On 12/26/11 5:46 PM, Pierre Emeriaud wrote: > 2011/12/26 Surya ARBY <arbysu...@yahoo.fr> >> >> Unicast reverse path forwarding est dédié à cet effet et est principalement >> déployé chez les providers. >> > > corrigez-moi si je me trompe, mais pour moi urpf ne permet de bloquer > le traffic en entrée uniquement si les @ ne sont pas routables par > l'interface ingress. On peut donc très bien spoofer en prenant > l'adresse ip du voisin dans le subnet / subnet voisin non ? > > > Mon next hop est 1.1.1.1. j'ai pour @ip attribuée 1.1.1.3/24. Si > j'envoie les paquets udp avec une source forgée à 1.1.1.4, ce n'est > pas l'urpf sur 1.1.1.1 qui les empêchera de passer. > Correct ? > > -Pierre. >
Correct, mais ça permet d'écrémer très fortement quand même ;) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/