Bonne remarque ! Pendant l'attaque, je n'ai pas eu l'idée de regarder, j'ai préférer vérifier le RTBH. Je ferais la prochaine fois..
La question est juste de savoir si c'est une pratique qui se fait régulièrement sur un routeur de bordure de mettre une ACL extended sur les interfaces des transitaires ou alors si c'est pas conseillé.. Merci Le mer. 8 janv. 2020 à 12:35, David Ponzone <david.ponz...@gmail.com> a écrit : > Ca donne quoi un sh proc c ? > > > Le 8 janv. 2020 à 12:27, Fabien H <frnog.fab...@gmail.com> a écrit : > > > > Bonjour, > > bonne année à la communauté FRNOG :-) > > > > Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais je > > trouve que mes routeurs de bordure montent un peu trop en CPU à mon gout > > (encore pas mal de pertes de paquets sur les paquets traversant). > > > > Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un ACL > > IN (étendue) sur les interfaces des transitaires du style : > > > > deny udp port source 123 ip dest A.B.C.D > > permit any any > > > > Est-ce que c'est mieux d'un point de vue performance et mitigation vu que > > le paquet est droppé en entrée par rapport à une route Null 0 ? Ou alors > à > > l'inverse l'ACL va entrainer une surcharge CPU qui va le faire > s'effondrer ? > > > > Merci, > > > > Fabien > > > > > > > > > > Le mar. 24 déc. 2019 à 07:41, Michel Py < > mic...@arneill-py.sacramento.ca.us> > > a écrit : > > > >>>>> Alarig Le Lay a écrit : > >>>>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre. > >> > >>>> Moi aussi, mais à part le problème d'avoir le matos récent qui le > fait, > >> va donc trouver un transitaire qui ferait > >>>> çà en amont pour toi :-( Déjà en trouver qui connaissent quelque > >> choses aux communautés c'est pas évident. > >> > >>> Yannis Aribaud a écrit : > >>> Hurricane Electric propose le support de flowspec en option sur leurs > >> offres de transit. Mais ça coûte une blinde ! > >> > >> C'est bon à savoir que quelqu'un le propose, mais malheureusement c'est > le > >> genre de chose qui ne vaut le coup de déployer que si tout le monde ou > >> presque le propose. C'est lamentable, mais çà ne vaut pas la peine de > payer > >> si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-( > >> Intellectuellement, HE a mon support. > >> > >> Malheureusement, flowspec c'est quelque chose que j'aimerais bien > >> implémenter mais que je n'ai pas le pognon de le faire. > >> Encore une fois : ROI = zéro. > >> En plus, avec les vendeurs qui demandent une license extra pour le > faire... > >> Bientôt, il faudra avoir une license pour aller pisser quand on > configure > >> un routeur. > >> > >> Michel. > >> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
