Ca donne quoi un sh proc c ? > Le 8 janv. 2020 à 12:27, Fabien H <frnog.fab...@gmail.com> a écrit : > > Bonjour, > bonne année à la communauté FRNOG :-) > > Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais je > trouve que mes routeurs de bordure montent un peu trop en CPU à mon gout > (encore pas mal de pertes de paquets sur les paquets traversant). > > Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un ACL > IN (étendue) sur les interfaces des transitaires du style : > > deny udp port source 123 ip dest A.B.C.D > permit any any > > Est-ce que c'est mieux d'un point de vue performance et mitigation vu que > le paquet est droppé en entrée par rapport à une route Null 0 ? Ou alors à > l'inverse l'ACL va entrainer une surcharge CPU qui va le faire s'effondrer ? > > Merci, > > Fabien > > > > > Le mar. 24 déc. 2019 à 07:41, Michel Py <mic...@arneill-py.sacramento.ca.us> > a écrit : > >>>>> Alarig Le Lay a écrit : >>>>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre. >> >>>> Moi aussi, mais à part le problème d'avoir le matos récent qui le fait, >> va donc trouver un transitaire qui ferait >>>> çà en amont pour toi :-( Déjà en trouver qui connaissent quelque >> choses aux communautés c'est pas évident. >> >>> Yannis Aribaud a écrit : >>> Hurricane Electric propose le support de flowspec en option sur leurs >> offres de transit. Mais ça coûte une blinde ! >> >> C'est bon à savoir que quelqu'un le propose, mais malheureusement c'est le >> genre de chose qui ne vaut le coup de déployer que si tout le monde ou >> presque le propose. C'est lamentable, mais çà ne vaut pas la peine de payer >> si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-( >> Intellectuellement, HE a mon support. >> >> Malheureusement, flowspec c'est quelque chose que j'aimerais bien >> implémenter mais que je n'ai pas le pognon de le faire. >> Encore une fois : ROI = zéro. >> En plus, avec les vendeurs qui demandent une license extra pour le faire... >> Bientôt, il faudra avoir une license pour aller pisser quand on configure >> un routeur. >> >> Michel. >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
