Les operateurs ont des solutions du type guard/detector ou arbor ou landcop en plus du B.H Une discussion avec les SOC permet de reduire impact Luc Billot
Envoyé de mon iPhone Le 26 déc. 2011 à 11:52, "Surya ARBY" <arbysu...@yahoo.fr> a écrit : > C'est tout à fait exact, la granularité du filtrage est le réseau source (on > déploie ça au niveau du premier routeur). Sinon il faut faire de l'ip source > guard. > > > Après reste à voir l'exploitabilité de la solution. > > > > ________________________________ > De : Pierre Emeriaud <petrus...@gmail.com> > À : frnog-t...@frnog.org > Cc : arbysu...@yahoo.fr > Envoyé le : Lundi 26 Décembre 2011 17h46 > Objet : Re: Re : [FRnOG] [TECH] Spoof UDP > > 2011/12/26 Surya ARBY <arbysu...@yahoo.fr> >> >> Unicast reverse path forwarding est dédié à cet effet et est principalement >> déployé chez les providers. >> > > corrigez-moi si je me trompe, mais pour moi urpf ne permet de bloquer > le traffic en entrée uniquement si les @ ne sont pas routables par > l'interface ingress. On peut donc très bien spoofer en prenant > l'adresse ip du voisin dans le subnet / subnet voisin non ? > > > Mon next hop est 1.1.1.1. j'ai pour @ip attribuée 1.1.1.3/24. Si > j'envoie les paquets udp avec une source forgée à 1.1.1.4, ce n'est > pas l'urpf sur 1.1.1.1 qui les empêchera de passer. > Correct ? > > -Pierre. > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
