> Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP en ipv6 pour annoncer des routes en v4.
Je ne comprends pas. Ca fait une next-hop d'un subnet ipv4 en ipv6? Ca marche vraiment? Louis Le 15 septembre 2015 08:16, Julien Escario <esca...@azylog.net> a écrit : > Le 15/09/2015 00:51, Frederic Dhieux a écrit : > >> >> >> Le 14/09/2015 22:12, Raphael Mazelier a écrit : >> >>> >>> >>> J'ai pas dit que cela devait être forcement le cas en nominal, certain >>> le font (jaguar de souvenir), d'autre (moi le premier) non. En >>> revanche avoir un /24 en stock qui peut servir en cas de besoin, et le >>> dédier temporairement à tel ou tel besoin c'est quand même bien >>> pratique. (surtout quand il s'agit de dépanner un client). >>> >>> >> C'est moche et ça va faire râler du monde, mais au pire dans l'urgence >> de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être >> un moindre mal le temps de trouver une solution plus propre et pérenne. >> >> Frédéric >> > > C'est aussi la solution qui m'est venue à l'esprit. > > Plus crade : jouer avec des ips dans la plage 127.0.0.0/24 pour établir > la session BGP. J'ignore si c'est possible mais ça retournerait l'attaque. > > Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP en > ipv6 pour annoncer des routes en v4. > > Le pourcentage du botnet ayant un stack ipv6 devant être quasi négligeable > (désolé les gars), ça doit au minimum fortement diminuer l'attaque voir la > stopper. > > Et la dernière en guise d'hypothèse : faire mentir les réponses ICMP ou > tout simplement filtrer l'ICMP AVANT de changer l'ip d'interco (pour les > autres hosts que le routeur en face bien entendu). > A ma connaissance, rien n'interdit de mettre de la merde dans le reply > ICMP, ca arrivera quand même. > Du coup, le mec va voir rien ou n'importe quoi quand il fera son > traceroute pour trouver ton IP d'interco. > > Des solutions en vrac, rien de testé bien entendu ... > > Julien > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
