leo
f5 коробку можно уних нам хорошая защита была от доссов якобы
Илья
which can help mitigate spoofing attacks.
However, there is an inherent vulnerability to this approach: it is trivial for a remote attacker to adjust the TTL of sent packets so that they appear to originating from a directly-connected peer.
A very simple solution to this, as discussed in RFC 5082, is to invert the direction in which the TTL is counted. The maximum value of the 8-bit TTL field in an IP packet is 255; instead of accepting only packets with a TTL set to 1, we can accept only packets with a TTL of 255 to ensure the originator really is exactly one hop away. This is accomplished on IOS with the TTL security feature, by appending ttl-security hops <count> to the BGP peer statement.
Mike
Континент модно поставить только дверь подпирать чтоб не закрылась
Purrr
трафик то линк все равно будет забивать
Evgeniy
ну ну я не думаю что через дырку со спуфингом много чего-то нальешь
ну блин. у тебя рейтлимит на цопп на бгп
Purrr
речь то не про дропать трафик у себя на конце
Evgeniy
и тебе налили под рейтлимит
Stanislav
A very simple solution to this, as discussed in RFC 5082, is to invert the direction in which the TTL is counted. The maximum value of the 8-bit TTL field in an IP packet is 255; instead of accepting only packets with a TTL set to 1, we can accept only packets with a TTL of 255 to ensure the originator really is exactly one hop away. This is accomplished on IOS with the TTL security feature, by appending ttl-security hops <count> to the BGP peer statement.
я могу отправлять сразу по 255 пакетов за итерацию со всеми возможными вариациями ттл
Purrr
ну блин. у тебя рейтлимит на цопп на бгп
рателимит на бгп и рателимит на ицмп или удп - разные же
Purrr
или ты tcp179 будешь флудить ? Ж)
Purrr
сун покетами
Purrr
или ацк
Илья
Purrr
ну ацком не нафлудишь
Purrr
потому что ненаспуфишь
Purrr
а суном можно
Purrr
короч
Purrr
анувау
Evgeniy
на бгп порт
Evgeniy
чтобы бгп демон ахуел
Volodymyr
сины дропать надо
Volodymyr
и самому быть инициатором
Purrr
если ты такой пороноик, пользуй серые сетки на линке
Purrr
а лучше fe80::
Evgeniy
ок
Purrr
и ип4 овер ип6
Purrr
вжжж
Volodymyr
ваще смехуячки все, пока вас целенапавлено с иксов трахать не начнут
Evgeniy
статик роуты
Evgeniy
наше все
Volodymyr
там ваще никаких проблем
Volodymyr
одна л2 сеть
Volodymyr
еби и спуфь чо хоч
Purrr
ваще смехуячки все, пока вас целенапавлено с иксов трахать не начнут
линковочная сетка икса не анонсируется же в мир
Evgeniy
сины ебошить снаружи
Purrr
ало
Volodymyr
участник иксов
Volodymyr
алло
Evgeniy
не у всех.
Purrr
кто редистрибутит ее к себе и еще в мир анонсит
Purrr
но если ты решил играть в сесурити
Evgeniy
трасы у большинства через мск-икс тот же норм ходят
Purrr
то тебе не место на иксе
Evgeniy
)
Purrr
логично ж
Evgeniy
ну да. над за арборами рт стоять
Evgeniy
короче еще вариант тут выше был. фильтровать все tcp syn на 179
Evgeniy
от всех.
Purrr
трасы у большинства через мск-икс тот же норм ходят
то что тебе ответ ттл от трасероута пришел
Purrr
не значит что сетка маршрутизируема
Purrr
вон если линк на рфц1918 сделан
Volodymyr
но акками залить могут )
Purrr
чо в трассе не увидишь рфц1918?
Evgeniy
каждый раз при флапе такое делать?
Evgeniy
или скрипт написать?
Evgeniy
ок
Evgeniy
:(
Purrr
не проще 100.64 использовать на линке?
Purrr
или рфц1918
Evgeniy
ладно пацаны. идем слушать про пиринг дб
Evgeniy
ребеку
Purrr
если стоит задача шапочку из фольги смаестерить
Purrr
ты ж сам токачто спалился )
Purrr
никто не знал до того как ты сам
Purrr
теперь ренумбери
Volodymyr
не, у меня на полном серьезе стоит со всеми tcp-established
Evgeniy
вот
Stanislav
часто дудосят ?
Volodymyr
Ну кроме
Volodymyr
term accept-bgp-invalid {
from {
source-prefix-list {
invalid-peers;
Purrr
не, у меня на полном серьезе стоит со всеми tcp-established
а когда сессия падает ты что делаешь ?
Volodymyr
я не хочу тебе расстраивать, но я ее иницирую
Volodymyr
шлю tcp syn )