On Wed, 22 Oct 2003, MarcoH wrote:
Dan nog moet je IMHO het target richting /dev/null zetten, die is toch al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je kans dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat onderuit en een onschuldig netwerk wordt aan alle kanten richting /dev/null gerouteerd en gaat dus ook plat.
Daarom zou je ook in andere netwerken moeten kunnen filteren op source EN destination. Alleen packets van <x> naar <y> droppen dus. FYI: De dozen bij ons die de laatste tijd gedossed zijn (IRC servers) zijn niet down geweest. Wel onbereikbaar via transit, omdat daar de attacks vandaan kwamen.
Ah, dat beantwoordt meteen een vraagje dat ik had, nl hoe nodig een ams-ix spoofing filtering awareness dag zou zijn. Ten minste, ik neem aan dat jij ook praat over de gespoofde attacks die Pim noemde ? Als die vooral via je transits binnenkwamen, zou je denken (laten we positief zijn) dat je [ams-ix] peers al behoorlijk voorzien zijn van anti-spoofing filters. Nu de rest van de wereld nog ... Boudewijn (overigens, ook zonder spoofing ,of met spoofing binnen dezelfde netwerk range, kunnen natuurlijk heel grote DDos'en gedaan worden. Ze zijn dan alleen makkelijker te traceren )