> Rémy Duchet a écrit : > Comme nous avons des sondes sur plein de services différents, la "liste" > évolue sans arrêt. Du coup, > je ne me vois pas faire un fichier (je l'aurais fait avec Git) et des > milliers de commits par jour. > Donc, je veux bien les annoncer via BGP, ça me semble plus simple et > utilisable comme cela.
C'est la manière propre de faire çà. Je te contacte en privé pour les détails BGP. Est-ce que tu m'autorises à redistribuer tes préfixes ? >> Daniel a écrit : >> Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que l'on >> va retrouver en grande >> partie les mêmes adresses. Une mise à jour hebdomadaire voire bi-mensuelle >> me parait suffisante. Je ne suis pas d'accord, la vitesse de réaction est primordiale. Si j'ai le feed BGP de Rémy, une seconde après que le bachibouzouk l'attaque c'est dans mon trou noir aussi, donc viendu le l'attends déjà. > Rémy Duchet : > En fait, si. Je suis convaincu que plus de 60% des attaques ne viennent > jamais des même IP. > Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, dès > qu'elle a été détecté > / bannis). Dans notre automatisation, nous avons justement prévu le cas des > attaques d'IP > dynamique, pour ne pas pénaliser la personne qui va hériter d'une IP qui a > été bannis. Je plussoie. J'ai vu dans bien des cas que le PC contaminé par un merdiciel va être rebooté, et la machinbox aussi, parce que Claude Michu se rend compte que quelque chose ne tourne pas rond. Des fois, l'adresse de la machinbox change, et c'est pas glop pour celui qui en hérite si c'est banni pour l'éternité. Ton système, c'est 100 fois mieux que les sources en fichier texte dont je me sers. > Je pense qu'il faudrait faire quelque chose de plus centralisé, > avec de la redondance, et la capacité d'accueillir du monde. Cà m'avais traversé l'esprit aussi. > J'avais déjà vu ce que tu avais fait, et ça me semble déjà énorme comme job. > Qu'est-ce > que tu as envisagé comme amélioration future, hormis des listes > supplémentaires ? Il y a 2 améliorations que je voulais faire avant de piquer le code de Jeremy, c'est : 1. Une communauté spécifique par liste, en plus de 65532:666. Ca permettrait à ceux qui prennent le feed de mettre un deny dans leur route-map pour ignorer les listes dont ils ne veulent pas. 2. Un fetch intelligent : au lieu faire un wget toutes les x minutes, lire uniquement l'en-tête du fichier et ne faire que wget que si il a changer. Cà permettrait d'augmenter la fréquence et d'économiser de la bande passante. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
