[technique] Premier gros DDoS sur une IP adherent tetaneutral.net 11+ Gbit/s
Laurent GUERBY
laurent at guerby.net
Jeu 25 Aou 08:25:47 CEST 2016
Salut,
tetaneutral.net vient de se prendre la plus grosse attaque DDoS de sa
courte histoire, cette fois-ci sur une VM adherent et pas vers le noeud
Tor maylou de nos-oignons qui est la cible habituelle.
Quelques statistiques :
- 10 Gbit/s cogent, 500 Mbit/s fullsave, 500 Mbit/s franceix
20160825T000206 RX/TX vu du routeur en Mbit/s
cogent: 9745.6/ 27.9
fullsave: 474.1/ 9.3
franceix: 489.2/ 8.8
Le 500 Mbit/s sur fullsave et franceix s'explique par le fait que les
deux partagent le meme port gigabit du routeur, sinon on aurait
sans doute eu 1 Gbit/s sur chaque car l'attaque devait depasser
de loin les 12 Gbit/s.
- Le traffic est monté de 300 Mbit/s habituel a 10 Gbit/s en 3 secondes
a 20160824T235508.
- Des paquets depuis 3689 IP differentes sur un pcap de quelques
secondes (manuel).
- Fin vers 20160825T000501 a la troisieme coupure manuelle de quelques
minutes des transit tetaneutral.net, durée totale 10 minutes donc.
Notre routeur n'a pas eu de soucis de charge, pour la prochaine attaque
j'ai reactualisé la configuration de blackhole BGP pour pouvoir
reagir plus finement.
Grace a la facturation "au centile" 5 minutes (90eme pour cogent, 95eme
pour fullsave et franceix) de nos transits cette courte attaque n'a pas
d'impact sur nos finances, détails :
https://fr.wikipedia.org/wiki/95e_centile
Sincèrement,
Laurent
Plus d'informations sur la liste de diffusion technique