On Fri, May 30, 2014 at 03:46:40PM +0200, Jean-Yves Bisiaux <j...@efficientip.com> wrote a message of 44 lines which said:
> Dire: > > • Do not indiscriminately block UDP/53 on your networks! > • Do not block UDP/53 packets larger than 512 bytes! > • Do not block TCP/53 on your networks! > > laisse a penser que certaines requetes DNS peuvent etre bloquees. Non ? Ben, c'est pareil que pour IP. Je pense qu'on sera tous d'accord pour dire qu'il ne faut pas "indiscriminately block IP on your networks", néanmoins nous allons tous bloquer des paquets de temps en temps, sur des critères comme l'adresse IP de destination, en cas de dDoS. Donc, oui, si nos serveurs crachent un flot continu de réponses DNS énormes, nous allons bloquer (ou, plus exactement, limiter) le trafic des requêtes DNS "venant" de cette adresse (les guillemets à cause de l'usurpation d'adresse). Agir autrement ne serait pas responsable puisque le réflecteur participe, même si ce n'est pas volontaire, à une attaque. (Notez qu'il s'agit d'une opinion personnelle, ce point ne figure *pas* dans l'exposé de Dobbins.) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/