On Saturday 14 June 2008 17:31:11 Greg VILLAIN wrote: > Donc je pense qu'il s'agit juste d'un manque de synchro dans l'April > la :)
Non, comme je l'ai dit dans mon mail, je suis à la recherche d'éléments techniques sur la faisabilité et les dommages collatéraux d'une solution que certains avancent. Je n'ai pas dit que je trouvais cette solution légitime/utile ou non, pas plus que l'April ne le dit. J'ai pas dû être clair :) En l'espèce, j'ai volontairement éviter d'aborder la question du principe même du filtrage ou l'aspect juridique car je suis venu chercher des réponses à des interrogations techniques, étant sur ce sujet du filtrage d'url via bgp shunt en limite de connaissances. Je ne mesure pas la difficulté à configurer le réseau d'un opérateur national pour faire cela et si j'ai une idée des dommages collatéraux, j'aimerai avoir des détails sur le pourquoi. J'effectue cette démarche car je veux bien comprendre pour pouvoir ensuite vulgariser dans une note, compréhensible par tous, y compris par des décideurs politiques qui n'ont jamais touché un ordinateur mais qui sont convaincus que "c'est possible sans gros dommages" car le fils de la meilleure amie de leur femme qui bosse chez machin leur a dit... Ceci étant, pour info une réponse technique qui m'est parvenu en privé (merci Mister White :) *** Faire du blackhole via BGP pour une URL/URI donné ne fonctionne pas et c'est une source de problèmes. Si cela fonctionnait, on pourrait le faire avec les C&C des malware ;-) Pour plusieurs raisons : - Dans le cas ou un URL peux donner n*IP : Content delivery network (e.g. akamai), large virtual hoster, reverse proxy, RNAT, ... --> on blackhole du traffic légitime. (source de problème pour les ISP de taille moyenne) - Dans le cas ou un URL donne une seule IP, cela semble plus simple mais beaucoup utilise du virtual host en HTTP. Et donc on tue un paquet de trafic légitime. Un autre soucis, c'est la stabilité BGP. Si on commence à envoyer des message UPDATE à gogo dans une infrastructure... les problèmes commencent même en I-BGP. Si je prends flow-spec, cela pourrait aider dans ce cadre de filtrage massif (au niveau technique). Mais les autres problèmes sont toujours présents. > > Et puis pour info quand même, ca avait été plutôt caucasse quand un > certain ISP avait tenté le blackhole d'un subnet de Youtube sur lequel > se trouvaient leur DNS (l'idée a la base est pas trop stupide, même > si je la soutiens pas), demandez leur, la communauté les avaient > traités de gros boulets et plusieurs types de PCCW s'étaient bien > bien faits afficher. Je suis pas sûr qu'un seul des ISPs sur cette > liste puisse certifier que TOUS ses transitaires filtrent les annonces > malheureuses...(par compte je sais que certains continuent > consciencieusement à le faire) > > Greg VILLAIN > Artisan Internet > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
