2009/8/7 cra <c...@snaiso.com> Bonjour.
Une attaque DDoS de type SYN flood n'a pas pour seul but de saturer les tuyaux, mais a aussi pour but de saturer les capacités de processing de équipements en frontal, en particulier les Firewalls. Une solution envisageable est de mettre avant le Firewall un équipement dont le seul travail sera de fonctionner en tant que proxy TCP transparent. Le but est de ne pas forwarder de SYN vers le Firewall, d'envoyer un SYN ACK au client et de ne forwarder l'ensemble que lorsque le ACK final arrive. Par conséquent, les équipements du reste du réseaux ne doivent plus traiter que les sessions "légitimes". Peut être faudrait il se poser la question de l'intérêt d'empiler des équipements de "sécurité" s'il faut eux même les protéger. Pourquoi pas un IPS qui protège le load balancer qui protège le firewall qui protège le reverse proxy firewall applicatif qui protège ... (rajouter votre équipement favori) ... les serveurs ? --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
