> Matthieu BOUTHORS a écrit: > Attention je parle de load-balancing au niveau 4 de la couche > OSI donc normalement aucune ingérence dans le contenu des > paquets : tout paquet UDP/TCP arrivant sur le port 53 est > balancé sur un des serveurs du pool.
Oui; si c'était mon réseau, je me limiterais au niveau 4 aussi, mais bon j'ai jamais été opérateur de TLD. > J'ai peut être loupé quelque chose mais un bon load-balancer > niveau 4 (ie qui ne met pas le net dans le contenu des paquets > et qui n'essaye pas de saturer ses ressources en inventant des > notions de sessions UDP alambiquées) devrait être tout aussi > capable de s'en sortir. Je suis d'accord. Il y a un truc qui me laisse un peu perplexe avec les appliances qui promettent 1Mpps et plus, c'est que c'est basé sur du cache hit. Si je faisais concevais une DDOS DNS, ce que je ferais c'est des requêtes UDP/53 techniquement valides mais avec un nom de domaine aléatoire et une partie en spoofant l'adresse source, et là je voudrais bien voir comment le machin L7 encaisse 1Mpps. AMHA, pour ce genre de chose le plus simple le meilleur. > Radu-Adrian Feurdean a écrit: > On parle bien du load-balancing en local, non pas de GSLB > & co, c'est bien ca ? C'est ce que j'avais dans l'idée en posant la question originale. En tout cas, la fin du monde par attaque de la racine ne m'a pas empêché de dormir. C'est le jeu éternel du glaive et du bouclier; peut être qu'on n'a pas le bouclier qu'il faudrait, mais il y a quand même pas mal de gens qui on regardé la taille du glaive de l'adversaire. Quelques cicatrices acquises sur le champ de bataille n'on rien de honteux. Petit troll maigrichon du lundi: est-ce qu'il y a des implémentations DNS qui utilisent les dernières cartes graphiques à architecture CUDA ? Du genre packetshader, mais pour DNS ? Je sors mon vernis de culture: ça se programme en C maintenant; personne qui a essayé de porter BIND sur nVidia ? Depuis que j'ai décidé d'aller faire une pizza-bière avec Ronan j'ai commencé à regarder çà de plus près, il y a du potentiel. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
