Hello, On Tue, 2 Jul 2019 15:57:48 +0000 Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
> Justement j'étais en train de travailler là-dessus avec UTRS avec le même > raisonnement : Si mon site principal est saturé par une attaque, la seule > solution c'est d'avoir une session, probablement multihop, venant d'un > site satellite. Disons que de la maison ou de MacDo je me connectes à mon > site satellite pour configure parce que ce que je fais du site principal > c'est down. Pour l'instant, pas possible. C'est clair que tout ce qui est > BGP il faut avoir une infra d'injection indépendante. Mouais, du coup, l'interet de BGP dans l'histoire, je vois moins... En fait, une API, ca le fait... pas besoin qu'elle s'appelle BGP. Il te suffit d'un acces mobile, d'une bonne authentif securisee, et hop, tu postes tes regles de drop. > > Raphael Maunier a écrit : > > Pour moi le blackhole n’est pas une solution, l’attaquant a gagné :) Rooohh... le pessimiste ;) Sur ce coup-la, je suis en phase avec Michel. On peut pas tous avoir les moyens de se payer 200G juste pour que l'attaque, on s'en moque (et si on pouvait le faire, alors les attaques feraient 10T, et on aurait juste deplacer le probleme). Si qq'un est capable de faire en sorte que tu recoives du traffic que tu ne devrais pas, ca serait bien de pouvoir configurer finement ce que tu blackhole (genre pouvoir specifier des sources - ports et/ou ip -, voire meme faire du filtre passant - drop tout sauf ca - pour preserver certains choses). Est-ce que c'est du long term ? Non, c'est clair, mais si c'est facile et rapide a mettre en oeuvre, alors tu as au moins deja rendu un coup. Paul --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
