Комментарии 2
Технология хорошая, понятная и вроде даже как рабочая.
Не так давно сайт предприятия где я работал подвергся DDoS и защитить его подобным образом не вышло.
Два провайдера (Verizon и Comcast) поддерживают такую схему работы, но как выяснилось по факту ничего заблокировано не было. Более того, "свободное" оперирование маршрутами со стороны клиента (нас) могло заставить провайдера блочить вполне легитимные подсети, хосты в которых были участниками какого-то ботнета. Да и процедура добавления тысяч ip-адресов в route-map была не так проста (а без скриптинга так и вообще не выполнима).
Как итог компания подписала доп. соглашения к договорами на предоставление услуг, где защита от DDoS работала каким-то секретным способом, НО о том что атака началась\была в процессе приходилось каждый раз сообщать провайдеру отдельно на их клиентском портале через специальную форму. Схема работала, но мы так и не узнали - что там под капотом.
большая часть одминов, ни капли не парясь пастит из инета sysctl'ы, где через установку rp_filter они мечтают избавиться от спуфинга, (чтобы добиться большей секурности!) на оконечном хосте, с одним gateway'ем, а тут такие тонкости. Смело. )
Loose uRPF – зачем он нужен?