Консорциум ISC представил (https://lists.isc.org/pipermail/bind-announce/2013-September...) новый значительный выпуск DNS-сервера BIND 9.9.4, примечательный интеграцией поддержки технологии RRL (https://kb.isc.org/article/AA-01000) (Response Rate Limiting), позволяющей ограничить интенсивность отправки ответов DNS-сервером, что даёт администраторам средства для эффективной защиты от вовлечения их сервера в проведение DDoS-атак.
В последнее время участились случаи (http://www.opennet.me/opennews/art.shtml?num=36525) использования отвечающих на сторонние запросы открытых DNS-серверов для усиления трафика при DDoS-атаке на другие системы. Суть атаки состоит в том, что атакующий пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы, создаёт волну трафика из обратных ответов, примерно в 100 раз превосходящая исходных трафик. Используя ботнет для генерации первичных запросов, атакующий направляет трафик не на прямую, а через "линзу" из миллионов открытых резолверов (http://openresolverproject.org/), что позволяет добиться волны порядка 50 млн пакетов в секунду.
RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.Из других изменений можно отметить изменение значения по умолчанию длины очереди принимаемых TCP-соединений (tcp-listen-queue) с 3 до 10, что является более оптимальным значением для современных серверов. Добавлена поддержка OpenSSL 0.9.8y, 1.0.0k и 1.0.1e с PKCS#11. Обеспечена возможность отображения в логах slave-сервера отправки DDNS-обновлений к master-серверу. Устранены две уязвимости (уязвимости уже давно исправлены в обновлениях 9.9.3-P2, 9.8.5-P2 и 9.6-ESV-R9-P2):
- CVE-2013-4854 - позволяет инициировать крах процесса named через отправку запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитетные серверы.
- CVE-2013-3919 - позволяет инициировать крах серверного процесса named при возврате внешним DNS-сервером записи из специально оформленной зоны в ответ на рекурсивный запрос резолвера.
Также можно отметить выход (https://lists.isc.org/pipermail/bind-announce/2013-September...) обновления прошлой, но ещё поддерживаемой ветки - BIND 9.8.6, в которой не реализовано поддержки RRL, но добавлены другие отмеченные выше исправления и улучшения.
URL: https://lists.isc.org/pipermail/bind-announce/2013-September...
Новость: http://www.opennet.me/opennews/art.shtml?num=37962
для домашнего пк есть смысл от кэширующего Бинда?
Конечно есть - во многих случаях задержки на DNS запрос полностью устраняются (у меня лично - во всех, ибо на bind наложен небольшой патчик, благодаря которому он не удаляет записи из кэша при истечении TTL).
и, наверное, и не обновляет их?PS. выстрел себе даже не в ногу, а прямо в голову
Обновляет, разумеется.
"Моё дело сказать, а вы дальше сами решайте"?
> благодаря которому он не удаляет записи из кэша при истечении TTL)После чего некто будет долго чесать репу: а чего это у меня не грузится вон тот сайт, а у остальных все пучком? Ах, у сайта айпишник сменился?!
> После чего некто будет долго чесать репу: а чего это у меня
> не грузится вон тот сайт, а у остальных все пучком? Ах,
> у сайта айпишник сменился?!Разумеется кэш обновляется.
> Конечно есть - во многих случаях задержки на DNS запрос полностью устраняются
> (у меня лично - во всех, ибо на bind наложен небольшой
> патчик, благодаря которому он не удаляет записи из кэша при истечении
> TTL).тогда уж лучше юзать unbound. там эта фича есть из коробки (prefetch вроде называется)
когда домашний роутер кэширует то нет
для дома есть Dnsmasq
> для дома есть Dnsmasqdnsmasq отличная штука. жаль только не умеет рекурсивные запросы.
от Djb или unbound-а - есть.
а вообще для кэширования лучше использовать Отедельные, ДРУГИЕ сервисы, де-факто.
практически.
нет
конечно нет. 8.8.8.8 или 4.2.2.2 отвечают значительно быстрее чем домашний)
неожиданно, 77.88.8.8 отвечает еще быстрее 8.8.8.8 ;]
У меня дома unbound, отвечает быстрее 8.8.8.8 и 77.88.8.8.
