Ben ouais quand même, faut bien filtrer des petits trucs :) Sur un Cisco, c’est pas géré par le CPU normalement, depuis quelques années maintenant.
> Le 8 janv. 2020 à 12:47, Fabien H <frnog.fab...@gmail.com> a écrit : > > Bonne remarque ! > > Pendant l'attaque, je n'ai pas eu l'idée de regarder, j'ai préférer > vérifier le RTBH. Je ferais la prochaine fois.. > > La question est juste de savoir si c'est une pratique qui se fait > régulièrement sur un routeur de bordure de mettre une ACL extended sur les > interfaces des transitaires ou alors si c'est pas conseillé.. > > Merci > > Le mer. 8 janv. 2020 à 12:35, David Ponzone <david.ponz...@gmail.com> a > écrit : > >> Ca donne quoi un sh proc c ? >> >>> Le 8 janv. 2020 à 12:27, Fabien H <frnog.fab...@gmail.com> a écrit : >>> >>> Bonjour, >>> bonne année à la communauté FRNOG :-) >>> >>> Je suis toujours sur mes histoires de DDOS : Le RTBH fonctionne, mais je >>> trouve que mes routeurs de bordure montent un peu trop en CPU à mon gout >>> (encore pas mal de pertes de paquets sur les paquets traversant). >>> >>> Je voulais juste savoir sur du CISCO, s'il est judicieux de mettre un ACL >>> IN (étendue) sur les interfaces des transitaires du style : >>> >>> deny udp port source 123 ip dest A.B.C.D >>> permit any any >>> >>> Est-ce que c'est mieux d'un point de vue performance et mitigation vu que >>> le paquet est droppé en entrée par rapport à une route Null 0 ? Ou alors >> à >>> l'inverse l'ACL va entrainer une surcharge CPU qui va le faire >> s'effondrer ? >>> >>> Merci, >>> >>> Fabien >>> >>> >>> >>> >>> Le mar. 24 déc. 2019 à 07:41, Michel Py < >> mic...@arneill-py.sacramento.ca.us> >>> a écrit : >>> >>>>>>> Alarig Le Lay a écrit : >>>>>>> Dans ce cas je préfère faire du flowspec, je trouve ça plus propre. >>>> >>>>>> Moi aussi, mais à part le problème d'avoir le matos récent qui le >> fait, >>>> va donc trouver un transitaire qui ferait >>>>>> çà en amont pour toi :-( Déjà en trouver qui connaissent quelque >>>> choses aux communautés c'est pas évident. >>>> >>>>> Yannis Aribaud a écrit : >>>>> Hurricane Electric propose le support de flowspec en option sur leurs >>>> offres de transit. Mais ça coûte une blinde ! >>>> >>>> C'est bon à savoir que quelqu'un le propose, mais malheureusement c'est >> le >>>> genre de chose qui ne vaut le coup de déployer que si tout le monde ou >>>> presque le propose. C'est lamentable, mais çà ne vaut pas la peine de >> payer >>>> si on a 4 ou 5 transits et que HE est le seul à proposer l'option :-( >>>> Intellectuellement, HE a mon support. >>>> >>>> Malheureusement, flowspec c'est quelque chose que j'aimerais bien >>>> implémenter mais que je n'ai pas le pognon de le faire. >>>> Encore une fois : ROI = zéro. >>>> En plus, avec les vendeurs qui demandent une license extra pour le >> faire... >>>> Bientôt, il faudra avoir une license pour aller pisser quand on >> configure >>>> un routeur. >>>> >>>> Michel. >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
