stemax97 Una cosa che non ho mai capito è perché alcuni provider permettano l'IP spoofing.
Se sai che il tuo ASN ha ip nella forma X.Y.., perché permettere di inoltrare pacchetti con indirizzo sorgente che non ti appartiene e non bloccarli al bordo? È solo per una questione di performance o ci sono utilizzi "leciti" di IP spoofing nelle reti pubbliche?
Non l'ho mai capito nemmeno io. Penso sia pigrizia, o timore di toccare qualcosa che "finora ha sempre funzionato". L'intero "castello" di accordi BGP è tenuto su più o meno sulla fiducia reciproca, e infatti non sono rari gli annunci "strambi" in cui un provider asiatico dice di essere un transit o owner di una serie di prefissi di Google ad esempio...
Usi leciti di IP spoofing proprio non me ne vengono in mente, ma proprio manco uno...
QRDG Infatti, però sinceramente alcune case produttrici a fare ancora giochi P2P... non che siano male perooo sai com'è, ad un certo punto un server in mezzo lo potresti mettere.
E chi paga il server, la banda e la potenza di calcolo? Solito discorso... Poi l'azienda fa puff! e chi ha pagato il gioco si trova con un bel fermacarte (virtuale ormai...) quando AWS o chi per esso stacca la spina perché non pagano le fatture.
QRDG Se devi accede alla rete interna basta una VPN no?
La VPN non serve per questo, ma avere l'IP statico aiuta a "farti riconoscere" dai server cui ti colleghi per esempio, puoi predisporre aperture più ampie su una tua VPS per il traffico che arriva da casa tua.
QRDG Quindi mi dici che la soluzione è limitare la banda a quel dispositivo, per non far impallare la linea del tutto? e poi con quel device come fai?
No, dico che il collo di bottiglia è sempre la linea tra te e il provider, che puntino al router (IPv4 di WAN) o client interno, sempre da lì devono passare.
QRDG se dall'ip x.x.x.x.x arrivano più di X richieste in Y tempo il server "rifiuta le richieste" per 600 secondi da quell'IP, ha fatto bene? io non mi sono impicciato poiché dovevo solo fare le grafiche del sito.
Agire a livello applicativo vuol dire che sei già in "braghe di tela", non da alcuna protezione contro attacchi volumetrici verso il suo IP (che potrebbero anche riguardare tentativi di connessione su porte chiuse, non necessariamente al server WEB).
La soluzione la può dare solo chi è più grosso di te, ovvero il provider a monte.
[cancellato] Con IPv6 l'ISP ti assegna un intero prefisso, non singoli indirizzi IP. Poi ai dispositivi nella LAN viene assegnato un indirizzo all'interno di quel prefisso, e questo significa che possono minimo prendere un IP fra 264 disponibili. Se fanno il DDoS su un singolo IP di un singolo dispositivo ci vuole un attimo a prenderne un altro
Ma il routing lato provider avviene sempre e solo sui prefix, quindi la mole di traffico alla tua interfaccia di WAN arriva lo stesso.
matteoc No, hai 264-56 = 256 subnet disponibili, ognuna con 264 (-3) device al massimo. Gli indirizzi IPv6 sono da 128bit.