> У меня дома unbound, отвечает быстрее 8.8.8.8 и 77.88.8.8.ну дак unbound-у не нужно скидывать данные в АНБ, поэтому и быстрее :)
>> У меня дома unbound, отвечает быстрее 8.8.8.8 и 77.88.8.8.
> ну дак unbound-у не нужно скидывать данные в АНБ, поэтому и быстрее
> :)кстати, возможно,
о связах ISC и NSA давно муссируется в прессе )
гонконгский создатель/спонсор unbound по такой логике - должен "сливать" в Ми-6. если КПК разрешит ;)
4.2.2.2 - это чей?
Начиная с 4.2.2.1 по 4.2.2.6 - публичные DNS Level 3 communications.
> конечно нет. 8.8.8.8 или 4.2.2.2 отвечают значительно быстрее чем домашний)Если кто из вышеответивших не понял, товарищ Аноним сакразмирует.
Эта гугловская муть, во-первых, несравнимо дальше даже провайдера (у меня - в 50 раз), не говоря уже о доме. Во-вторых, отвечает прежде всего гуглу о ваших пристрастиях, а также может им фильтроваться по приказу роскомнадзора или ещё какой пакости.
Внезапно: Роскомнадзор блокирует по IP
А вот юшкинкские копирасты - еще и по гуглу.
> Внезапно: Роскомнадзор блокирует по IPРоскомнадзор вообще ничего не блокирует. Он всего лишь ведет пресловутый "реестр", которые обязаны загружать провайдеры. Ну а уж сам провайдер вправе выбирать способ блокировки - IP или конкретный URL. Мы, например, блокируем по URL. Ввиду наличия оборудования DPI (CISCO SCE-8080).
>> Внезапно: Роскомнадзор блокирует по IP
> Роскомнадзор вообще ничего не блокирует. Он всего лишь ведет пресловутый "реестр",
> которые обязаны загружать провайдеры. Ну а уж сам провайдер вправе выбирать
> способ блокировки - IP или конкретный URL. Мы, например, блокируем по
> URL. Ввиду наличия оборудования DPI (CISCO SCE-8080).Блокировка через DNS тоже предусмотрена, и, на мой взгляд, является наиболее гуманной по отношению к абоненту.
Для DNS без разницы, какой там path внутри сайта, оно весь домен кроет.
Другое дело, что обойти ее проще, это да. При определенном рас3.14здяйстве со стороны прова, конечно.
> Блокировка через DNS тоже предусмотрена, и, на мой взгляд, является наиболее гуманной
> по отношению к абоненту.Самой НАИБОЛЕЕ гуманной по отношению к абоненту является блокировка конкретного URL, указанного в реестре. Если заблокировать весь фейсбук (например), вместо конкретной ссылки - сомневаюсь, что это найдет понимание среди абонентов. Естественно, подобная блокировка требует наличия оборудования DPI (либо ее имитации). Что довольно накладно, но необходимо.
>> Блокировка через DNS тоже предусмотрена, и, на мой взгляд, является наиболее гуманной
>> по отношению к абоненту.
> Самой НАИБОЛЕЕ гуманной по отношению к абоненту является блокировка конкретного URL,
> указанного в реестре. Если заблокировать весь фейсбук (например), вместо конкретной ссылки
> - сомневаюсь, что это найдет понимание среди абонентов. Естественно, подобная блокировка
> требует наличия оборудования DPI (либо ее имитации). Что довольно накладно, но
> необходимо.Я имел в виду, что ее проще обойти, да. Любой абонент может это сделать, просто указав себе альтернативные DNS-сервера.
Начиная с определенных объемов трафика, внедрение DPI начинает стоит астрономические цифры и экономически неоправданно. Тем более, что на наших каналах/услугах профита, кроме точечной блокировки, по сути-то и не будет.
Профит состоит в том, что мордорнадзор не лишит вас лицензии.
> Профит состоит в том, что мордорнадзор не лишит вас лицензии.Ими и разрешено блокировать через DNS, были уже обсуждения, почитайте. Так что это не нарушение.
Странно. RRL вроде уже давно есть в бинде.
