> Laurent Barme a script : > Mes serveurs bloquent actuellement jusqu'à plusieurs dizaines de milliers > d'IPv4 qui > leurs ont adressé des requêtes malvenues, plus de 24000 pour celui le plus > harassé. > Pour les pirates, cela ferait un budget de $700000 rien que pour les adresses > IP.
Sauf que les pirates ne payent pratiquement jamais les adresses. Sur les 24000, il y en a 23000 qui sont des victimes : le PC de Claude Michu s'est fait contaminé par un merdiciel, c'est lui qui t'attaque, et si il trouve quelque chose il va en rendre compte au pirate. Pour Claude Michu, non seulement il faut décontaminer le PC, mais il faut aussi parfois whitelister l'adresse. Et pour les 1000 qui restent, oui c'était le pirate, sauf qu'il était chez un hébergeur pas regardant et éphémère. > Je sais qu'il est possible de bloquer une plage d'adresse mais au risque de > bloquer les accès légitimes dans la plage. C'est déjà le cas avec IPv4, il y a 3 cas courants : - L'hébergement mutualisé : sur 1 IP on met 100 sites WordPress ou autre, ou 100 VM de daube derrière NAT, qu'on vend 2€ par mois. Quand un des sites se fait pirater, c'est l'IP entière qui se fait blacklister et tous les autres avec. Solution : Si t'as un business un peu sérieux, dépense un peu plus que 2€ par mois pour ton site. - Les subnets d'hébergeurs sans scrupules : le pirate change d'hébergeur, et le nouveau client récupère l'adresse précédemment utilisée par le pirate, et qui est tellement blacklistée et parfois à la main que le nouveau client galère pendant des semaines à se faire délister. -Variation sur le précédent : quand un /24 arrive à un certain niveau de contamination, il y en a certains qui bloquent le /24 entier, il y a un moment où ça devient nécessaire. Cette partie va devenir éminemment plus nécessaire avec IPv6, pour les raisons expliquées plus tôt. Comme le faisait remarquer plus tôt Vincent avec blacklistd, le besoin de bloquer directement un préfixe en se basant sur une adresse a déjà été anticipé pas les gens qui sont plutôt du côté système (je suis plutôt du côté réseau). C'est un de ces exemples ou, pour adopter IPv6, il faut refaire ou adapter les outils. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
