On Wed, Oct 22, 2003 at 03:22:44PM +0200, Boudewijn Visser wrote:
Mis ik dan wat in je netwerk ;-) ?
Adressen blocken die mogelijk gespoofed zijn moet je doen op je access netwerk en niet in transit IMHO.
Uhm, er lopen nu een paar dingen door elkaar misschien ? [access als in klant aansluitingen, of als in access-circuit naar upstream?]
Spoofing vanuit je netwerk onmogelijk maken doe je zo dicht mogelijk bij de klant/bron. Mee eens.
Maar verkeer wat binnenkomt in te groot volume, gespoofed of niet, wil je ook zo vroeg mogelijk droppen. En dan is het op jouw border, en daarna die van je upstream of peer. En dan verder uitzoeken (door upstream, peer) waar het *werkelijk* vandaan kwam.
Als jij 2 Gig verkeer met source adres 80.126.198.1 aangeboden krijgt (dat *moet* gespoofed zijn, zo'n luxe verbinding heb ik niet) zul je dat in eerste instantie op jouw border router droppen, en daarna de juiste upstream(s)bellen om dat te stoppen. (en de bron(nen) te traceren, hopelijk). Maar hoe dan ook wil je het weg van je lijnen.
En ja, in zo'n geval is het jammer voor mij, maar feitelijk is er weinig keus, als je netwerk er helemaal vol zit.
Dan nog moet je IMHO het target richting /dev/null zetten, die is toch al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je kans dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat onderuit en een onschuldig netwerk wordt aan alle kanten richting /dev/null gerouteerd en gaat dus ook plat. MarcoH