в виде сторонних патчей
> в виде сторонних патчейВозможно и так. Но в gentoo на моих серверах USE-флаг RRL был уже давно. И активно лично мной используется уже полгода как. Вполне допускаю, что сборки для gentoo бинда были сделаны с этими патчами.
>> в виде сторонних патчей
> Возможно и так. Но в gentoo на моих серверах USE-флаг RRL
> был уже давно. И активно лично мной используется уже полгода как.
> Вполне допускаю, что сборки для gentoo бинда были сделаны с этими
> патчами.Это левый патч. См, например, bind-9.9.3_p2.ebuild, строчка 51.
> RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.Замечательно. Они изобрели
iptables -I OUPTUT -p udp --sport 53 -m hashlimit --hashlimit-mode dstip --hahslimit-above $NUMBER/sec --hahslimit-name RRLNIH -j DROP
?
(Хотя, конечно, идеологически более правильно пихать такое в INPUT, чтобы не грузить процесс бинда почем зря)
Верно. И подобную запись нужно таки сделать.
Вот только в OUTPUT тоже надо оставить, т.к. перманентно-точно известен только хост атакуемого таким способом.
>> RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.
> Замечательно. Они изобрели
> iptables -I OUPTUT -p udp --sport 53 -m hashlimit --hashlimit-mode dstip --hahslimit-above
> $NUMBER/sec --hahslimit-name RRLNIH -j DROP
> ?подсказка:
iptables: Command not found.
подсказка2:
с rrl этот же конфиг можно будет использовать везде где есть bind соответствующей версии.
> подсказка:
> iptables: Command not found.Фу, выбрось каку!
ставить dns-сервер там, где нет iptables? ну-ну...
чел прется от ipfw
это понятно.
вопрос в другом, он хочет сказать, что на ipfw этого нельзя повторить?
а то прям первым пунктом пишет.
у iptables слишко дерьмовый синтаксис
То есть ты хочешь сказать, что раз тигер ipfw не осилил, то iptables тем более не смог?
> у iptables слишко дерьмовый синтаксисСтандартный юниксно-позиксный синтаксис командной строки не нравится? Тогда вперед на винду :)
>> у iptables слишко дерьмовый синтаксис
> Стандартный юниксно-позиксный синтаксис командной строки не нравится? Тогда вперед на
> винду :)покажи ссылку на "стандарт", блондинко
да хоть сто порций — http://pubs.opengroup.org/onlinepubs/9699919799/utilities/V3...
POSIX называется.
зыж
>блондинковпервые правильно подписался.
и грамматически, и по-существу.
> покажи ссылку на "стандарт", блондинкоВиндузятники не слышали про POSIX? Это прискорбно. Но закономерно.
>> покажи ссылку на "стандарт", блондинко
> Виндузятники не слышали про POSIX? Это прискорбно. Но закономерно.мальчик, в каком месте там написано про caps lock ? покажи, не скрывай уже;)
> у iptables слишко дерьмовый синтаксису это не у iptables синтаксис кривой, это у netflow linux/netfilter которым тот рулит - "дерьмовый синтаксис". но было бы странно если бы он с ним общался на другом языке, именно ПОЭТОМУ, увы. но наркоманы, писавшие netflow для linux - наверняка из АНБ )
> у это не у iptables синтаксис кривой, это у netflow linux/netfilter которым
> тот рулит - "дерьмовый синтаксис". но было бы странно если бы
> он с ним общался на другом языке, именно ПОЭТОМУ, увы. но
> наркоманы, писавшие netflow для linux - наверняка из АНБ )Каким боком тут вообще netflow? То, о чем Вы говорите - набор утилит для приема и обработки данных, принимаемых по протоколу Netflow, который изначально был разработан CISCO.
> на ipfw этого нельзя повторить?Низя. И на pf тоже. Там можно ограничить только скорость открытия новых соединений. А это нормально работает только с TCP.
Правда чтоли?
А как же они с бруфорсом борются то?
> Правда чтоли?
> А как же они с бруфорсом борются то?Брутфорс обычно идет поверх TCP, там оно кай-как работает. Если, конечно, на уровне сервера задать лимит паролей на соединение.
