Bonjour,
On fait et faisait un truc basique sur les serveurs IRC (depuis les années 2000 (old!)), pour se prémunir des pertes business liées aux DDoS (coucou Pascal Gloor et Nicolas Strina)...
On se prenait une /24 PI qu'on annonçait depuis le serveur IRC à travers une seconde NIC... dès qu'on détectait une attaque, on droppait l'annonce et "hop, le DDoSseur DDoSsé". En effet, une fois la route disparue du net, c'est le réseau source du DDoS qui s'en prend plein la tête (ICMP unreachable), ce qui permet à l'admin du réseau en question de se rendre compte qu'il y a un soucis chez lui.
Bien sure ce n'est valable que pour un service "perdable", mais ça a sauvé des business et c'est totalement KISS. Depuis les transits permettent des systèmes un peu plus sophistiqués, mais pour un truc comme de l'IRC, tu n'as pas forcément envie de t'embêter (et puis l'IPv4 n'était pas bien chère et rare à l'époque :)).
Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
