Piotr KUCHARSKI wrote:
>>>Ale łącze do operatora dalej jest zatkane.
>>...powodujesz, że przez BGP (dzięki dodatkowo route-mapie i
>>ustaleniu community) taka trasa znajduje się najpierw
>>w brzegowym routerze operatora, a chwilę później w całej jego
>>sieci.
> Ale łącze do operatora dalej jest zatkane. :)

Mówisz o łączach między-operatorskich? Trudno powiedzieć, nie
sądzę, żeby zdarzało się to często. Jak idzie DDoS to zwykle
trafia się wiele "źródłowych" ASów, patrz post Frasunka -
parę InternetDSLi/Neo+, dial-upy Dialogu itp.. Każdy z
nich z osobna nie zajął raczej nawet w znaczącym procencie
rurki Netia<>TP S.A/Polpak/Dialog.

>>Najgorzej jak celem ataku DDoS stanie się IP na interfejsie
>>Twojego routera brzegowego - wtedy jedynym rozwiązaniem jest
>>blokowanie po źródłach ataku a nie po adresie docelowym, bo
>>w innym przypadku ISP odetnie sobie Ciebie ;)
> Adres mojego routera to ISP może odcinać, nic nie powinno do
> niego przychodzić z Internetu.

A na czym zapniesz sesję BGP z operatorem właśnie? W
powietrzu? Nawet jeśli na loopbacku to i tak przecież ten
loopback musi mieć jakieś IP widoczne "z drugiej strony".

> Czyli edukacja. Mimo że słuszny kierunek, to ślepy zaułek. (Chyba
> że internetowe prawo jazdy i/lub wymuszanie dobrych konfiguracji
> systemów włączanych do Internetu.)

To drugie bardziej, nie wierzę w pierwsze rozwiązanie jako
globalnie rozwiązujące ten problem.

--
Łukasz Bromirski lbromirski:mr0vka.eu.org