Configuration du test: Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER
But: faire monter le CPU à 100%. Packets: Type : TCP SYN Source : spoofée, celle d'un neighbor BGP configuré Destination: Interface du Routeur Résultats: Sans MD5 configuré sur le neighbor, 3000 packets/sec. Avec MD5 configuré sur le neighbor, 1400 packets/sec. A ce niveau, le routeur a un packet loss sur le management (genre, si on le ping) de 70%, et un packet loss sur le traffic routé de 5%. Cela laisse songeur... 1400 pps c'est moins d'un mbps, presque n'importe qui est capable de generer ça. La solution est de rate-limit le TCP SYN, mais je me vois mal mettre et maintenir ce genre de filtre sur chaque routeur ayant un lien vers un autre réseau (upstreams/peerings/clients). Parcequ'à ce moment là, il faut pas seulement mettre les SYN... Qui filtre/shape de manière conséquente tous ses liens externes? SNMP/SYN/RST/ICMP/DNS/autres? Pascal ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
