[Nlnog] ORF

Boudewijn Visser bvisser-nlnog at xs4all.nl
Wed Oct 22 18:50:50 UTC 2003


>
[...]

>>
>> Daarom zou je ook in andere netwerken moeten kunnen filteren op source
>> EN destination. Alleen packets van <x> naar <y> droppen dus.
>
> Met ORF kan je dus een filter definieren met source en destination.
> Het is allemaal helaas nog draft, maar het komt wel.
>

Uhm, kun je me een iets preciezere URL geven ('k ben lui..) , want dat
stukje heb ik in de drafts dan nog even over het hoofd gezien.

Ook heb ik in de ORF docs nog geen koppeling tussen *route* filter
en *packet forwarding filter* gezien.

Die maak je gewoonlijk door een nullroute (destination) dan wel met
hulp van uRPF (source null route), maar ik zie niet hoe je via
dat mechanisme een *combinatie* van source en destination maakt.

Nu kun je natuurlijk wel BGP misbruiken als puur data transport voor
een packet filter, maar ORF noch jullie draft extensie ervan bieden dat,
voor zo ver ik heb gezien.

[..]

>
> Boudewijn Visser wrote:
>> (overigens, ook zonder spoofing ,of met spoofing binnen dezelfde netwerk
>> range, kunnen natuurlijk heel grote DDos'en gedaan worden. Ze zijn dan
>> alleen makkelijker te traceren )
>
> Zoals bijv van die schattige IPv6 tunnelbrokers die
> gewoon alles maar doorlaten. Leuke anonieme source dus...
>

Qua bron van problemen totaal verwaarloosbaar tov gehackte/geinfecteerde
IPv4 dozen.

Boudewijn




More information about the NLNOG mailing list