[Nlnog] ORF

[Boudewijn Visser]

> On Wed, Oct 22, 2003 at 12:34:07PM +0200, Boudewijn Visser wrote:
>> DDos verkeer van bepaalde source reeksen zo vroeg mogelijk
>> (en een efficiente manier om de gewenste reeksen te communiceren)
>> droppen is altijd nuttig, of het verkeer nou wel of niet gespoofed is.
>>
>> In je eigen netwerk is dat dus bij de borders, en daarbuiten bij
>> de upstream waarover het binnenkomt.
>> Dat je bij gespoofed verkeer dan nog niet weet wat de werkelijke bronnen
>> zijn is jammer, maar in elk geval verminder je wel de problemen binnen
>> jouw netwerk.
>
> Bezwaar tegen het blackholen van 80.126.198.1/32 aangezien ik denk dat ik
> weleens een gespoofed pakketje heb gezien van die host.
>

Mis ik dan wat in je netwerk ;-) ?

> Adressen blocken die mogelijk gespoofed zijn moet je doen op je access
> netwerk en niet in transit IMHO.

Uhm, er lopen nu een paar dingen door elkaar misschien ?
[access als in klant aansluitingen, of als in access-circuit naar upstream?]

Spoofing vanuit je netwerk onmogelijk maken doe je zo dicht mogelijk bij
de klant/bron.
Mee eens.

Maar verkeer wat binnenkomt in te groot volume, gespoofed of niet,
wil je ook zo vroeg mogelijk droppen. En dan is het op jouw border,
en daarna die van je upstream of peer.
En dan verder uitzoeken (door upstream, peer) waar het *werkelijk*
vandaan kwam.

Als jij 2 Gig verkeer met source adres  80.126.198.1 aangeboden
krijgt (dat *moet* gespoofed zijn, zo'n luxe verbinding heb ik niet)
zul je dat in eerste instantie op jouw border router droppen, en
daarna de juiste upstream(s)bellen om dat te stoppen.
(en de bron(nen) te traceren, hopelijk).
Maar hoe dan ook wil je het weg van je lijnen.

En ja, in zo'n geval is het jammer voor mij, maar feitelijk is er weinig
keus, als je netwerk er helemaal vol zit.


Boudewijn