Názor k článku Postřehy z bezpečnosti: masivní DDoS útok na DNS nebyl úspěšný od ZP - <i>Přičemž přítomnost obrany BCP38 na tom nic nemění,...

<i>Přičemž přítomnost obrany BCP38 na tom nic nemění, akorát útočník může použít pro útok menší počet sítí.</i>

Mam zakaznika, ktery je nakonfigurovan napriklad takto (z realne praxe):

interface PW-Ether56
description ABCD_4720
mtu 2012
service-policy input 120M
service-policy output 120M
ipv4 mtu 1500
ipv4 address 192.0.2.65/29
ipv4 verify unicast source reachable-via rx
attach generic-interface-list PW-XYZ
!

Jaky pocet siti tedy utocnik muze, bude-li za touto pripojkou kompromitovany host, uzit? Muze spoofovat tak akorat z rozsahu 192.0.2.66 - 192.0.2.71 (pripadne pokud tam bude nejaka staticka routa, tak jeste z rozsahu odpovidajicimu te staticke route), ale v takovem pripade budu vzdy vedet, odkud prislusny provoz tece. Pokud tam "ipv4 verify unicast source reachable-via rx" nebude, muze spoofovat cokoli z 0.0.0.0/0, coz neni vubec optimalni stav, napriklad proto, ze uz jen dohledat, odkud takovy provoz tece o dva routery dale neni vubec trivialni.