Názory k článku CESNET vyvíjí vlastní pračku na DDoS útoky

A jak bude pračka filtrovat naspoofované zdrojové adresy z různých ASek, pokud těchto toků budou miliony? Nebo co když zdrojem bude naspoofovaná IP adresa existujícího zdroje? Bude pak pračka blokovat i validní zdrojovou adresu, kterou jen někdo zneužil?
A jak s útokem po IPv6, kde zdrojových IP adres mohou být miliardy? To bude PC držet v paměti miliardy záznamů, které bude filtrovat?

Nijak.
Je to samozřejmě blbost.
Ale ne tak úplně.

Dokáže to odfiltrovat běžné útoky, které na netu dominují a dá se předpokládat, že přijdou jako první, protože jsou levné, jednoduše proveditelné a účinné zejména na síť, která nemá žádné mechanismy jak i na primitivní útok reagovat.

Pokud útočník bude chtít, upraví útok tak, aby to ta karta nedetekovala.

JD

Což si to nastudovat. Pracujeme na podobné věci a jestli jsi dobře četl jedná se o filtraci volumetrických útoků protože proti nim se na koncové straně nelze bránit.

My volíme inverzí postup tj whitelist pro již sestavené a fukční žádoucí spojení nezatížený latencí a pak padání sadou analýz což sice přidáva na latenci ale jen do doby než se ukáže že jste regulérní spojení.

tj když toto dáte do serveru tak té kartě řeknete ať vám pustí tcp pro 100.8.7.2 ale UDP na tutéž IP blokuje a karta to celé udělá za vás čím vám dá hromadu cpu zdrojů na analýzu toho co pro vás neforwarduje přímo karta (tak bych to postavil já, dovnitř řešení CESNETu nevidím).

a to mi přijde jako naopak jediná správná myšlenka rychlé FCPGA/LGA co umí pár věcí a k tomu x86 analýzu zbytku, analyzujete jenom tu neprůběžnou část. Navíc často přijde se smetím bordel z botnetů kde se nikdo neobžežuje dělat FAKE source IP, není to potřeba.

To nevypadá vůbec špatně. Nějaké další informace by nebyly ?

"...Čistička se skládá z běžného počítače a 100GE síťové karty..."

Opravdu? No ja na ty sitovce vidim jenom jeden port, takze pro jakekoli filtrovani budou zapotrebi minimalne dve sitovky. Ten beznej pocitac pak musi mit dva plnohodnotne pcie-16x sloty alespon verze 3.x (co uz je rychlostne na hrane, x16 da nakejch 15GB/s a ten protokol ma taky nakou rezii) a taky hodne vykonnej pci-switch/root aby utahl takove end-to-end spojeni. A to jeste bude muset mit dobrou rezervu, aby cela sbernice neskolabovala...

Ja panum z CESNETu fandim, jen chci rict, ze to asi nebude jenom takovej "beznej" pocitac...

A k čemu, legitiního provozu tam stejně 100g nepoteče a pokud ano tak se druhé rozhraní jako karta stává z definice problému nezbytnou.

I kdyby to ufiltrovano 50Gb/s tak je to pořád za pusinku (90k eur a čistě sw řešení)

Žiješ ještě v době half-duplexu? Jeden port na příjem a odesílání bohatě stačí.

Slysel jste nekdy pojem WDM ??

Az vylezes ze skoly pochopis proc se pta.

V době IOT může termín pračka na DDOS útoky vyznít různě...

...to bylo to první, co mě napadlo. Vzhledem ke včerejším zprávám o Samsung pračkách :-)

Na začátku článku je nepravdivé tvrzení,
>>V současné době neexistuje žádné automatizované řešení, které by CESNET před podobnými útoky chránilo.
Již dlouho existují řešení které umí automaticky na 100 Gbit lince prát DDoS útoky. Nejlepší technologii zatím mají v Arbor Networks, ale také si za to nechají zaplatit. Používají ji všichni tři cz telco operátoři ...
Takže správné tvrzení je: "...Cesnet žádné nevlastní...."
.
Fandím vám, další konkurence na trhu je určitě potřeba ...

Pračka, čistička ... Má to i žehličku a sušičku?

Ehm, to je ta karta, jejíž vývoj jsme zaplatlili všichni skrze TAČR a kterou prodává soukromá společnost (Netcope)? Jděte s dotacema už do prdele a naučte se laskavě podnikat za vlastní.

Ale to je ošklivě napsáno.

Víte kolik je díky dotacím pracovních příležitostí? Například v agenturách, které provádí administraci žádostí o dotace a pak i samotných získaných dotací. A to za třeba i jen za usmolenou třetinu získaných prostředků.

Jste banda kverulantů a euroskeptiků! :)

Proč do toho pleteš euroskeptiky? TAČR je, jak název napovídá, česká agentura.

Vyroba zarizeni, je organizovana nasledovne, pokud to dopadne spatne a projekt neuspeje, pak naklady poneseme mi - platci dani. Pokud uspeje, nic se do rozpoctu nevraci. Je mozne, ze to zarizeni vyrabet ma smysl, ale ne za techto podminek.

Neda sa to trochu debulvarizovat. Preco pracka? Nie je to vlastne filter? Naviac asociacia utok -> pracka mi unika ale ja nie som cech. Vy na utok odpovedate pranim?

Ano, na útok odpovídám praním - když na mě zaútočí, leknu se tak, že si následně musím vyprat trenky.

Takze nadpis je zle, v slove Pranim treba zamenit P -> S.
A potom aj nadpis po uprave konecne dava zmysel.

Jsou kromě praček na útoky vyvíjeny i útoky na pračky? :-)

Samozrejme, este si nepocul najnovsi buzzword IoT?

Cinani vyrabeji "kamery na DDoS utoky" viz nedavne utoky vedene kamerama,
tak my budeme mit "pracku na utoky" a se k tomu pridaji jeste lednice, tak uz to bude vazne.

Mám z toho popisu takový špatný pocit.
Připadá mi, jako by se autoři pračky připravovaly na tu válku která byla, a ne tu která bude.
Tahle "pračka" dejme tomu umí úspěšně vymýtit DDoS útoky takové, jaké jsou dnes.
Kdyby se ale v budoucnu pračky rozšířily (představme si) do většiny NIXů, nevznikly by útoky zaměřené na ty pračky samotné?
Co když DDoS-like útok bude veden tak, že se nechá schválně zachytit pračkou, takže nezahltí cílovou síť, ale nějakým způsobem způsobí, že pračka vypere se špínou i prádlo (sama zastaví regulérní provoz), a tím odstřihne cílovou síť?
Není to nakonec určitá forma security-by-obscurity?

Bojím se, že takhle se na to koukat nedá. Žádné řešení nebude fungovat na 100% a na jakékoliv dostatečně rozšířené řešení se budou útočníci cíleně zaměřovat.
Útočníci budou mít vždycky iniciativu.

Bohatě postačí, když nebude útok stát stovky dolarů, ale tisíce až desítky tisíc a tohle zařízení tomu pomůže.