> Stephane Bortzmeyer a écrit: > On a un site anycast à Pékin, si c'était la question :-)
A moitié; en fait je m'intéresse plus à la partie peering/BGP qu'à l'emplacement physique. > Sérieusement, BGP étant ce qu'il est, le site anycast n'a pas > un contrôle complet de qui il sert (le seul outil de sélection > étant la politique de peering, Précisément. > qui n'empêche pas un attaquant de nous envoyer des paquets Ce que j'avais dans l'idée c'était plutôt attirer les paquets que de les empêcher d'arriver. Si on identifie correctement un petit nombre d'AS à risques, il peut être intéressant de peerer directement avec eux et d'y dédier un (petit) serveur chacun. Je vois venir l'objection: ils ne veulent pas peerer. Eh bien dans ce cas, leur acheter un petit tuyau de transit, ce qui permettra de leur annoncer les routes anycast. Si on a un DDOS qui vient majoritairement de 1 ou 2 AS avec qui tu as une session eBGP, ce qui se va se passer c'est que les 1 ou 2 serveurs que tu as dédiés à ces AS vont pédaler dans la mélasse, mais le reste de l'infra ne vas pas voir grand-chose de pire que normal. Ce qu'il faut préserver à tout prix, c'est la session eBGP pour continuer à annoncer les préfixes, ce qui veut dire QOS/rate-limiting dans les deux sens. Tu ne vas pas empêcher la foudre de tomber, mais installer un petit nombre de paratonnerres judicieusement placés peut être intéressant. Mes €0.02 Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
