Autor: Łukasz Bromirski (whatever_at_whenever.goes)
Data: Fri 09 Jan 2004 - 07:41:30 MET
Piotr KUCHARSKI wrote:
>>>Ale łącze do operatora dalej jest zatkane.
>>...powodujesz, że przez BGP (dzięki dodatkowo route-mapie i
>>ustaleniu community) taka trasa znajduje się najpierw
>>w brzegowym routerze operatora, a chwilę później w całej jego
>>sieci.
> Ale łącze do operatora dalej jest zatkane. :)
Mówisz o łączach między-operatorskich? Trudno powiedzieć, nie
sądzę, żeby zdarzało się to często. Jak idzie DDoS to zwykle
trafia się wiele "źródłowych" ASów, patrz post Frasunka -
parę InternetDSLi/Neo+, dial-upy Dialogu itp.. Każdy z
nich z osobna nie zajął raczej nawet w znaczącym procencie
rurki Netia<>TP S.A/Polpak/Dialog.
>>Najgorzej jak celem ataku DDoS stanie się IP na interfejsie
>>Twojego routera brzegowego - wtedy jedynym rozwiązaniem jest
>>blokowanie po źródłach ataku a nie po adresie docelowym, bo
>>w innym przypadku ISP odetnie sobie Ciebie ;)
> Adres mojego routera to ISP może odcinać, nic nie powinno do
> niego przychodzić z Internetu.
A na czym zapniesz sesję BGP z operatorem właśnie? W
powietrzu? Nawet jeśli na loopbacku to i tak przecież ten
loopback musi mieć jakieś IP widoczne "z drugiej strony".
> Czyli edukacja. Mimo że słuszny kierunek, to ślepy zaułek. (Chyba
> że internetowe prawo jazdy i/lub wymuszanie dobrych konfiguracji
> systemów włączanych do Internetu.)
To drugie bardziej, nie wierzę w pierwsze rozwiązanie jako
globalnie rozwiązujące ten problem.
-- Łukasz Bromirski lbromirski:mr0vka.eu.org
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:10:27 MET DST