Le Thu, Nov 24, 2016 at 08:40:33AM +0100, David Ponzone [david.ponz...@gmail.com] a écrit: > > Il n'est pas recommandé aussi de demander à ses fournisseurs de mettre > en place une communauté BGP permettant d'envoyer un /32 dans un > blackhole avant que ça arrive sur ton lien ?
Tout dépend de la stratégie de protection contre les DDOS que tu envisages... et c'est sans doute la premiere question à se poser pour le choix d'une solution ! Le blackhole ça permet de couper (temporairement :) le pied pour sauver le reste du corps. Selon l'attaquant, il a "gagné", sa cible devenant injoignable, mais tu sauves le reste de ton infra. Mais tu peux aussi souhaiter que la "cible" reste joignable pendant une attaque, et dans ce cas le blackhole ne convient pas, il faut pouvoir nettoyer le trafic. Pour reprendre les gens cités par l'OP, le blackhole peut convenir à un OVH, qui coupe l'accès vers le serveur d'un client ciblé, pour préserver les autres. Mais ça ne conviendrait pas un Dyn dont la victime serait les adresses IP de ses serveurs DNS. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
