Autor: Piotr Marecki (p.marecki_at_usun.spamoze.swiat.pl)
Data: Tue 17 Jun 2003 - 15:56:38 MET DST
> Wydaje mi sie, ze TPNET wrzucil mi ACLki bo padl mi Load Balancing,
> przetestowalem i faktycznie pakiety z adresem zrodlowym przypisanym do
> danego lacza przelatuja tylko przez nie i przez jedno z pozostalych trzech
> lacz (zawsze przez to samo, bez dynamicznych zmian).
>
> Technik w w-wie twierdzi ze nie ma zadnych ACLek i oni ruchu nie
> ograniczaja w zaden sposob.
>
> Zauwazyliscie cos podobnego?
> pozdr.
>
To nie musza byc ACL-ki.Mogli wlaczyc mechanizm zwany unicast reverse
path-forwarding .W skrocie polega to na sprawdzeniu czy dany adres zrodlowy
wedlug unicastowego RIBa jest osiagalny przez ten interfejs na ktorym
wlasnie sie pojawil pakiet(sa tutal mozliwe warianty - nie tylko sprawdzenie
actywnych wpisow w ribie ale rowniez drog zapasowych - np
unicast-reverse-path feasible-paths w juniperze).
Doskonale sie nadaje do uciecia spoofingu adresow zrodlowych i roznych
atakow u samego zrodla.
Mozliwe ze TPSA sukcesywnie to wprowadza na routerach dostepowych.
Piotr Marecki
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:06:17 MET DST