> Правда чтоли?
> А как же они с бруфорсом борются то?А вот так: объявляют это проблемой прикладного софта.
"Если у в нашем любимом $SOFTNAME чего-то нет - значит, оно там не нужно"
> это понятно.
> вопрос в другом, он хочет сказать, что на ipfw этого нельзя повторить?
> а то прям первым пунктом пишет.щито?
а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или блондинистый. как прочевшему коммент будет менее обидно;-)
был бы пидерастовский, то тебе бы нравился.
а так, только лишь соответствует POSIX'у.
> был бы пидерастовский, то тебе бы нравился.
> а так, только лишь соответствует POSIX'у.мальчик, когда я осознал насколько он пидерастический, я, кщастью, сменил ОС, с липупс. ты тогда примерно впервые у папки в трусах зашевелился. за одну только страсть к капслоку автора следовало бы назвать пид-сом, и это еще мягко. можно было бы понять и принять за блондинку, если бы афтар был бабой, так нет же.
>мальчик, когда я осознал насколько он пидерастический, я, кщастью, сменил ОСИ ты стал девочкой.
Понятно. С учотом "аргументов".
>>мальчик, когда я осознал насколько он пидерастический, я, кщастью, сменил ОС
> И ты стал девочкой.
> Понятно. С учотом "аргументов".не нужно выдавать желаемое за действительное, йунаша.
все еще проще, на той работе стояли преимущественно фри (3.х, 4.Х). и работая с ними я понял, насколько может быть простой и логичной система, с тех пор я как-то линапсы стараюсь избегать, по возможности.
> а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или
> блондинистый. как прочевшему коммент будет менее обидно;-)Вы путаете с sendmail.cf.
> а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или
> блондинистый. как прочевшему коммент будет менее обидно;-)Кстати, блондинистые убунтята без проблем нагородили поверх айпистолов pf-подобный ufw.
Что как бы намекает нам, что iptables - для взрослых мужиков, а pf/ipfw/ufw - для блондинок и убунтят.
>> а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или
>> блондинистый. как прочевшему коммент будет менее обидно;-)
> Кстати, блондинистые убунтята без проблем нагородили поверх айпистолов pf-подобный ufw.
> Что как бы намекает нам, что iptables - для взрослых мужиков, а
> pf/ipfw/ufw - для блондинок и убунтят.чуть выше ты упомянул sendmail.cf
он чо, тоже для "взрослых мужиков", а для блондинок и убунтят, значит, m4, да?;-)
Ну так он намекает подсказками своими - и я намекнул...
> чел прется от ipfwЧел убунтенок? У них там тоже клуб прущихся по ipfw-синтаксису.
Скоро они и до coreutils доберутся, будет у них вместо "ls -alt" - "uls show me all long in current dir sorted by time"
>> чел прется от ipfw
> Чел убунтенок? У них там тоже клуб прущихся по ipfw-синтаксису.они просто уже успели осознать насколько ущербен синтаксис таблиц, по сравнению с аналогами ([i]pf, ipfw). а может у них тупо капс-лок сломан и шифты тоже.
> Скоро они и до coreutils доберутся, будет у них вместо "ls -alt"
> - "uls show me all long in current dir sorted by
> time"ну это ваше, линапсоедное, будущее. посмотришь сам лет через 5 во что превратят его ;-)
> подсказка:
> iptables: Command not found.Мои соболезнования. Попробуйте поставить нормальную ОС?
> подсказка2:
> с rrl этот же конфиг можно будет использовать везде где есть bind
> соответствующей версии.Можно. Но зачем?
>> подсказка:
>> iptables: Command not found.
> Мои соболезнования. Попробуйте поставить нормальную ОС?О! Расскажи какая ОС - нормальная. а то тут местные долбое^Wспециалисты зачем-то рассказывают что это про линукс.
>> подсказка2:
>> с rrl этот же конфиг можно будет использовать везде где есть bind
>> соответствующей версии.
