> *** > > Faire du blackhole via BGP pour une URL/URI donné ne fonctionne pas et c'est > une source de problèmes. Si cela fonctionnait, on pourrait le faire > avec les C&C des malware ;-) > > Pour plusieurs raisons : > > - Dans le cas ou un URL peux donner n*IP : Content delivery network > (e.g. akamai), large virtual hoster, reverse proxy, RNAT, ... > --> on blackhole du traffic légitime. (source de problème pour les > ISP de taille moyenne) > > - Dans le cas ou un URL donne une seule IP, cela semble plus simple > mais beaucoup utilise du virtual host en HTTP. Et donc on tue un > paquet de trafic légitime.
De ce que j'ai compris de la technique évoquée spécifiquement, c'est qu'à partir du moment où une URL X pointe sur l'ip Y, alors le trafic à destination de Y est routé vers la boiboite qui fait du filtrage "en profondeur" (analyse du contenu, whatever). De cette façon, seul le trafic préidentifié comme pouvant être à filtrer passe à la moulinette, réduisant le volume à faire traiter par cette boiboite. > > Un autre soucis, c'est la stabilité BGP. Si on commence à envoyer des > message UPDATE à gogo dans une infrastructure... les problèmes > commencent même en I-BGP. Et c'est sans compter le nombre de préfixes peut générer. Quand on est à l'heure où le nombre de routes (plus ou moins aggregées) sur internet devient problématique (limitation de taille mémoire, et de la capacité en nombre de routes "hardware") pour certains modèles de routeurs qui seraient par ailleurs parfaitement capables de traiter le volume de trafic, si on injecte des préfixes courts (1 adresse IP) on va rapidement avoir de gros problèmes pour tout gérer. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 57, rue de Paris 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
