<div dir="ltr"><div>Oh. Wow (à notre échelle).<br><br></div>Peut-on savoir qui a été pris/e pour cible ?<br><div><div><br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Date: Thu, 25 Aug 2016 08:25:47 +0200<br>
From: Laurent GUERBY <<a href="mailto:laurent@guerby.net">laurent@guerby.net</a>><br>
To: technique <<a href="mailto:technique@lists.tetaneutral.net">technique@lists.tetaneutral.<wbr>net</a>><br>
Subject: [technique] Premier gros DDoS sur une IP adherent<br>
        <a href="http://tetaneutral.net" rel="noreferrer" target="_blank">tetaneutral.net</a> 11+ Gbit/s<br>
Message-ID: <<a href="mailto:1472106347.5474.184.camel@guerby.net">1472106347.5474.184.camel@<wbr>guerby.net</a>><br>
Content-Type: text/plain; charset="UTF-8"<br>
<br>
Salut,<br>
<br>
<a href="http://tetaneutral.net" rel="noreferrer" target="_blank">tetaneutral.net</a> vient de se prendre la plus grosse attaque DDoS de sa<br>
courte histoire, cette fois-ci sur une VM adherent et pas vers le noeud<br>
Tor maylou de nos-oignons qui est la cible habituelle.<br>
<br>
Quelques statistiques :<br>
<br>
- 10 Gbit/s cogent, 500 Mbit/s fullsave, 500 Mbit/s franceix<br>
20160825T000206  RX/TX vu du routeur en Mbit/s<br>
cogent:  9745.6/ 27.9<br>
fullsave: 474.1/  9.3<br>
franceix: 489.2/  8.8<br>
<br>
Le 500 Mbit/s sur fullsave et franceix s'explique par le fait que les<br>
deux partagent le meme port gigabit du routeur, sinon on aurait<br>
sans doute eu 1 Gbit/s sur chaque car l'attaque devait depasser<br>
de loin les 12 Gbit/s.<br>
<br>
- Le traffic est monté de 300 Mbit/s habituel a 10 Gbit/s en 3 secondes<br>
a 20160824T235508.<br>
<br>
- Des paquets depuis 3689 IP differentes sur un pcap de quelques<br>
secondes (manuel).<br>
<br>
- Fin vers 20160825T000501 a la troisieme coupure manuelle de quelques<br>
minutes des transit <a href="http://tetaneutral.net" rel="noreferrer" target="_blank">tetaneutral.net</a>, durée totale 10 minutes donc.<br>
<br>
Notre routeur n'a pas eu de soucis de charge, pour la prochaine attaque<br>
j'ai reactualisé la configuration de blackhole BGP pour pouvoir<br>
reagir plus finement.<br>
<br>
Grace a la facturation "au centile" 5 minutes (90eme pour cogent, 95eme<br>
pour fullsave et franceix) de nos transits cette courte attaque n'a pas<br>
d'impact sur nos finances, détails :<br>
<br>
<a href="https://fr.wikipedia.org/wiki/95e_centile" rel="noreferrer" target="_blank">https://fr.wikipedia.org/wiki/<wbr>95e_centile</a><br>
<br>
Sincèrement,<br>
<br>
Laurent<br>
<br>
<br>
<br></blockquote><div> </div></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><a href="http://dascritch.net" target="_blank">http://dascritch.net</a> c'est pas qu'expérimental, c'est une vraie expérience<br></div><div><a href="http://cpu.pm" target="_blank">CPU</a> , le programme (radio) (des gens) du numérique<br></div></div></div>
</div></div></div></div>