Bonjour, bonne année à la communauté FRNOG :-) Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais je trouve que mes routeurs de bordure montent un peu trop en CPU à mon gout (encore pas mal de pertes de paquets sur les paquets traversant).
Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un ACL IN (étendue) sur les interfaces des transitaires du style : deny udp port source 123 ip dest A.B.C.D permit any any Est-ce que c'est mieux d'un point de vue performance et mitigation vu que le paquet est droppé en entrée par rapport à une route Null 0 ? Ou alors à l'inverse l'ACL va entrainer une surcharge CPU qui va le faire s'effondrer ? Merci, Fabien Le mar. 24 déc. 2019 à 07:41, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : > >>> Alarig Le Lay a écrit : > >>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre. > > >> Moi aussi, mais à part le problème d'avoir le matos récent qui le fait, > va donc trouver un transitaire qui ferait > >> çà en amont pour toi :-( Déjà en trouver qui connaissent quelque > choses aux communautés c'est pas évident. > > > Yannis Aribaud a écrit : > > Hurricane Electric propose le support de flowspec en option sur leurs > offres de transit. Mais ça coûte une blinde ! > > C'est bon à savoir que quelqu'un le propose, mais malheureusement c'est le > genre de chose qui ne vaut le coup de déployer que si tout le monde ou > presque le propose. C'est lamentable, mais çà ne vaut pas la peine de payer > si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-( > Intellectuellement, HE a mon support. > > Malheureusement, flowspec c'est quelque chose que j'aimerais bien > implémenter mais que je n'ai pas le pognon de le faire. > Encore une fois : ROI = zéro. > En plus, avec les vendeurs qui demandent une license extra pour le faire... > Bientôt, il faudra avoir une license pour aller pisser quand on configure > un routeur. > > Michel. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
