Michal Gawrylczyk <m...@g...pl> wrote:
> Blokowanie po src mija sie z celem, szczegolnie gdy adresow jest
> kilkadziesiat/kilkaset i to czesto spoofowanych. Poza tym do blokowania
> po adresie zrodlowym trzeba zalozyc access-liste (obciazenie CPU),
> a zeby wyciac adres docelowy wystarczy static route.

No. Mega. Super. Widzę, że takie myślenie jest bardziej rozpowszechnione,
niż się obawiałem. Kilka razy operatorzy w Poznaniu (ale nie pamiętam już,
czy POZMAN, czy UAM) wycinali cały ruch do poznan.irc.pl. "Bo był atakowany
i łatwiej wyciąć docelowy adres niż kilkadziesiąt/set źródłowych."
Atak nie ustał (bo i z jakiej racji), sieć dalej cierpiała (choć przyznaję,
że tylko do punktu tego routera), a bonusem do zwykłego DoS-a był
definitywny DoS-a od operatora: wycięcie routingu i brak widoczności
przez kilka dni.

Proponuję wyłączyć wszystkie routery, bo łatwiej. Nawet nie trzeba się
męczyć ze static route, a obciążenie CPU by drastycznie spadło.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)