On Mon, May 24, 2004 at 07:59:57PM -0400, DjRegl wrote: > Solution possible: > Assigner une nouvelle IP pour ton client dans les DNS. Ensuite, > rejetter tout le traffic cibl� vers l'ancienne IP dans les routers en > amont. Dans ce cas, deux possibilit�s: > > 1-) Si les machines attaquantes ciblent directement l'adresse IP de > ton client, alors la solution est efficace. Du moins aussi longtemps > que "l'attaqueur en chef" apprenne que l'IP a chang� et qu'il en > informe les machines attaquantes. > > 2-) Si les machines attaquantes ciblent un URL plut�t qu'une IP, elles > doivent donc se r�f�rer � un serveur DNS. Auquel cas, cette solution sera > efficace seulement durant le d�lais requis pour que la modification dans les > DNS se propage dans tous les serveurs DNS.
Dans ce dernier cas, les machines hostiles (et les autres) vont devoir faire des requ�tes DNS soit directement avec leur IP non spoof�e, soit via un resolver. En mettant un TTL faible et en loggant les requ�tes DNS sur les autoritaires (ou via un tcpdump sur ces derniers), on doit pouvoir r�cup�rer des infos utiles, surtout si le traffic "normal" du site n'est pas trop important. Lolo -- Laurent Frigault - NOC GANDI ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
