On Wed, Oct 22, 2003 at 03:22:44PM +0200, Boudewijn Visser wrote:
[knip spoofing, filteren aan de ontvangende kant van een DDos] Zie ook wat Alex schreef.
Dan nog moet je IMHO het target richting /dev/null zetten, die is toch al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je kans dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat onderuit en een onschuldig netwerk wordt aan alle kanten richting /dev/null gerouteerd en gaat dus ook plat.
Ook als dat target, zeg,je DNS servers zijn, of je pop server ? In het ideale geval wil je filteren op source en destination combinatie. Dat kan natuurlijk, maar alleen door access-lists te gebruiken. Jammer genoeg zijn de filters die je , vanaf 1 punt door je hele netwerk kunt distribueren via BGP (en eventueel naar een ander AS) op alleen source of alleen destination gebaseerd. En een (door jou) BGP getriggerd filter bij een ander AS zal op z'n best dus alleen een destination filter zijn. Wil je meer, dan moet je bellen/mailen e.d. Wat betreft het 'aan alle kanten' deel, ik heb hier (impliciet misschien) vooral de situatie tussen victim AS en het AS van waaruit de victim de stroom verkeer ontvangt in gedachten gehad. Schalen naar wereldwijd vergt echt een hoop wensen aan de goede netwerk fee. Boudewijn