>>> Pascal Gloor écrit: >>> Configuration du test: >>> Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER >>> But: faire monter le CPU à 100%. >>> Sans MD5 configuré sur le neighbor, 3000 packets/sec. >>> Avec MD5 configuré sur le neighbor, 1400 packets/sec.
>> Michel Py écrit: >> C'est avec ou sans CEF? > en l'occurence avec, mais je vois pas l rapport.. !? > ce ne sont pas des packets routés à travers le routeur.. CEF est nécéssaire pour utiliser "ip verify unicast reverse-path", et nous parlons de paquets spoofés. Si tu as le temps, je pense que ça serait intéréssant de tester sur ton router: 1) Est-ce que ça change beaucoup si tu (dé)configures "ip verify unicast reverse-path" sur l'interface que tu attaques? 2) ip inspect name IP-INSPECT-OUT tcp alert on ip audit name IP-AUDIT info action alarm ip audit name IP-AUDIT attack action alarm drop inte gi3/0 ip audit IP-AUDIT in (j'ai bien peur que le remède soir pire que le mal dans les deux cas, mais on sait jamais...) Michel. ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