> Можно. Но зачем?чтобы не решать средствами быдлотаблиц задачи прикладного ПО. Понимаю, дэбилы и ngx будут таблицами закрывать вместо того чтобы док-цию на ngx почитать. и точно также не будут понимать "ЗАЧЕМ ЧИТАТЬ?! если iptables -I ПЫЩПЫЩ -ОЛОЛОЛ -Я -НЕ -БЛОНДИНКО -ЭТО -ТАБЛИЦЫ -ВСЕ -j DROP"
>чтобы не решать средствами быдлoтаблиц задачи прикладного ПОага, чтобы решать быдлoкостылями промахи в дизайне стандарта протокола DNS.
при этом гоняя быдлoзапросы из кернел-спейса в юзер-спейс и обратно.
а местный тигар то любитель шкурку погонять, угу.
Ну надо ж как-то оправдаться, что его любимый воннаби-фаервол не умеет базовых функций фильтрации пакетов :)
>>чтобы не решать средствами быдлoтаблиц задачи прикладного ПО
> ага, чтобы решать быдлoкостылями промахи в дизайне стандарта протокола DNS.поржал, приши еще, специолизд
http://wiki.nginx.org/HttpLimitReqModule тут афтары, по всей видимости, латают промахи в http. жги истчо.
> при этом гоняя быдлoзапросы из кернел-спейса в юзер-спейс и обратно.ад-то какой. и ЧСХ таких спецов все больше и больше ;(
> а местный тигар то любитель шкурку погонять, угу.
> О! Расскажи какая ОС - нормальная.Линукс, например. Но добое^Wблондинки, конечно, не согласятся :)
> чтобы не решать средствами быдлoтаблиц задачи прикладного ПО. Понимаю, дэбилы и ngx
> будут таблицами закрывать вместо того чтобы док-цию на ngx почитать.Не надо пытаться компенсировать ущербность фаервола, нагружая прикладной софт.
> точно также не будут понимать "ЗАЧЕМ ЧИТАТЬ?! если iptables -I ПЫЩПЫЩ
> -ОЛОЛОЛ -Я -НЕ -БЛОНДИНКО -ЭТО -ТАБЛИЦЫ -ВСЕ -j DROP"Не нравится юниксовый синтаксис? Бегом на винду.
>> О! Расскажи какая ОС - нормальная.
> Линукс, например. Но добое^Wблондинки, конечно, не согласятся :)нука-нука, расскажи подробнее, в каком он месте "нормальная ОС" (меня всегда потешало наблюдать за болванчиками)
>> чтобы не решать средствами быдлoтаблиц задачи прикладного ПО. Понимаю, дэбилы и ngx
>> будут таблицами закрывать вместо того чтобы док-цию на ngx почитать.
> Не надо пытаться компенсировать ущербность фаервола, нагружая прикладной софт.и заодно расскажи, в каком месте фаервол ущербен. на выбор даже даю: pf и ipfw, можешь выбрать слабые стороны и поведать о них, ты же знаешь что они могут/не могут, правда?;)
>> точно также не будут понимать "ЗАЧЕМ ЧИТАТЬ?! если iptables -I ПЫЩПЫЩ
>> -ОЛОЛОЛ -Я -НЕ -БЛОНДИНКО -ЭТО -ТАБЛИЦЫ -ВСЕ -j DROP"
> Не нравится юниксовый синтаксис? Бегом на винду.нравится, не нравится как обезьянка шифт жать, или капслок, может оттого я себя к линаксодам и не отношу ;-)
> нравится, не нравится как обезьянка шифт жать, или капслок, может оттого я себя к линаксодам и не отношу ;-)Ну да, и SSH-клиент у тебя называется putty.exe.
>> нравится, не нравится как обезьянка шифт жать, или капслок, может оттого я себя к линаксодам и не отношу ;-)
> Ну да, и SSH-клиент у тебя называется putty.exe.даже когда я использовал виндуз я не юзал это говно в силу того, что telneat(shellguard) в сотни раз лучше, но тебе для окучивания Сервира на 3.5 калеки школьного возраста хватит и putty.exe, да.
Так ты вообще через телнет админил? И не стыдно?
Ну ты натурально идиот. Действительно - зачем универсальный инстумент, путсь каждая тулза делает свой дубль одного и того же функционала. И да, это ж так плохо - выделить имя таблицы большими буквами, чтобы его сразу видно было. Что до меня - я бы еще и раскраску синтаксиса прямо в шелле сделал.
