Je disais que les technique de blocage sont tres discutable, dans le sens ou celles qui sont automatiques sont dangereuse car basées sur des euristiques de statistiques tres/trop simples.
Le 30 mai 2014 15:26, Stephane Bortzmeyer <bortzme...@nic.fr> a écrit : > On Fri, May 30, 2014 at 03:20:03PM +0200, > Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> wrote > a message of 15 lines which said: > > > Il ne parle jamais de bloquer les requetes DNS au niveau reseau, > > juste de ne pas repondre (en tant que resolver) a tout le monde. > > Ce qui est une Bonne Pratique depuis longtemps > <http://www.bortzmeyer.org/5358.html> (RFC vieux de six ans) > Ici tu parles de resolver ouvert, moi je te le refais avec un resolver fermé. Un faux serveur autoritaire (spoofed) flood un serveur recursif fermé, tu limites la prise en compte de reponses en dropant des paquets sur ton recursif. Regarde la page 7 de ce slide: http://www.ssi.gouv.fr/IMG/pdf/DNS-OARC-2013-Blocking_DNS_Messages_Is_Dangerous.pdf > > > Le probleme etant quand le serveur repond n'importe quoi (X fois > > plus de data dans le reponse que dans la requete) a une addresse > > spoofe. > > Là, la solution est clairement la limitation de trafic (dont Dobbins > ne parle pas) <https://conf-ng.jres.org/2013/planning.html#article_37> > Je suis d'accord avec toi, c'est avant tout un pb de spoofing, qu'on ne va pas resoudre en bloquant les paquets. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
