Hello, > Il n'est pas recommandé aussi de demander à ses fournisseurs de mettre en > place > une communauté BGP permettant d'envoyer un /32 dans un blackhole avant que ça > arrive sur ton lien ?
C'est aussi une bonne chose, mais si tu BH chez tes transitaires la personne qui a lancé le DDoS a gagné. > Si ça évite de doubler ta capacité de transit (dont l'efficacité est > partielle), > ça fait une belle économie. Ouais mais en ce qui concerne mon expérience perso, le bruit viens plus souvent des IX que des transits (sauf certains en 3 chiffres qui sont pas cher)... Avec un wanguard tu peux auto BH les ip destination si via une communauté BGP qui sera remontée via tes transitaires. C'est assez efficace car c'est automatisé (et donc réagis plus vite que le meilleur des humains) mais c'est pas encore ça. Si tu as de gros tuyaux un coup de BGP flowspec (paramétrable via un wanguard ou fastnetmon) peux limiter l'effet sur ton infra interne. Après il faut souvent passer par des machins qui inspectent les packets pour virer le traffic inutile, arbor sait bien faire, mais ca reste cher, même s'ils "offrent"(sic) des choses avec VM now, mais aussi wanguard (mais ceci nécessite une license supplémentaire une becanne avec de l'interface 10G/40G...). Ceci dit, il reste la problématique des RS sur les IX et la gestion inhérente des BH vs prefixes annoncé sur les IX. Même si je suis un avocat des RS, je comprends pourquoi certains ne se connectent pas sur les RS... mais on voit qu'il y a du progrès car certains IX ont implémenté (avec succès) le RTBH sur leur IX et ça marche (a peu près)... Xavier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
