Spamhaus 2 Organisation internationale de
lutte antispam • Maintient des listes d’adresse IP malveillantes • Utilisé par beaucoup d’entreprises et logiciels Friday, June 28, 13
Pourquoi cette attaque? Spamhaus ajoute
des IPs de clients de l’hébergeur hollandais “Cyberbunker” au listes. • Spamhaus demande a Cyberbunker de bloquer le spam • Refus de coopération • Cyberbunker accuse Spamhaus de jouer à la police du net 3 Friday, June 28, 13
Breaking point - Attack #1
13 Spamhaus up, l’attaquant s’en prend à notre infrastructure. En pratique: • traceroute www.spamhaus.org, la dernière IP routable est notre point de connexion avec nos fournisseurs de BP. • 300 gbs de traffic == ouch. Friday, June 28, 13
Breaking point - Mitigation #2
17 Internet Exchange Point ? Mitigation avec LINX (London Internet Exchange) : • Plus difficile (subnet partagé entre beaucoup de réseaux) • “Abandon” de LINX jusqu’à la fin de l’attaque. Friday, June 28, 13
Leçons • Utilisation d’IP privées
pour les interconnexions • Lutte contre les Récurseurs DNS ouverts • Exposition publique • Ingress filtering (bcp-38) • ... • 300 gbs, yeah right! 18 Friday, June 28, 13