On Fri, May 30, 2014 at 04:14:13PM +0200, Jean-Yves Bisiaux <j...@efficientip.com> wrote a message of 96 lines which said:
> Je disais que les technique de blocage sont tres discutable, dans le sens > ou celles qui sont automatiques sont dangereuse car basées sur des > euristiques de statistiques tres/trop simples. Je suggère d'essayer de mettre plus de rigueur dans la discussion. Radu-Adrian Feurdean a fait remarquer à juste titre qu'on parle ici dans une perspective d'opérateur réseau. Bloquer le DNS dans le réseau, non, et c'est ce que dit Dobbins. Mais qu'un serveur ne réponde pas, c'est tout à fait autre chose. Une machine a toujours le droit de ne pas répondre si ça la gonfle ! Peut-être je comprendrai mieux si je savais de quoi on parle ? De RRL ? > Ici tu parles de resolver ouvert, moi je te le refais avec un > resolver fermé. S'il est fermé, aucun problème. Et Dobbins ne cite *aucune* recommandation concernant ces résolveurs fermés. Il faut lire son exposé. > Un faux serveur autoritaire (spoofed) flood un serveur recursif > fermé, tu limites la prise en compte de reponses en dropant des > paquets sur ton recursif. Je ne comprends pas. Si quelqu'un émet une réponse à un récursif, en se faisant passer pour un serveur faisant autorité, la réponse ne sera pas acceptée par le récursif (mauvais Query ID, port source, etc). Aucun besoin de mesure spécifique. > Regarde la page 7 de ce slide: > http://www.ssi.gouv.fr/IMG/pdf/DNS-OARC-2013-Blocking_DNS_Messages_Is_Dangerous.pdf Je connais. Je ne suis pas d'accord. Et, de toute façon, ce n'est pas le cas que vous décrivez, il s'agit dans cet exposé d'un serveur faisant autorité, et décidant de ne pas répondre à tout (grâce à RRL). --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
