>> Jérémy Martin a écrit: >> A ceux qui n'ont pas peur de limiter les attaques en SORTIE de leur >> réseau, n'oubliez pas d'intégrer un petit shapping sur vos routeurs >> pour le port 123 UDP, vous rendrez service à plein de petits réseaux >> (80% des AS).
+1, à condition que ça ne devienne pas un trou noir pour des jours. Un client NTP qui perd un paquet, c'est pas important. Par contre, faut pas que ça dure éternellement, donc lire les traps. > Rémi Bouhl a écrit: > Ou BCP38 : http://tools.ietf.org/html/bcp38 pour ceux > qui hébergent à leur insu les machines attaquantes, non ? BCP38 c'est bien sympa, mais c'est un de ces paratonnerres à emmerdes: ca suppose que le client n'est pas con, et qu'il ne fait jamais d'erreurs. C'est doublement faux: 1. Les clients cons, on les garde tant qu'ils paient et 2. Quand ils arrivent aux stade "j'en connais juste assez pour être dangereux" c'est encore pire. Tu leurs vends du transit, ils ont le droit de d'utiliser comme route par défaut même venant d'un préfixe qu'ils ne t'annoncent pas. Le client que tu bloques au nom de BCP38 et qui perd des paquets parce qu'il a merdé une route-map, il est perdu à jamais. Dans la moitié des cas, il ne t'annonce plus le préfixe parce qu'il veut troubleshooter quelque chose, l'autre moitié c'est qu'il est 3 heures du mat et qu'il a plus important à penser. Dans les deux cas, tu aggraves son problème. Même si il a merdé dans sa config, en le bloquant tu amplifies ses emmerdes, et comme il te paie ça devient les tiennes. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
