[Nlnog] ORF
Boudewijn Visser
bvisser-nlnog at xs4all.nl
Wed Oct 22 17:01:46 UTC 2003
> On Wed, Oct 22, 2003 at 03:22:44PM +0200, Boudewijn Visser wrote:
>
[knip spoofing, filteren aan de ontvangende kant van een DDos]
Zie ook wat Alex schreef.
> Dan nog moet je IMHO het target richting /dev/null zetten, die is toch
> al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je kans
> dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat
> onderuit en een onschuldig netwerk wordt aan alle kanten richting
> /dev/null gerouteerd en gaat dus ook plat.
Ook als dat target, zeg,je DNS servers zijn, of je pop server ?
In het ideale geval wil je filteren op source en destination combinatie.
Dat kan natuurlijk, maar alleen door access-lists te gebruiken.
Jammer genoeg zijn de filters die je , vanaf 1 punt door je hele
netwerk kunt distribueren via BGP (en eventueel naar een ander AS)
op alleen source of alleen destination gebaseerd.
En een (door jou) BGP getriggerd filter bij een ander AS zal op z'n best
dus alleen een destination filter zijn.
Wil je meer, dan moet je bellen/mailen e.d.
Wat betreft het 'aan alle kanten' deel, ik heb hier (impliciet misschien)
vooral de situatie tussen victim AS en het AS van waaruit de victim de
stroom verkeer ontvangt in gedachten gehad.
Schalen naar wereldwijd vergt echt een hoop wensen aan de goede netwerk fee.
Boudewijn
More information about the NLNOG
mailing list