> Clément CAUWEL a écrit : > En effet, mais il est également possible de "remonter" l'information auprès > des opérateurs avec lesquels tu es peeré en "settant" > une communauté bgp ou en changeant le next hop pour le prefix à blackholer. > C'est ce type d'information que je n'ai pas pour FT.
Faut aussi préciser si les préfixes que tu annonces "à blackholer" sont à bloquer sur l'adresse source ou destination. Si tu annonces un préfixe (long) qui t'appartient, çà améliore un DDOS qui n'arrive "que" sur une petite partie de tes adresses (en la sacrifiant pour maintenir le trafic sur le reste). C'est le cas le plus courant; il y a eu une tentative de normalisation sur AS:666 récemment que je n'ai pas soutenue car le texte était imprécis; problème aussi avec les AS 32 bits. Un "bon" FAI n'accepterait pas plus long que /24 pour les préfixes qu'il redistribue mais plus long (/28 ou pourquoi pas /32) pour les préfixes non-export qui ont la bonne communauté. Il y a aussi des opérateurs qui offrent des solutions plus sophistiqués qui permettent de bloquer le trafic en provenance de certaines adresses (plus rare et plus cher). Et puis il y a aussi les opérateurs qui offrent ces services, le prix étant le mètre étalon à géométrie variable en fonction de la tête du client ;-) Bon courage. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
