On 02/07/16 21:46, Zbyněk Burget wrote:
No ona ta RFC5963 nerika, ze neroutovatelnou adresu mit musis. Tam
pisou, ze IXP se muze rozhodnout takovou pouzit ve snaze omezit DoS
utoky na tvuj router. A zminuji tam, ze pak ten router nebude verejne
dostupny (coz neprekvapi, kdyz je to cil te konfigurace).
Aby tohle melo smysl, musela by i vnitrni adresa toho routeru byt
neroutovatelna. A i vnejsi adresa dalsiho routeru v kaskade. Protoze pak
mi sice nesejmou DoS utokem edge router, ale ten dalsi.
Na se nabizi hned dve odpovedi:
1. RFC5963 nerika, ze to je dokonala ochrana proti utokum - jen, ze to
je ochrana (coz je). Jak uz to byva, jsou i dalsi mozne vektory utoku a
proti tem je treba prijmout opatreni samostatne.
nebo
2. Ten "dalsi router" uz s routerem IXP primo nesousedi, takze ho primo
zpetne neohrozuje. Jeho ochrana tudiz IXP netrapi, to uz je tvoje
starost ...
Vyber si, ktera odpoved je ti sympatictejsi. Ne, ze by ti nejak pomohla
kterakoliv z nich ;-)
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
