Le 30 mai 2014 15:54, Stephane Bortzmeyer <[email protected]> a écrit :
> On Fri, May 30, 2014 at 03:46:40PM +0200, > Jean-Yves Bisiaux <[email protected]> wrote > a message of 44 lines which said: > > > Dire: > > > > • Do not indiscriminately block UDP/53 on your networks! > > • Do not block UDP/53 packets larger than 512 bytes! > > • Do not block TCP/53 on your networks! > > > > laisse a penser que certaines requetes DNS peuvent etre bloquees. Non ? > > Ben, c'est pareil que pour IP. Je pense qu'on sera tous d'accord pour > dire qu'il ne faut pas "indiscriminately block IP on your networks", > néanmoins nous allons tous bloquer des paquets de temps en temps, sur > des critères comme l'adresse IP de destination, en cas de dDoS. > OK au cas par cas. Donc tu ne laisse pas un système automatique le faire à ta place ? > > Donc, oui, si nos serveurs crachent un flot continu de réponses DNS > énormes, nous allons bloquer (ou, plus exactement, limiter) le trafic > des requêtes DNS "venant" de cette adresse (les guillemets à cause de > l'usurpation d'adresse). C'est bien pour ca que RRL renvoie toujours une reponse. Mais la tu est dans l'optique de proteger la victime. Les solutions de pure DDOS sont en périphérie du DNS et ne protège pas que les victimes mais le DNS dans sa globalité. En pensant se protéger d'une manière radicale contre un flooding (reflexion, DDOS, amplifiaction) on finit par se mettre en danger avec des mécanismes de protection. Agir autrement ne serait pas responsable > puisque le réflecteur participe, même si ce n'est pas volontaire, à > une attaque. (Notez qu'il s'agit d'une opinion personnelle, ce point > ne figure *pas* dans l'exposé de Dobbins.) > > Complétement d'accord. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
