A jak bude pračka filtrovat naspoofované zdrojové adresy z různých ASek, pokud těchto toků budou miliony? Nebo co když zdrojem bude naspoofovaná IP adresa existujícího zdroje? Bude pak pračka blokovat i validní zdrojovou adresu, kterou jen někdo zneužil?
A jak s útokem po IPv6, kde zdrojových IP adres mohou být miliardy? To bude PC držet v paměti miliardy záznamů, které bude filtrovat?
Dokáže to odfiltrovat běžné útoky, které na netu dominují a dá se předpokládat, že přijdou jako první, protože jsou levné, jednoduše proveditelné a účinné zejména na síť, která nemá žádné mechanismy jak i na primitivní útok reagovat.
Pokud útočník bude chtít, upraví útok tak, aby to ta karta nedetekovala.
Což si to nastudovat. Pracujeme na podobné věci a jestli jsi dobře četl jedná se o filtraci volumetrických útoků protože proti nim se na koncové straně nelze bránit.
My volíme inverzí postup tj whitelist pro již sestavené a fukční žádoucí spojení nezatížený latencí a pak padání sadou analýz což sice přidáva na latenci ale jen do doby než se ukáže že jste regulérní spojení.
tj když toto dáte do serveru tak té kartě řeknete ať vám pustí tcp pro 100.8.7.2 ale UDP na tutéž IP blokuje a karta to celé udělá za vás čím vám dá hromadu cpu zdrojů na analýzu toho co pro vás neforwarduje přímo karta (tak bych to postavil já, dovnitř řešení CESNETu nevidím).
a to mi přijde jako naopak jediná správná myšlenka rychlé FCPGA/LGA co umí pár věcí a k tomu x86 analýzu zbytku, analyzujete jenom tu neprůběžnou část. Navíc často přijde se smetím bordel z botnetů kde se nikdo neobžežuje dělat FAKE source IP, není to potřeba.
