Bonjour,

Je fais une mise à jour importante car nous avons enfin l’origine du problème :

1. Le blocage ne vient ni de Free Pro, ni d’o2switch

J’ai eu les deux opérateurs + Zayo (AS8218) en contact direct.

2. Mon IP Free Pro (212.114.xxx.xxx) a été listée dans les “CLDAP Reflectors/Amplifiers”

Zayo m’a indiqué que Netscout/Arbor (ATLAS Intelligence Feed) a répertorié mon IP comme potentiellement impliquée dans une attaque DDoS par amplification via LDAP.

Du coup, leur anti-DDoS bloque spécifiquement mon IP en entrée vers o2switch.

3. C’est donc un filtrage ciblé, et non un problème de routage

Free Pro m’a confirmé que leurs routes BGP vers AS50474 étaient OK.
Le trafic arrive bien jusqu’à AS8218, mais Zayo bloque mon IP pour raison de sécurité.

4. Côté interne, j’ai vérifié :

Pas de serveur LDAP exposé

Pas de port 389/UDP ouvert


Mon IP devrait être retirée des listes lors de la prochaine mise à jour ATLAS/Netscout.

Normalement, le problème devrait disparaître après le “refresh” du feed anti-DDoS.

Merci encore aux personnes qui ont pris du temps pour analyser avec moi, ça a permis d’isoler la cause beaucoup plus vite.

Juste pour info, même si ta partie LDAP n'est pas exposée sur Internet, ton IP peut être usurpée avec UDP et donc afficher à la victime des paquets où tu es en source alors que tu n'as jamais envoyé le moindre paquet.

Pas tellement en fait...
LDAP, ce sont surtout des DDoS par amplification. Pas vraiment par botnet envoyant des paquets à sources spoofées.
En l'occurrence lesdits botnets envoient bien des paquets à source spoofée, mais juste de petites requêtes vers les amplificateurs tournant un LDAP ; qui eux envoient des grosses réponses de merde vers ladite IP spoofée (la cible) (et finissent blacklistés par Netscout Atlas).

On devrait plutôt se demander si l'IP publique était portée par autre chose récemment. Ou s'il n'y a pas eu une DFZ mal configurée à un moment donnée