[Nlnog] ORF

[Boudewijn Visser]

> On Wed, 22 Oct 2003, Boudewijn Visser wrote:
>
>> DDos verkeer van bepaalde source reeksen zo vroeg mogelijk
>> (en een efficiente manier om de gewenste reeksen te communiceren)
>> droppen is altijd nuttig, of het verkeer nou wel of niet gespoofed is.
>>
>> In je eigen netwerk is dat dus bij de borders, en daarbuiten bij
>> de upstream waarover het binnenkomt.
>
> Begrijp ik hieruit dat je hiermee kunt gaan sturen wat anderen aan
> filteren aan source adressen ook al zijn die adressen niet van hun?
>

Zie de followup die ik net aan Jeroen+list gemaild heb, waarin ik dat
probleem wat meer bespreek. (summary : ik zie er geen echte oplossing
voor)

Ik zie (helaas) geen manier om, afgezien van pure access-lists,
verkeer uit bepaalde source reeksen *en* gericht aan een bepaalde
destination te droppen.

Een groep netwerken bij elkaar de mogelijkheid geven om verkeer
van bepaalde source reeksen te droppen vergt, op z'n zachts gezegd,
nogal wat vertrouwen.


> Da's introduceert weer een nieuw DoS risico, dan ga je gewoon een
> willekeurige host DoS-en met als een van de soruce adressen de host die
> je eigenlijk wilt DoS-en.

Spoofing uitroeien is ook helemaal geen gek idee ;-)
Maar zelfs zonder spoofing is het een enorm blik met wormen.

[ietwat terugkomend op mijn bovenstaande quote, weinig upstreams zullen
hun klanten [of peers] automatisch de mogelijkheid willen geven om verkeer
op basis van source adres te droppen, zelfs alleen op hun border router.]
Een efficiente manier om ook source filters in je eigen netwerk aan te
zetten blijft natuurlijk een nuttige tool.

Is het verkeer gespoofed, dan zou de upstream waarvan je het binnenkrijgt
er wat aan moeten (en kunnen) doen, ook al is het niet volautomatisch.


Boudewijn