[technique] Premier gros DDoS sur une IP adherent tetaneutral.net 11+ Gbit/s

Richard Baret richardbaret at gmail.com
Jeu 25 Aou 09:38:50 CEST 2016


Wow sacré DDoS les enfants ! Il a du sacrément énerver quelqu'un :D
Heureusement que l'attaque a été courte et maitrisée. Je n'ose même pas
imaginer le coût d'un débit constant de 12Gb/s pendant plusieurs heures...
Richard

Le 25 août 2016 08:25, "Laurent GUERBY via technique" <
technique at lists.tetaneutral.net> a écrit :

> Salut,
>
> tetaneutral.net vient de se prendre la plus grosse attaque DDoS de sa
> courte histoire, cette fois-ci sur une VM adherent et pas vers le noeud
> Tor maylou de nos-oignons qui est la cible habituelle.
>
> Quelques statistiques :
>
> - 10 Gbit/s cogent, 500 Mbit/s fullsave, 500 Mbit/s franceix
> 20160825T000206  RX/TX vu du routeur en Mbit/s
> cogent:  9745.6/ 27.9
> fullsave: 474.1/  9.3
> franceix: 489.2/  8.8
>
> Le 500 Mbit/s sur fullsave et franceix s'explique par le fait que les
> deux partagent le meme port gigabit du routeur, sinon on aurait
> sans doute eu 1 Gbit/s sur chaque car l'attaque devait depasser
> de loin les 12 Gbit/s.
>
> - Le traffic est monté de 300 Mbit/s habituel a 10 Gbit/s en 3 secondes
> a 20160824T235508.
>
> - Des paquets depuis 3689 IP differentes sur un pcap de quelques
> secondes (manuel).
>
> - Fin vers 20160825T000501 a la troisieme coupure manuelle de quelques
> minutes des transit tetaneutral.net, durée totale 10 minutes donc.
>
> Notre routeur n'a pas eu de soucis de charge, pour la prochaine attaque
> j'ai reactualisé la configuration de blackhole BGP pour pouvoir
> reagir plus finement.
>
> Grace a la facturation "au centile" 5 minutes (90eme pour cogent, 95eme
> pour fullsave et franceix) de nos transits cette courte attaque n'a pas
> d'impact sur nos finances, détails :
>
> https://fr.wikipedia.org/wiki/95e_centile
>
> Sincèrement,
>
> Laurent
>
>
> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20160825/1c6a8c1b/attachment.htm>


Plus d'informations sur la liste de diffusion technique