On Mon, Jan 21, 2013 at 11:00:30PM +0100, Cyril HLAKKACHE <h...@internetown.eu> wrote a message of 41 lines which said:
> Quelles BCP conseillent explicitement ça ? RFC 5358: Preventing Use of Recursive Nameservers in Reflector Attacks <http://www.bortzmeyer.org/5358.html> Voir aussi <http://www.bortzmeyer.org/fermer-les-recursifs-ouverts.html> Si on le fait quand même, il faut *impérativement* limiter le trafic <http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html> sinon, cinq minutes après la mise en route, on est utilisé pour des attaques par réflexion contre des sites de jeux en Chine. > Pour un cache, le mieux est d'informer tes futurs clients des 2 ou 3 > IP de ces serveurs Le problème est que la bascule d'un résolveur à un autre est bien trop lente pour la plupart des clients (5 secondes par défaut sur un OS Linux typique comme Debian). Les clients finaux ne mémorisent typiquement pas la panne du premier listé et continuent à reessayer. Donc, question redondance, ce n'est pas extra. Je crains qu'on ne puisse pas échapper à VRRP ou équivalent. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
