[Nlnog] ORF

[MarcoH]

On Wed, Oct 22, 2003 at 03:22:44PM +0200, Boudewijn Visser wrote:
> Mis ik dan wat in je netwerk ;-) ?
> 
> > Adressen blocken die mogelijk gespoofed zijn moet je doen op je access
> > netwerk en niet in transit IMHO.
> 
> Uhm, er lopen nu een paar dingen door elkaar misschien ?
> [access als in klant aansluitingen, of als in access-circuit naar upstream?]
> 
> Spoofing vanuit je netwerk onmogelijk maken doe je zo dicht mogelijk bij
> de klant/bron.
> Mee eens.
> 
> Maar verkeer wat binnenkomt in te groot volume, gespoofed of niet,
> wil je ook zo vroeg mogelijk droppen. En dan is het op jouw border,
> en daarna die van je upstream of peer.
> En dan verder uitzoeken (door upstream, peer) waar het *werkelijk*
> vandaan kwam.
> 
> Als jij 2 Gig verkeer met source adres  80.126.198.1 aangeboden
> krijgt (dat *moet* gespoofed zijn, zo'n luxe verbinding heb ik niet)
> zul je dat in eerste instantie op jouw border router droppen, en
> daarna de juiste upstream(s)bellen om dat te stoppen.
> (en de bron(nen) te traceren, hopelijk).
> Maar hoe dan ook wil je het weg van je lijnen.
> 
> En ja, in zo'n geval is het jammer voor mij, maar feitelijk is er weinig
> keus, als je netwerk er helemaal vol zit.

Dan nog moet je IMHO het target richting /dev/null zetten, die is toch
al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je kans
dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat
onderuit en een onschuldig netwerk wordt aan alle kanten richting
/dev/null gerouteerd en gaat dus ook plat.

MarcoH