Le 15/09/2015 00:51, Frederic Dhieux a écrit :
Le 14/09/2015 22:12, Raphael Mazelier a écrit :
J'ai pas dit que cela devait être forcement le cas en nominal, certain
le font (jaguar de souvenir), d'autre (moi le premier) non. En
revanche avoir un /24 en stock qui peut servir en cas de besoin, et le
dédier temporairement à tel ou tel besoin c'est quand même bien
pratique. (surtout quand il s'agit de dépanner un client).
C'est moche et ça va faire râler du monde, mais au pire dans l'urgence
de la situation prendre un subnet d'interco dans RFC1918 c'est peut-être
un moindre mal le temps de trouver une solution plus propre et pérenne.
Frédéric
C'est aussi la solution qui m'est venue à l'esprit.
Plus crade : jouer avec des ips dans la plage 127.0.0.0/24 pour établir
la session BGP. J'ignore si c'est possible mais ça retournerait l'attaque.
Plus propre : à ma connaissance, rien n'interdit d'établir un peer BGP
en ipv6 pour annoncer des routes en v4.
Le pourcentage du botnet ayant un stack ipv6 devant être quasi
négligeable (désolé les gars), ça doit au minimum fortement diminuer
l'attaque voir la stopper.
Et la dernière en guise d'hypothèse : faire mentir les réponses ICMP ou
tout simplement filtrer l'ICMP AVANT de changer l'ip d'interco (pour les
autres hosts que le routeur en face bien entendu).
A ma connaissance, rien n'interdit de mettre de la merde dans le reply
ICMP, ca arrivera quand même.
Du coup, le mec va voir rien ou n'importe quoi quand il fera son
traceroute pour trouver ton IP d'interco.
Des solutions en vrac, rien de testé bien entendu ...
Julien
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
