Spamhaus
2
Organisation internationale de lutte antispam
• Maintient des listes d’adresse IP malveillantes
• Utilisé par beaucoup d’entreprises et logiciels
Friday, June 28, 13
Pourquoi cette attaque?
Spamhaus ajoute des IPs de clients de l’hébergeur
hollandais “Cyberbunker” au listes.
• Spamhaus demande a Cyberbunker de bloquer le spam
• Refus de coopération
• Cyberbunker accuse Spamhaus de jouer à la police du net
3
Friday, June 28, 13
Cloudflare aide Spamhaus
Pourquoi Cloudflare protège Spamhaus?
• Cloudflare se veut neutre
• Améliorer internet pour tout le monde
4
Friday, June 28, 13
Breaking point - Attack #1
13
Spamhaus up, l’attaquant s’en prend à notre infrastructure.
En pratique:
• traceroute www.spamhaus.org, la dernière IP routable est notre point de
connexion avec nos fournisseurs de BP.
• 300 gbs de traffic == ouch.
Friday, June 28, 13
Breaking point - Mitigation #2
17
Internet Exchange Point ?
Mitigation avec LINX (London Internet Exchange) :
• Plus difficile (subnet partagé entre beaucoup de réseaux)
• “Abandon” de LINX jusqu’à la fin de l’attaque.
Friday, June 28, 13
Leçons
• Utilisation d’IP privées pour les interconnexions
• Lutte contre les Récurseurs DNS ouverts
• Exposition publique
• Ingress filtering (bcp-38)
• ...
• 300 gbs, yeah right!
18
Friday, June 28, 13