On Wed, 22 Oct 2003, MarcoH wrote:
Dan nog moet je IMHO het target richting /dev/null zetten, die is toch al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je kans dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat onderuit en een onschuldig netwerk wordt aan alle kanten richting /dev/null gerouteerd en gaat dus ook plat.
Daarom zou je ook in andere netwerken moeten kunnen filteren op source EN destination. Alleen packets van <x> naar <y> droppen dus. FYI: De dozen bij ons die de laatste tijd gedossed zijn (IRC servers) zijn niet down geweest. Wel onbereikbaar via transit, omdat daar de attacks vandaan kwamen. Als je gaat filteren op alleen source of alleen destination, geef je de DoS kiddies hun zin. In het ene geval wordt het source adres effectief gedossed, in het andere geval de destination. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE