> On pourrait d'ailleurs argumenter que ne pas filtrer les attaques en > sortie, alors qu'il n'y a pas d'impossibilité technique (suffit de > filtrer en amont sur le réseau), c'est déjà en soi un comportement > irresponsable... >
Philosophiquement +1, y a même de la littérature sur le sujet (BCP38 : http://www.armware.dk/RFC/bcp/bcp38.html, et RFC 3704 http://www.armware.dk/RFC/rfc/rfc3704.html), et le principe est hyper simple : filtrer a la source est simple, et évite l'effet boule de neige. En pratique par contre, quand tu as 100.000 serveurs, c'est pas aussi évident de gérer une ACL devant chaque host avec le filtrage adéquate. Et puis ça a ses limites, notamment ça ne protège pas contre un DDOS ne générant que du trafic légitime mais en grande quantité. Et enfin, ça a un coût. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
