Cela fait plusieurs fois que je me prends une bonne rasade de paquet UDP sur mes Mikrotik RB2011.
Surtout sur des accès assez gros genre BSOD 500Mbps. Je le vois parce que ma courbe de transit monte d'un coût. Je mets une règle reject vers l'adresse en question avec une réponse icmp network unreachable et à chaque fois ca s’arrête dans la seconde. Il faudrait pouvoir bloquer les ip au niveau du transitaire mais j'ai pas le niveau de service nécessaire :) Le 20 juillet 2018 à 22:41, David Ponzone <[email protected]> a écrit : > Expiry attack ? > https://www.cisco.com/c/en/us/about/security-center/ttl-expiry-attack.html > > Faut croire que MK n’aime pas ça, mais j’ai jamais vu le CPU monter très > haut, mais ça doit pourtant être ça. > > Merci Olivier! > > > > Le 20 juil. 2018 à 22:19, Olivier Benghozi <[email protected]> > a écrit : > > > > Je vote pour des paquets IP avec TTL à 1 > > > >> Le 20 juil. 2018 à 20:10, David Ponzone <[email protected]> a > écrit : > >> > >> Contexte: un Mikrotik (RB3011 dernier firmware) qui termine des > sessions PPPoE > >> J’ai vu un flux de paquets UDP venant de l’IP publique d’un des clients > PPPoE, port source aléatoire, allant tous vers une IP publique d’un abonné > Timewarner. > >> Débit du flux: autour de 90Mbps > >> [...] > >> Soit soit j’aurais dû en fait vérifier une 4ème fois, soit des mecs ont > trouvé une attaque UDP qui font mal au serveur PPPoE du Mikrotik et ne vont > pas plus loin. > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
