comment repérer les commutateurs et les routeurs affectés par des attaques ddos

Vous attendez-vous à ce que les attaques DDoS proviennent d'un autre endroit que l'internet ? Si c'est le cas, cela n'impliquerait-il pas que votre routeur de périphérie constituerait la source d'information définitive sur les augmentations de trafic et autres ?

Quoi qu'il en soit, en ce qui concerne le routeur, Netflow/sflow (selon le fournisseur utilisé) fournit à la fois de bonnes analyses sur la source, la destination et le type de trafic utilisé, ainsi que des paquets par seconde, le volume global, des informations sur l'AS, etc. Il existe des outils commerciaux spécialisés dans la détection DDoS à partir de ces informations (par exemple les produits Arbor) ainsi qu'une grande variété d'options open source qui peuvent être configurées (en conjonction avec les logiciels appropriés) pour déclencher une alarme lorsque certains seuils sont atteints, etc. L'avantage supplémentaire réside dans le fait que les informations peuvent fournir un historique des dates de début et de fin des attaques, etc. L'autre avantage majeur est de pouvoir fournir des tonnes d'informations pour la planification de la capacité, l'ingénierie du trafic, etc.

La plupart des suites de contrôle compétentes peuvent le faire. Tout ce qui est basé sur nagios devrait s'en charger sans problème, de même que le zenoss . Il existe une vaste constellation de produits qui font cela, HP et Dell proposent des produits qui peuvent faire cela dans le cadre de leurs suites logicielles, et toute une série de produits commerciaux (dont certains sont également basés sur les deux produits gratuits que j'ai déjà mentionnés).

La plupart d'entre eux vous permettent de définir des seuils d'alerte lorsque certaines choses se produisent, comme des ports de liaison montante dépassant 90 % d'utilisation.