> Pascal Gloor �crit: > Si je suis client de l ISP x. je fais des traceroutes et > j ai vite fait de trouver un peering de mon ISP x, et la > j'attaque ce peering en spoofant l'IP sur l IX de mon ISP > x. Mon ISP x ayant peu de connaissances (ou de temps) n'a > aucun filtre. comment l ISP 'y' (attaqu�) pourrait bien se > proteger de mon attaque? Pour l ISP y ces packets viennent > du bon endroit. Bien entendu, il pourrai traffic-shape/ > rate-limit, mais sinon, aucun autre moyen.
Mais si, comme je l'expliquais r�cemment il y a RFC3682 (GTSM) et (pr�f�rablement) une faible distance en cas d'ebgp-multihop: http://www.faqs.org/rfcs/rfc3682.html pr�sentement impl�ment� seulement sur Cisco 12.3(T): http://www.cisco.com/en/US/products/sw/iosswrel/ps1829/products_feature_guide09186a008020e6f5.html Au lieu de "neighbor ebgp-multihop" (si tu l'utilisais) tu configures "neighbor ttl-security" et l� plus moyen de spoofer, vu que les paquets spoof�s vont arriver � ton router avec un TTL inf�rieur � 254 (vu que le TTL a �t� d�cr�ment� � chaque hop) et donc ton router sait faire la diff�rence avec les paquets non-spoof�s en provenance du vrai pair, puisque eux ils arrivent avec un TTL de 254 ou 255. Reste � voir combien de CPU �a bouffe, cette histoire. Michel. ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
