Bonsoir, Le 12/07/2019 à 18:34, Michel Py a écrit : > Emmanuel DECAEN a écrit : >> Avec UTRS, il est possible d'être en blackhole (trou noir), mais aussi en >> sinkhole (gouffre). >> Je pensais passer en gouffre pour analyser les attaquants potentiels >> provenant de mon réseau, voyez-vous des raisons de ne pas le faire ? > Au lieu de mettre une route vers null0, tu mets une route vers un analyseur ?
C'est effectivement ce que je pensais faire. Je pourrais par exemple repérer dans notre AS des machines potentiellement utilisées pour de l'amplification ou infectées, et traiter le problème au plus vite. C'est tout bénéfice pour tout le monde, j'améliore la protection des machines chez nous et je ne participe pas au DDoS de la victime. > Aucune raison de ne pas le faire, au contraire. Je m'attendrais pas à un > miracle, ceci dit. Ca fait 2 semaines que j'ai mis UTRS, le plus que j'ai vu > c'était 70 préfixes; va probablement falloir que tu regardes le feed et que > tu envoies toi-même du trafic à un des préfixes pour vérifier que ton système > marche. J'ai également testé cette partie cet après-midi, mais c'était limité au réseau de test, il me reste à traiter de la diffusion au sein de mon AS. En gros, je dois décider si je laisse les routeurs de bordure faire tout le boulot ou si j'arrête/détourne au plus tôt dans l'ensemble du réseau. Je ne l'ai pas dit tout à l'heure mais un des aspects qui m'a impressionné, c'est la rapidité de prise en compte du système. L'ajout et le retrait d'une IP blackhole est quasiment instantané sur plusieurs des AS testés. Merci. -- *Emmanuel DECAEN* --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
