Vlákno názorů k článku DDoS útok na servery Internet Info: pohled administrátora od stulda - Pokud se jednalo o útok typu Slowloris a...

OK. Vyřešíte jeden typ útoku a co dál? Příjde jiný typ...
No až vám dojdou nápady, tak to útočník pustí na banky a bankovní terminály. Pak se ozve - za 100 Mega ten útok zavřu... :D.
Podle mne je efektivnější budování bezpečných a segmentovaných sítí a omezování konektivity.
Výborná jsou hesla typu " 1TB připojení do každé rodiny, 1TB připojení do každého telefonu..." Takový botnet pak žádný HW na konci neustojí....

To mas ale uplne jedno, neni problem vygenerovat dostatecne vykonej DOS s pomoci krabek pripojenech par kbit linkama ... Je to realne jen otazka penez. Neni zadnej problem si zaplatit livovolne velkej botnet. A co vic, dokonce pokud to pojmes politicky, se to da udelat i zcela zadarmo. Samo takovy demonstrace na nemestich/sil­nicich/... nejsou nic jinyho nez DOS na dopravni infrastrukturu.

Naopak se zatim zdaleka nejvic osvedcilo mit dostatecne tlusty linky a dostatecne vykonnej HW, to je nejspolehlivejsi reseni drtivy vetsiny utoku.

vykonny HW a linka nieje riesenie. Ak mate vy vykonny HW a linku, tak to moze mat aj utocnik. Toto riesenie ale aj dost stoji.
Na taketo utoky riesenie nieje, takisto ako na tie demostracie.

Vlastne riesenie je na jedno aj druhe, ale to by sa nam nepacilo. Uz sme tu nieco taketo mali.

Oni nejspíš mají před webserverem L7 loadbalancer a to nebude apache. Na tom se ten slowloris zastaví (tak to i píšou v článku - spoustu spojení před balancerem a málo z balanceru na skutečné servery). Pak jde jen o to, aby ten loadbalancer tolik spojení ustíhal.

Většina L7 balancerů odstiňuje provoz od webserveru natolik, že počká až klient pošle celou hlavičku. Pak se teprve rozhodne, na který webserver pošle požadavek. Protože ho má celý, tak webserver na klienta nečeká, prostě požadavek zpracuje a pošle ho zpět. (Alespoň pro požadavky které nemají tělo (GET) u POSTů to může být trochu jinak, nicméně tam již nějaké timeouty aplikace často má). Navíc může L7 balancer přečíst odpověď ze serveru, celou si ji uložit do paměti, zavřít spojení na webserver a odpověď odesílat klientovi po kouskách (tak rychle jak to jeho linka zvládá). Potom je již jen na balanceru aby měl dost paměti na požadavky i odpovědi.

Vidím to naprosto stejně, někdo jim prostě ukázal jak neefektivní mají load balancery. Obsloužit desítky tisíc spojení které v podstatě nic nedělají by s dnešním hardware neměl být problém, pokud se to správně naprogramuje - viz např. http://www.kegel.com/c10k.html

To není úplně pravda. Pokud ten loadbalancer zároveň slouží jako buffer na http hlavičky (aby zamezil slow-lorisu), a někdo bude posílat hlavičky dlouhé (bude tvrdit, že má 10k cookies), tak se může stát, že jen na http hlavičkách těch výše zmíněných 10k spojení (u správně modifikovaného slow-lorisu) sežere více než 100M paměti. A s dost velkým botnetem se dostanete na vyšší řády, než jen 10k.

Samozřejmě loadbalancer nesmí být tak hloupý že si nechá zaplácat paměť zpracováním požadavků se zbytečně dlouhými hlavičkami (ty může odmítat), aplikace musí spolupracovat v tom smyslu že zbytečně dlouhé hlavičky nebude vyžadovat. Navíc čísla jsou relativní, 100 MB paměti není nic co by na dnešním hardware nešlo zpracovat.