> Benoît Ganne a écrit : > Si je me trompe pas, uRPF c'est juste vérifier qu'il y a bien une route > qui permet d'atteindre la source. Donc c'est juste un lookup de FIB > supplémentaire : il faut faire un lookup sur la destination et sur la source.
Exactement. > Si le lookup de la source ne renvoie rien ou renvoie null0, tu drop. On est bien d'accord. [en mode strict : si le lookup de la source renvoie quelque chose d'autre que l'interface par laquelle le paquet est arrivé] > Un lookup de fib se fait à budget à peu près constant (modulo les effets de > cache etc.) > et ce n'est pas si coûteux : pour prendre un exemple que je connais, le > forwarding path > IPv4 de VPP avec 2 millions de routes prend ~85 cycles/paquet en moyenne, > c'est ~30% du > total, ex-aequo avec la gestion du rx/tx de la NIC. Je n'ai pas de résultats > de perf > sous la main avec uRPF activé, mais je m'attends à avoir le même coût. Donc, activer uRPF çà ferait perdre 1/3 ou 1/4 en performance ? C'est pas si pire. > VPP avec 2 millions de routes tient ~20Mpps par coeur avec des paquets de > 64-bytes sur Xeon/Skylake, > je dirais qu'avec uRPF ça doit tenir ~15Mpps par coeur. Avec 10 coeurs tu > tiens 100Gbps ;) Encore des questions bêtes : Est-ce que VPP c'est dans 6wind ? Est-ce que VPP tient des stats pour uRPF (combien de paquets droppés par interface) ? Si oui, est-ce qu'il y a une MIB ou un OID pour çà ? Est-ce que uRPF c'est dans FRR (c'est bien beau d'avoir le data-plane qui le fait si le control-plane ne le fait pas). J'ai gouglé et çà n'a pas donné grand-chose. >> Michel Py a écrit : >> Est-ce que l'addresse _source_ est dans la FIB ? >> Non : ==> drop. On ne sait pas d’où çà vient -> c'est spoofé. > Alarig Le Lay a écrit : > Tu vas te retrouver à rejeter des IPs légitimes. Il y a quelques backbones qui > utilisent des IPs publiques non annoncées et qui envoient légitimement des > ICMP. Dans ce cas là tu mets une route par défaut chez vers un de tes transitaires, ou tu acceptes la route par défaut d'un de tes transitaires. Personellement, je configure ip route 0.0.0.0 0.0.0.0 null0. Non seulement je ne l'accepte pas, mais en plus je la blackliste. Si le préfixe n'est pas dans ma FIB, je veux pas en entendre parler. Avoir un timeout venant d'un réseau non annoncé sur un trace, c'est pas pire comparé à dropper le spoofing dès l'interface d'entrée. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
