Salut, Filtrele se pun initial pentru o perioada mica de timp, in momentul in care acea perioada mica de timp a expirat filtrul este scos, daca flood-ul continua se mareste si perioada de timp in care ip-ul est filtrat. Intr-adevar filtrele nu sunt accl-uri pentru ca nu rezolvi nimic (ca ISP) daca pui deny ci ISP-ul de fiecare data trimite mai departe (la ISP-ul lui) ip-ul ce este floodat. Sunt flood-uri care dureaza cateva zile, si asta pentru niste clienti nu asa importanti cum au fost enumerati mai sus, ci niste clienti obisnuiti. Sunt flood-uri care iti pot umple chiar si 4-5 mega sau chiar mai mult, depinde si de numarul de masini la care acces atacatorul. Partea ca nu e vina celui care primeste flood ar trebui lasata mai moale. Ori este cafe-ul concurent, ori esti fostul admin caruia nu i s-a dat cartea de munca, ori cineva a injurat pe altul pe mirc si cel injurat trebuie sa-i arate primului cu cine s-a pus ... Din experienta mea cam 90% din flood-uri sunt datorate vinovatie indirecte a celui care primeste flood-ul. Cel care primeste flood chiar daca nu este filtrat lui nu-i mai merge. Chiar daca dublezi, triplezi numarul de servere, acestea sunt publice si deci daca cineva chiar vrea sa-ti faca rau in loc sa puna un singur ip tinta pune doua, care este problema?
----- Original Message ----- From: "Dumitru Ciobarcianu" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Sunday, June 15, 2003 12:06 PM Subject: [rlug] Re: RDS. (super offtopic) > On Mon, 2003-05-19 at 19:51, Alexandru N. Barloiu wrote: > > > _masiniile cele mai importante_ ale lui ce servicii ruleaza. as filtra > > traficul _mai putin_ acele servicii. nu neeaparat web, dar as putea sa > > las nefiltrat 25 si 53. stiu ca isp-ul la randul lui in cazurile nasoale > > suna mai departe la carrier sa taie mai departe. oricum sistemul asta > > romanesc "da-l in masa pe gheata pe asta - taiat tot" e nesimtire. > > > Nu se pun filtre de gen "deny ip any host cutare" pentru ca nu ar face > decat sa incarce si mai tare router-ul respectiv, iar banda ar fi in > continuare ocupata. > > Se anunta pe o comunitate speciala in BGP adresa cutare iar la upstream > pur si simplu pachetele se duc in null0 in loc sa se duca spre interfata > respectiva, deci nu e loc de "filtreaza toate porturile mai putin n". > > Sa-mi fie cu iertare, dar nu e vina isp-ului ca tu esti subiectul unui > atac. Iar serviciile ar trebui oricum cel putin dublate (2 ns, 2 mx, > etc, etc). > > > -- > Cioby > > >
