On Thu, Sep 06, 2012 at 02:51:52PM +0200, Emmanuel D. <dupl...@gmail.com> wrote a message of 40 lines which said:
> Pour le null-routing, au niveau du quagga : ip route a.b.c.d/32 > null0 Ça ne marche que pour les paquets à *destination* du méchant. Lors d'une DoS, cela peut ne pas suffire (attaque en aveugle). > mais je privilégierais l'iptables proposé par Stéphane, car il agit > vraisemblablement à un niveau inférieur L'énorme avantage d'iptables (enfin, Netfilter) est surtout la souplesse : cela permet d'utiliser plein d'autres critères que la seule adresse IP. Ceci dit, pour des mesures anti-DoS, il n'y a qu'un seul critère de choix, la performance. Est-ce que les deux solutions tiennent lorsque l'attaque est vraiment méchante (en b/s ou surtout en p/s) ? Lorsqu'il y a des millions d'adresses à filtrer ? À tester. > Pour la détection et le blocage de DDOS avec du libre / opensource, > je suivrai le sujet avec attention :-) http://www.bortzmeyer.org/rate-limiting-dos.html http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/