> Ну ты натурально идиот. Действительно - зачем универсальный инстумент, путсь каждая тулза
> делает свой дубль одного и того же функционала. И да, эток счастью, есть люди у которых есть мозги (это я про разработчиков ngx, bind и тд, не про тебя).
почему "к счастью" и почему "каждая тулза делает свой дублю одного и того же функционала" если не понимаешь - твои проблемы.
> ж так плохо - выделить имя таблицы большими буквами, чтобы его
> сразу видно было. Что до меня - я бы еще и
> раскраску синтаксиса прямо в шелле сделал.что до тебя так ты б и говнобаш везде расставил. это "раз".
два: я в говне давно не ковыряюсь, но что-то мне подсказывает что это не "имя таблицы", a chain - цепочка. если уж речь о iptables -I INPUT/OUTPUT/FORWARD. мне правда крайне влом смотреть мануал на говнотаблицы, я на 99% уверен в своей правоте и твоей ламернутости.
и вот да, пока набирал "INPUT/OUTPUT/FORWARD" с зажатым shift 2 раза назвал афтарав этого УГ пидерастами.
ну и три: так сделай раскраску же, розовеньким, к примеру. слабо?;-)
> путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвыЧто за провайдеры такие, разрешающие спуфинг IP адресов? Почему у них ещё не отобрали лицензию?
>> путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы
> Что за провайдеры такие, разрешающие спуфинг IP адресов? Почему у них ещё
> не отобрали лицензию?да у б-ва даже RFC3074 не настроено )
чего уж о следующих вещал.
syncookie они не врубают, тк античный scaling при нем не работает(изыйде Циско !), те про DTCP и СTCP они - не слышали, видимо.
итд итп.
> Что за провайдеры такие, разрешающие спуфинг IP адресов? Почему у них ещё не отобрали лицензию?Ага и за внешние ip тогда давайте отбирать лицензию. А можно просто за выход пользователя в интернет сразу закрывать провайдера и никаких проблем.
Если у провайдера только подсеть 80.x.x.x почему из его сети идут пакеты с SRC 93.x.x.x как такое вообще допускают?
> Если у провайдера только подсеть 80.x.x.x почему из его сети идут пакеты
> с SRC 93.x.x.x как такое вообще допускают?Вы прослушали вопрос админа локалхоста и суппортера ссетки в бухгалтерии.
Патамушта БыГыПы
Если не знаете, зачем пишите мусор?
> Патамушта БыГыПыНу и что Вы хотели сказать? Вы пытаетесь сейчас утверждать что боты сначала Вам с _клиентского интерфейса по BGP_ впаривают левые сети, а потом с них начинают слать пакеты "путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы"? Очень смешно :)
>> Патамушта БыГыПы
> Ну и что Вы хотели сказать? Вы пытаетесь сейчас утверждать что боты
> сначала Вам с _клиентского интерфейса по BGP_ впаривают левые сети, а
> потом с них начинают слать пакеты "путем отправки запросов с фиктивного
> обратного адреса, указывающего на IP жертвы"? Очень смешно :)На самом деле, правильно разделять бордеры (BGP) и BRAS'ы, где терминируются абоненты.
Таким образом удается избежать проблем false positives на интерфейсах c BGP-сессиями (т.е. вообще отключить там RPF) и избежать спуфинга адресов, включив его на том интерфейсе, где абонент терминируется. К сожалению, большинство мелких провайдеров имеет одно оборудование, служащее и бордером, и брасом, да еще и биллингом, зачастую.
Понятно, спасибо.
> Если у провайдера только подсеть 80.x.x.x почему из его сети идут пакеты с SRC 93.x.x.x как такое вообще допускают?Вы просто путаете провайдера с подсетью 80.x.x.x.
в этом был бы смысл, если бы оно было включено по-умолчанию, да и то, только в долгосрочной перспективе, когда на этих "миллионах открытых резолверов" переставят/обновят ОС. а так - ну включат через год на 0.1% резолверов эту фичу, ну уменьшится трафик на пару гигабит/с...никто и не заметит разницы