On Tue, Feb 21, 2012 at 10:42:25AM -0800, Michel Py <mic...@arneill-py.sacramento.ca.us> wrote a message of 18 lines which said:
> Pour .fr, mis à par anycast (une très bonne idée) est-ce qu'en plus > il y a de multiples machines derrière un load balancer (genre F5 big > iron ou similaire) ? Oui, sur certains des sites anycast. Je n'ai pas d'expérience pratique avec le F5 Gros Fer mais je me méfie des « load balancers » : un certain nombre sont programmés avec les pieds, bloquent des requêtes légitimes en dehors des DoS (> 512 octets, IPv6, DNSSEC, etc) et, lorsqu'il y a une DoS, deviennent eux-même des SPOF (certains ne sont pas fichus d'encaisser autant de trafic que le serveur situé derrière). Donc, ce n'est pas une panacée. > Et en ce qui concerne anycast, est-ce qu'il y a une/plusieurs > machine(s) dédiée aux pair(s) à risques ? (en d'autre termes: si le > DDOS vient en majorité d'un petit nombre d'hébergeurs, y dédier un > des serveurs anycast peut permettre d'épargner les autres, donc en > théorie le reste de l'Internet continuerait à être servi). On a un site anycast à Pékin, si c'était la question :-) Sérieusement, BGP étant ce qu'il est, le site anycast n'a pas un contrôle complet de qui il sert (le seul outil de sélection étant la politique de peering, qui n'empêche pas un attaquant de nous envoyer des paquets). --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
