Le 21/11/2014 19:00, Olivier Benghozi a écrit : > Par défaut, en eBGP sur la plupart des routeurs, route plus récente = > route moins préférée. Donc action contre-productive. Cf (par > exemple): > http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/13753-25.html > <http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/13753-25.html> > item 10. > http://www.juniper.net/techpubs/en_US/junos13.3/topics/reference/general/routing-ptotocols-address-representation.html > <http://www.juniper.net/techpubs/en_US/junos13.3/topics/reference/general/routing-ptotocols-address-representation.html> > item 11
C'est tout à fait exact, si l'implémentation est correcte. Mais dans le cas d'un hijack, tu te bas contre une annonce illégitime potentiellement volatile. Cela dit j'aurais du être plus précis : si un hijack est détecté, la première chose à faire est de désagréger et stopper tout prepend éventuel sur les blocs attaqués et forcer tes peers à réapprendre les routes. Tu peux regagner l'adjacence avec le path, vu que celui de l'attaquant contient normalement l'AS qui lui sert de route de retour pour assurer son return-path. > En fait tout le monde (de sensé) est censé filtrer plus petit qu'un > /24, sauf accords particuliers entre AS. Donc ça semble compliqué. Waip, je parle bien d'accords spécifiques, à établir au cas par cas. > Du coup et par ailleurs les best practices bortzmeyeriennes > (bortzmeyeristes?) suggèrent a priori plutôt de distribuer ses DNS > dans des /24 séparées (cela-dit même des gens très biens ne le font > pas). Irais-je jusqu’à dire qu'au moins un de tes DNS devrait être hors de ton AS ? ;) -- Jérôme Nicolle 06 19 31 27 14 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
