Názory k článku Konkrétní ukázka (D)DoS útoku z pohledu peeringového uzlu

Adame, pekne napsano.
Z pohledu zakaznika by bylo zajimave rozebrat i techniky obrany oproti DDOS/black hole, respetkive zachovani funkcnosti a zmirneni dopadu po blackholovani adres u jednoho providera. Nastin "katastrofickych" scenaru a jejich reseni/docasne workaroundy. Situace - jde na me DDOS, provider mi dal ipcka na 2 dny do blackhole a ja byl pripraven, protoze .... ;-)

Opravte ma prosim ak sa mylim, ale v principe je DoS/DDoS SRC ip a, prava alebo b, Fake

v pripade ze je prava, a je to DoS utok, tak napadnuty moze adekvatne reagovat bud sam alebo poziadat ISP o pomoc, a sa proste SRC odreze

v pripade ze je prava a je to DDoS, je to len pracnejsie ale v principe to iste,

v pripade ze je SRC IP podvrhnuta, nestacilo by tlacit/prikazat ISP aby si kontrolovali aky traffic z ich siete odchadza/zahadzovat traffic s SRC IP != moja siet?
Dik

Jsou i tranzitní ISP, ne všechny src-ip mají ti, co s nima peerují, jako vlastní.

nj ale tazko cakat DoS z tranzitneho rozsahu tranzitnych ISP, ci?

To neprejde, to je nelecitelny... ddos je totiz presne totez, jako kdyz ty prave ted refresnesh root. Kdyz to udela milion lidi najednou, tak ho to nejspis slozi.

Tudiz mas na vyber zhruba nasledujici:

1) budes postupne odstrelovat jednu IP zadruhou, az bude tvuj serv nedostupny pro drtivou vetsinu zajemcu
2) vykasles se na to, a nechas to na tom co srv/linka unese (a pripadne dojdes ke stejnymu vysledku az se jedno nebo druhy ucpe)
3) vypnes to uplne (a ten vysledej je stejny jako u predeslych dvou)

Kazdej skutecnej ISP je tranzit. A u kazdyho normalniho muzu mit srcIP jakou chci (a taky to tak zcela bezne pouzivam, protoze mam vic linek).

Mimochodem, pokazdy kdyz je spustena nove online gameska (a nebo ani nemusi bejt moc online, staci nejaka "bez toho to nejde", jako trebas posledni simcity), tak se autori minimalne mesic po startu vymlouvaj, ze za to, ze to nefunguje, muze ddos... Presne ten, kterej generujou hraci kteri chteji hrat.

Už to vidím jak malované. Vznikne mezinárodní RTBH standard, všichni provozovatelé gatewayí ho naimplementují a je po dDOS utocích. Jen mě tak vrtvá v hlavě, jak se bude síť bránit fake RTBH requestům? Nebude to nakonec ještě zhoubnější než samotný dDOS?

Uplne jednoducho. Vznikne RTBHSEC a kazdy request bude digialne podpisany :)

Proc fake? Nac takovy slozitosti? Pokud budu chtit dosnout root, tak vim, ze vetsina ctenaru bude z cr => staci vygenerovat dostatecnej traffic z botnetu na ceskych IPckach a root se odstreli sam.

Nechápu, proč na obrázku ddos přichází z jedné sítě?

ddos je distributed, ne? Měl by tedy přicházet z nějakého botnetu z celého světa. A v podstatě by nemělo jít rozeznat legální klienty od účastníků ddos.

Nebo ne?

Za zmienku stoji BGP flow spec, ktory stavia na RTBH ale umoznuje vacsiu kontrolu nad tym co bude dropnute.

Route servery v NIX.CZ využívají schopnosti softwaru BIRD, čímž jsou výrazně širší než u komerčních routerů. V tomto případě dochází k využití možnosti modifikace next-hop routeru u přijatých prefixů.....

Tak ja vam nevim, pouzivam RTBH na edge strane nasi site bezici na IOS, kde jako vy modifikuji next hop IP address . Takze, ktere komercni zarizeni to nepodporuji? Protoze neverim ze JunOS to neumi, ikdyz overene to nemam to ne.