Перейти к содержимому
Калькуляторы
Source IP spoofing prevention  

39 пользователей проголосовало

  1. 1. предпринимаете ли вы действия для предотвращения Source IP spoofing вашими абонентами?


Source IP spoofing prevention

Ответить

visir   

visir
Опубликовано · Жалоба

Оно и в циске также - 2 режима URPF.

strict & loose? Loose от спуфинга практически не спасает

Я так понимаю, отличие этих методов вот в чем:

1) rpf loose смотрит, что активный маршут на сорец есть, и не важно куда он смотрит

2) при "unicast-reverse-path feasible-paths" в FIB из RIB для каждого маршрута уходят не только активные next-hop, но и неактивные тоже (например, проигравшие по local-preference), но при этом последние специальным образом помечаются и не используются для пересылки трафика, а только для rpf strict.

 

Дак вот, второй способ тоже не решает полностью обсуждаемую проблему. Например, клиент вам анонсирует только половину своих сетей (частый случай), а трафик направляет со всех. В результате при использовании второго метода, трафик с этих сетей дропнется. ИМХО для тупиковых AS-ок такие навороты излишни и практически полностью эквиваленты обычному rpf strict.

 

PS: вот бы всех клиентов вынудить

Так как у нас клиенты не считают зазорным балансировать трафик спецификами или префиксами, но при этом не раскладывать аналогично PBR-ом трафик в обратную сторону...

мечты-мечты...

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

evd   

evd
Опубликовано (изменено) · Жалоба

Дак вот, второй способ тоже не решает полностью обсуждаемую проблему. Например, клиент вам анонсирует только половину своих сетей (частый случай), а трафик направляет со всех. В результате при использовании второго метода, трафик с этих сетей дропнется

Вообще-то мой пассаж "что, увы, отнюдь не всегда имеет место" - именно об этом :)

 

Пока у кого-то из операторов имеются в арсенале среди заградительных коммюнитей такие как "не анонсить маршрут туда-то" (то есть, практически у всех) - зло преднамеренной асимметрии неустранимо

 

Как, впрочем, и зло морспецификов, раздувающих full view по самое немогу, что, в свою очередь, приводит одних операторов в это самое состояние немогу. А других - в состояние перманентной борьбы с трафиком (peers,uplinks)->mynet->(peers,uplinks)

Изменено пользователем evd

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Smoke   

Smoke
Опубликовано · Жалоба

Помнится РТ первым в этой борьбе на ix начал дроп трафика с rs в сторону мира. Приходилось клиентам обьяснять что злодеи не мы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем У нага