Autor: Piotr KUCHARSKI (chopin_at_sgh.waw.pl)
Data: Thu 08 Jan 2004 - 00:49:00 MET
Michal Gawrylczyk <michal.gawrylczyk_at_gts.pl> wrote:
> Blokowanie po src mija sie z celem, szczegolnie gdy adresow jest
> kilkadziesiat/kilkaset i to czesto spoofowanych. Poza tym do blokowania
> po adresie zrodlowym trzeba zalozyc access-liste (obciazenie CPU),
> a zeby wyciac adres docelowy wystarczy static route.
No. Mega. Super. Widzę, że takie myślenie jest bardziej rozpowszechnione,
niż się obawiałem. Kilka razy operatorzy w Poznaniu (ale nie pamiętam już,
czy POZMAN, czy UAM) wycinali cały ruch do poznan.irc.pl. "Bo był atakowany
i łatwiej wyciąć docelowy adres niż kilkadziesiąt/set źródłowych."
Atak nie ustał (bo i z jakiej racji), sieć dalej cierpiała (choć przyznaję,
że tylko do punktu tego routera), a bonusem do zwykłego DoS-a był
definitywny DoS-a od operatora: wycięcie routingu i brak widoczności
przez kilka dni.
Proponuję wyłączyć wszystkie routery, bo łatwiej. Nawet nie trzeba się
męczyć ze static route, a obciążenie CPU by drastycznie spadło.
p.
-- Beware of he who would deny you access to information, for in his heart he dreams himself your master. -- Commissioner Pravin Lal http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:10:25 MET DST