> Pascal Gloor écrit: > Si je suis client de l ISP x. je fais des traceroutes et > j ai vite fait de trouver un peering de mon ISP x, et la > j'attaque ce peering en spoofant l'IP sur l IX de mon ISP > x. Mon ISP x ayant peu de connaissances (ou de temps) n'a > aucun filtre. comment l ISP 'y' (attaqué) pourrait bien se > proteger de mon attaque? Pour l ISP y ces packets viennent > du bon endroit. Bien entendu, il pourrai traffic-shape/ > rate-limit, mais sinon, aucun autre moyen.
Mais si, comme je l'expliquais récemment il y a RFC3682 (GTSM) et (préférablement) une faible distance en cas d'ebgp-multihop: http://www.faqs.org/rfcs/rfc3682.html présentement implémenté seulement sur Cisco 12.3(T): http://www.cisco.com/en/US/products/sw/iosswrel/ps1829/products_feature_guide09186a008020e6f5.html Au lieu de "neighbor ebgp-multihop" (si tu l'utilisais) tu configures "neighbor ttl-security" et là plus moyen de spoofer, vu que les paquets spoofés vont arriver à ton router avec un TTL inférieur à 254 (vu que le TTL a été décrémenté à chaque hop) et donc ton router sait faire la différence avec les paquets non-spoofés en provenance du vrai pair, puisque eux ils arrivent avec un TTL de 254 ou 255. Reste à voir combien de CPU ça bouffe, cette histoire. Michel. ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
