On Fri, 2014-01-17 at 01:17 -0800, Michel Py wrote: > >> Jérémy Martin a écrit: > >> A ceux qui n'ont pas peur de limiter les attaques en SORTIE de leur > >> réseau, n'oubliez pas d'intégrer un petit shapping sur vos routeurs > >> pour le port 123 UDP, vous rendrez service à plein de petits réseaux > >> (80% des AS). > > +1, à condition que ça ne devienne pas un trou noir pour des jours. Un client > NTP qui perd un paquet, c'est pas important. Par contre, faut pas que ça dure > éternellement, donc lire les traps. > > > > Rémi Bouhl a écrit: > > Ou BCP38 : http://tools.ietf.org/html/bcp38 pour ceux > > qui hébergent à leur insu les machines attaquantes, non ? > > BCP38 c'est bien sympa, mais c'est un de ces paratonnerres à emmerdes: ca > suppose que le client n'est pas con, et qu'il ne fait jamais d'erreurs. C'est > doublement faux: 1. Les clients cons, on les garde tant qu'ils paient et 2. > Quand ils arrivent aux stade "j'en connais juste assez pour être dangereux" > c'est encore pire. Tu leurs vends du transit, ils ont le droit de d'utiliser > comme route par défaut même venant d'un préfixe qu'ils ne t'annoncent pas. > > Le client que tu bloques au nom de BCP38 et qui perd des paquets parce qu'il > a merdé une route-map, il est perdu à jamais. Dans la moitié des cas, il ne > t'annonce plus le préfixe parce qu'il veut troubleshooter quelque chose, > l'autre moitié c'est qu'il est 3 heures du mat et qu'il a plus important à > penser. Dans les deux cas, tu aggraves son problème. Même si il a merdé dans > sa config, en le bloquant tu amplifies ses emmerdes, et comme il te paie ça > devient les tiennes. > > Michel. >
T'as raison; appliques la logique jusqu'au bout... le transit que tu lui vends (et qui est utilise pour une attaque, vu que tu n'es pas regardant) il n'est plus a vendre. CQFD. Florent
signature.asc
Description: This is a digitally signed message part