[Nlnog] ORF

[Jeroen Massar]

-----BEGIN PGP SIGNED MESSAGE-----

Alex Bik wrote:

> On Wed, 22 Oct 2003, MarcoH wrote:
> 
> > Volgende EOF ? Inclusief praktijk sessie waar we even de sukkel die kazaa
> > oid op heeft gestart op het meeting LAN uitleggen hoe effectief filteren
> > werkt.
> 
> Dat hebben ze denk ik op de laatste RIPE meeting wel gemerkt toen ik
> Monica demonstreerde hoe ze met behulp van de Packet Shaper die ik had
> meegenomen heel effectief edonkey,kazaa,napster en gnutella kon
> fileteren :)

Je gaat toch niet zeggen dat mensen die toch wel een redelijke
netwerkverbinding zouden moeten hebben @ work en waarschijnlijk
ook thuis zelfs dat ene weekje nog moeten zuigen van die dingen toch?

En idd die Packet Shaper werkte heel fijn :)

Alex Bik wrote:

> On Wed, 22 Oct 2003, MarcoH wrote:
> 
> > Dan nog moet je IMHO het target richting /dev/null zetten, die is toch
> > al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je kans
> > dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat
> > onderuit en een onschuldig netwerk wordt aan alle kanten richting
> > /dev/null gerouteerd en gaat dus ook plat.
> 
> Daarom zou je ook in andere netwerken moeten kunnen filteren op source
> EN destination. Alleen packets van <x> naar <y> droppen dus.

Met ORF kan je dus een filter definieren met source en destination.
Het is allemaal helaas nog draft, maar het komt wel.

> FYI: De dozen bij ons die de laatste tijd gedossed zijn (IRC servers) 
> zijn niet down geweest. Wel onbereikbaar via transit, omdat daar de
> attacks vandaan kwamen.

Dat was idd geen slechte beslissing om dat toen te doen idd.
Zowiezo kost het je anders veel knaken en nu is bereikbaarheid
van je lokale klanten 'gegarandeert'. Hopelijk krijgen ze geen
andere rare ideeen though.

Niels bakker wrote:
> On woensdag, okt 22, 2003, at 15:26 Europe/Amsterdam, Alex Bik wrote:
> > Hoezo? Je kunt daar hooguit je eigen netwerk mee slopen.
> 
> Zie jij operators op korte termijn meer filtering op source prefix 
> toepassen dan nu het geval is?

IMHO, maar ik ben geen ISP ofzo en weet ook niet of dat gedaan
wordt, zou het iig niet verkeerd zijn als je met je peers en
zeker je transit goed contact heb en een systeem om bepaalde
prefixen te kunnen blackholen. Dat is namelijk ook effectief
wat BIT doet met die PI space doet alleen per BGP en totaal
niet meer te vinden upstream. De blackholes per BGP (secsup url)

Boudewijn Visser wrote:
> (overigens, ook zonder spoofing ,of met spoofing binnen dezelfde netwerk
> range, kunnen natuurlijk heel grote DDos'en gedaan worden. Ze zijn dan
> alleen makkelijker te traceren )

Zoals bijv van die schattige IPv6 tunnelbrokers die
gewoon alles maar doorlaten. Leuke anonieme source dus...

Greets,
 Jeroen

-----BEGIN PGP SIGNATURE-----
Version: Unfix PGP for Outlook Alpha 13 Int.
Comment: Jeroen Massar / jeroen at unfix.org / http://unfix.org/~jeroen/

iQA/AwUBP5a3JSmqKFIzPnwjEQJtMQCcDCjT3sBaHUgH1CvQA6Kx2cHuJjsAnA49
fvveiXXjckufDSraTYm9zgMl
=Ae1q
-----END PGP SIGNATURE-----