280 Mb/s à 3h du matin, ce n'était pas pour Paris ?

2/ Global Crossing est sur Genéve et Cogent à Lyon, comment a fait ce trafic pour remonter sur Paris sans saturer les liens Lyon <=> Paris et Genève <=> Paris qui sont tous les deux à 1 Gb/s ?

3/ Le blocage de l'IP empêche le lien entre TH2 et la zone de saturer, mais cela n’empêche pas la saturation des transitaires, donc je suppose que l'attaque s'est arrêtée toute seule et que sinon il la saturation des transitaires aurait continué.

jack · « **Réponse #32 le:** 18 janvier 2015 à 12:49:08 »

Pour le point #1, pas de gros DDoS via Ielo Genève (en tout cas, rien de significatif sur mes dessins)
Sur le graphe de AS4837, je vois une pointe à 200Mbps, dont 140Mbps concernent Ielo Paris (les chiffres sont lissés): il semble donc y avoir un peu de trafic passant par Genève (200Mbps de trafic sur ce port à cette heure)

Pour le #2, ils ne sont pas tout les deux à 1Gbps

Le lien Paris - Genève est un LAG

Pour le #3, nous avons des peerings avec les transitaires, afin de leurs demander de blackholer des IP
Actuellement, ce n'est pas automatique, mais nous pouvons purger facilement du trafic à destination d'une de nos IP en l'annonçant sur ces sessions (le route serveur n'est pas sur le réseau de K-net)

Macharius · « **Réponse #33 le:** 19 janvier 2015 à 08:45:28 »

Citation de: BadMax le 17 janvier 2015 à 13:43:38

Moi je serais curieux de connaitre l'innocente victime. J'aimerai bien savoir ce qu'il a raconté sur IRC pour se prendre une telle attaque !!!

+1

Et puis ça aurait été bien que les pirates fassent ça à des heures correctes

Foutre en l'air une partie de MMORPG en pleine nuit comme ça c'est pas cool

En tout cas un grand merci pour la réactivité