On Sat, 4 Feb 2012 18:38:23 +0100, "Stephane Bortzmeyer" <bortzme...@nic.fr> said:
> Personnellement (mais je ne suis pas opérateur réseaux), la plus > raisonnable me semble être de ne jamais rejeter une annonce (même s'il > y a un ROA et qu'il est invalide) pour laquelle il n'existe pas de > route alternative. Cette solution empêche les attaques type Pakistan > Telecom (puisque le routeur verra l'annonce légitime de YouTube) mais De memoire, ce n'est pas tout a fait exact, au moins dans l'etat actuel des choses. Un route plus precise, sans alternative, sans ROA, voir avec ROA invalide, ca passerait mieux qu'une lettre a La Poste. C'etait le cas avec YouTube + PakTel. Le probleme c'est qu'il n'y a pas (a ma conaissance) de moyen d'indentifier via route-maps si une route est une "plus precise" ou non. Si on veut le faire, il faut s'interfacer avec des systemes maison (qu'il faut ecrire soi-meme). Si cette fonctionalite existait, il y a d'autres problemes, comme la taille de la table globale (et les upgrades 256Krt -> 512Krt -> 1Mrt qui vont avec) qui airait ete resolus . > ne permet pas de se servir de la RPKI pour couper MegaUpload > (puisqu'il n'existe alors pas de route alternative). Parce-qu'ajouter en meme temps un announce a la con (avec ROA valide sur un AS dedie du FBI) c'est dificile ???? --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
