>> Le message d'Octave sur la mailing list ovh >> >> http://pastebin.com/JkDPtzuf > > Je ne comprend pas ce genre de stratégie, je veux bien être le > candide à qui on a besoin de faire un dessin pour comprendre
Le problème des 2 litres d'eau dans la carafe d'un litre, le filtrage n'y change rien, il n'y a pas besoin de dessin pour le comprendre :) > les packets qui sont filtrés, ils seront bien passés par une ligne avant > d'etre detruit par le routeur. Bon, il economise le reply, mais l'echo, > Octave le paye quand meme sur sa (?) ligne. Si OVH a au total 10G > de BP, et qu'il collecte 20G d'echo icmp qui bourre ses 10G, il > detruira tous les echo, mais au final, il n'améliorera rien du tous sur > ses lignes. Je ne sais pas comment OVH réalise ce filtrage mais à leur place je le ferais le plus près possible de la source. Dans leur cas c'est Internet la source, donc filtrer en périphérie de réseau serait (toujours selon moi) une bonne idée pour éviter de congestionner le backbone. Enfin je crois me souvenir d'un mail d'Octave sur cette même liste qui disait qu'en Europe de l'Est par exemple, les peerings ne se faisaient que dans le sens OVH -> ISP, toutes les requêtes entrantes passaient par un lien de transit, donc l'ISP paye aussi pour envoyer les paquets qui causent le DDoS. Ca fait perdre de l'argent à l'ISP qui héberge les zombies/script kiddies/whatever et ça le fait réagir plus vite. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
