> les packets qui sont filtrés, ils seront bien passés par une ligne avant > d'etre detruit par le routeur.
Les packets passeront sur le lien entre le transitaire/peer et OVH - mais ce que OVH protège c'est son backbone, il ne cherche pas a réduire sa facture de transit mais a proteger ses liens internes (surtout si les données des ses serveurs sont maintenant sur des disques non-locaux : une saturation pourrait causer des problèmes de latence, etc.). En limitant le nombre de packet ICMP/bande passante pour ICMP par IP (ou globalement par lien), une DDOS de 1,000 serveurs a un impact calculable sur le réseau (1000x le maximum par IP - ou la limite maximale configure par lien). Sans cela, la limite est ce que les clients peuvent lui envoyer : _beaucoup_ plus. > c'est un sujet pour la neutralité et la coordination entre opérateurs. Non ce n'a rien a voir avec la neutralité - et je me répète chacun gère son réseau (limite ICMP, etc.) comme il veut. Ce que je dirai par contre a' Octave, est : STP laisse passer "Fragmentation Needed" (Type 3, Code 4) http://en.wikipedia.org/wiki/Path_MTU_discovery > CodeRed doit rappeller quelques souvenirs dans cette liste non ? Oui, je m'en souvient, j'avais deux machines infecte envoyant 2x100 Mb de traffic - pas drole de voir deux STM-1 saturer !! Mais les choses ont changes depuis 200. Le gros problème a ete le flap des connections BGP des transitaire. Maintenant grace au QOS, cela n'arrivera pas. Thomas --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
