> CEF est n�c�ssaire pour utiliser "ip verify unicast reverse-path", et nous parlons de paquets spoof�s.
moui, mais j attaque par la bonne interface ;) Si je suis client de l ISP x. je fais des traceroutes et j ai vite fait de trouver un peering de mon ISP x, et la j'attaque ce peering en spoofant l'IP sur l IX de mon ISP x. Mon ISP x ayant peu de connaissances (ou de temps) n'a aucun filtre. comment l ISP 'y' (attaqu�) pourrait bien se proteger de mon attaque? Pour l ISP y ces packets viennent du bon endroit. Bien entendu, il pourrai traffic-shape/rate-limit, mais sinon, aucun autre moyen. > 1) Est-ce que �a change beaucoup si tu (d�)configures "ip verify unicast reverse-path" sur l'interface que tu attaques? ca changera rien, vu que, comme j ai dit plus haut, j'arrive par la bonne interface. > 2) > ip inspect name IP-INSPECT-OUT tcp alert on > ip audit name IP-AUDIT info action alarm > ip audit name IP-AUDIT attack action alarm drop > inte gi3/0 > ip audit IP-AUDIT in > (j'ai bien peur que le rem�de soir pire que le mal dans les deux cas, mais on sait jamais...) J'ose m�me pas ;) je me vois mal faire de l ip inspect sur mes peers/upstreams. Pascal ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
