> On 24 juil. 2015, at 14:04, Clement Cavadore <clem...@cavadore.net> wrote: > > Re, > > On Fri, 2015-07-24 at 14:58 +0200, jehan procaccia INT wrote: >> apres analyse pcap du trafic incriminé, extrait : >> des milliers de paquets avec le Flag S (Sync) cf : >> (...) >> >> http://albanianwizard.org/how-to-read-tcpdump-output-tcpdump-advanced-use.albanianwizard >> montre qu'il s'agit vraisemblablement d'un SynFlood attack >> >> je me lance alors dans l'espoir d'intercepter ça avec les outils >> cisco >> http://www.sans.org/security-resources/idfaq/syn_flood.php >> http://ccie-or-null.net/tag/cisco-tcp-intercept/ >> http://www.ciscopress.com/articles/article.asp?p=345618&seqNum=3 >> >> Helas, sur mon 6500E pas de commande ip tcp intercept :-( ! >> ça sort d'où cette commande ? n'est pas disponible par défaut ? > > Probablement disponible sur une autre plateforme que les 6k5. > > Non, mais plus sérieusement, tu devrais poser sur ton ASR une ACL > ingress sur l'interface vers ton réseau interne, n'autorisant que les > subnets IP qu'elle est supposée recevoir, à savoir les réseaux publics > passant par ce routeur. Et du coup, tu peux te passer de ton ACL egress.
Sinon voir avec ton upstream ? Ca me parait une bonne solution si tu as des soucis aussi important et aussi longtemps .. Le transitaire doit aussi assurer la “sécurité” des clients dans une moindre mesure .. > > -- > Clément Cavadore > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/