On 06/05/2011 15:25, Alain Durand wrote: > Le problème est que l'on peut monter une attaque de type ping-pong sur un > lien point à point si le préfixe est de longueur< 127. > La "logique" de routage est la suivante lorsqu'un paquet est reçu: si > IP@=moi, alors je prends, sinon, je route. > Si on prends in prefixe P (Plen<127) et P::1 et P::2 sont les addresses des > extrémités, que se passe-t-il si on envoie un paquet a P::3? > Ping-pong sur le lien.
Une bonne pratique dans ce cas, consiste à rajouter une route unreacheable, blackhole ou autre pour le reste du prefix. C'est aussi ce que recommandent la plupart des fournisseurs de tunnels, pour éviter de faire remonter dans le tunnel tout paquet vers une adresse non assignée en local. Typiquement http://www.sixxs.net/faq/connectivity/?faq=usingsubnet&os=linux.router -- Mathieu Goessens, IRISA, Campus de Beaulieu, 35042 Rennes cedex, France Tel: +33 (0) 2 99 84 71 00, Fax: +33 (0) 2 99 84 71 71 _______________________________________________ G6 -- Association Francophone pour la promotion d'IPv6 (http://www.g6.asso.fr) Liste IPv6tech [email protected] Info : http://mail.g6.asso.fr/mailman/listinfo/ipv6tech
