Vlákno názorů k článku
Chyba v protokolu SLP umožňuje odrazit DDoS a 2200× ho zesílit od RDa - Jak je mozne v roce 2023 podvrhnout IP...

Jak je mozne v roce 2023 podvrhnout IP adresu? Ja mel za to, ze tohle si muzete dovolit udelat jen na lokalni siti, a nejblizsi router takovy traffic odfiltruje a zahodi.

Nebo se predpoklada ze utocnik bude prave v te LAN se zneuzitym zarizenim, ktere bude pak otravovat vzdalene stroje tim floodem?

A na ktere planete tohoto mnohovesmiru zijes? Router nic nefiltruje proc by probuh mel? Kdyz nekdo kupuje router, tak proto, aby routoval a ne proto aby jej zatezoval nesmyslnymi pravidly.

To si jako predstavujes, ze bude provozovatel routeru neustale analyzovat stav BGP a zjistovat, z jake strany muze prijit jaky provoz, a podle toho 1000x za sekundu predelavat filtrovaci pravidla, ktera mu doslova sezerou vykon, protoze je lze aplikovat vyhradne pres CPU, zatimco routovani bezi mimo CPU?

Naprosto bez problemu projdou privatni IP adresy. Coz si klidne muzes overit. Posli si treba ping kde do src dej cojavim 192.168.1.1 a posli si to na stroj na druhy strane zemekoule, 90% ze to dotazi.

Ale notak, pane kolego... implementovat BCP38 filtry na vstupu od zakazniku prekvapive jde i v prostredi s dynamickym routingem (BGP) a rozhodne se nemusi pravidla 1000x za sekundu predelavat. To ze na to vetsina lidi kasle, protoze je to nejaka prace navic je ponekud jiny pribeh.

A kasle se na to samozrejme i tam, kde RPF neni vubec zadny problem a je to o zapnuti jedne option na vstupu (aka u koncovych pripojek). Holt at ziji nasi vesnicti radoby-ISP, ze? ;-)

Takový traktát a přitom stačilo napsat "já tomu nerozumím". Jsi na odborném webu, kde je dost síťařů, nemůžeš tady ohromovat lidi svými výmysly.