Názory k článku
Botnet AISURU/Kimwolf vytvořil rekordní DDoS útok o síle 31,4 Tbps

Chcem sa opytat, ci nieje v dnesnej dobe moznost DDoS uz predhadzat aj tak, ze by by boli postihovani ISP napriklad. Priklad, ked idu z vasej siete utoky, tak dostane ISP upozornenie, potom pokutu a v poslednom krorku shape na ich linku.
Viem ze moja predstava znie az priliz jednoducho, ale nejaka zodpovednost by asi mala byt.
Nie som sietar takze ma hned neukamnujte po precitani, dakujem.

Edit: Pytam sa preto, lebo mam pocit, ze stoho zacina byt trend, ktory botnet trhne vacsie cislo..

6. 2. 2026, 12:32 editováno autorem komentáře

Víš co znamená ve zkratce DDoS to první Déčko?

Ale zdroj utoku vies, cize vysmylim si, ak je botnet postaveny prevazne na domacich deravych zariadeniach nejakeho poskytovatela internetu pre domacnosti, tak by asi niekto mal zacat riesit firmy atd. Proste mi pride divne, ze na "konci dna" sa spoliehame na jednu firmu Cloudflare, ze nas ochrani a asi viac nic nerobit. (tych firiem je urcite viac, len nevydavaju taketo "fantasticke" cisla a reporty)

Nikoliv, odpovednost za derave zarizeni ma proste a jednoduse jeho provozovatel. Nejak netusim, proc by za diletanstvi a "potrebu usetrit" na strane koncoveho spotrebitele mel platit ISP...

Ono samozrejme ISP jednu paku ma - proste dotycneho natvrdo odpoji. Ale nejaka filtrace je z pohledu legislativy (sitova neutralita) ne az tak trivialni, jak se na prvni pohled muze jevit. A i kdyby se koncak orezal jen na tcp/udp 53/80/443, tak z toho utocit proste pujde a utocit se bude. A navic rev bude i kdyz dotycneho problemoveho proste odpojite, zeano :-) Typicky ten kolenovrt s deravym routerem za dve stovky jeste bude neco kvakat o tom, kterak trati miliony :D

Jine cesty, nez odpovedost toho na konci dratu neni.

Myslíte třeba naši velkou trojku, která dodávala nejlevnější děravý modemy? :D

DDoS - Datový Drtič Online Služeb

"ale nejaka zodpovednost by asi mala byt."

To jiste, kdyz si ted poslal post na root a prijde sem milion dalsich, tak budes zkracen a odpojen, protoze ses podilel na ddosu.

Ta tvoja predstava je asi taka ako keby spravca cesty mal by zodpovedny za auta, ich technicky stav a za to co s tym autom robis na tych cestach.

Chce to zacat od konca. Od vyrobcov tych napadnutych zariadeni. Napriklad povinny support po urcitu dobu ako zaviedla EU pri smartfonoch(mi­nimalne 5 rokov po skonceni predaja).

Ak je to tvoja infrastruktura tak suhlasim kazde "auto" nevyriesis, ale ked k ceste nej prenajimas aj "auta" a neriesis, abuse reporty a vobec nic, tak potom by si nemal byt spravca :-P

Takze EU ma neco narizovat?

To už se vesměs děje, akorát toho ispíka nikdo nijak neinformuje a nedává mu žádné výzvy. Existují různé veřejné i uzavřené firewall listy (jeden z agregátorů je třeba Firehol) a pokud z nějaké sítě ISP jde dlouhodobě bordel, tak se na list nejprve dostane samotná problémová IP adresa a když je toho víc, tak klidně celé prefixy. Těm lidem pak náhodně nejdou různé služby, jako třeba třetina českých bank, protože podle takového listu blokují.

U nás ISP informuje třeba CSIRT. Což je hezké. Jenže jak toho koncáka donutit k nápravě? Hledat to zařízení mezi třeba padesáti (mobily, tablety, kompy, televize, IoT) je v podstatě nemožné. A i kdyby možné, dotyčný to nezaplatí. Jeho to většinou neomezuje.

RE. "Hledat to zařízení mezi třeba padesáti ... je v podstatě nemožné.":
A proč je problém to konkrétní zařízení dohledat? A co s tím jde udělat, aby dohledat šlo?

RE. "A i kdyby možné, dotyčný to nezaplatí."
Kdyby to platit museli, tak by se o to třeba víc zajímali. Třeba by si vybírali zařízení o pár stovek dražší, ale s lepší podporou. Např. za cenu jedné večeře v restauraci mají možnost se posunout do lepší kategorie APček.

RE. "Jeho to většinou neomezuje."
Myslím, že by to uživatelé řešili velmi aktivně, když by dostal upozornění a v případě ignorování by byl dočasně odpojen, nebo lépe, přesměrován na stránku s vysvětlením, proč je odpojený a co může dělat.

IMHO se to často neřeší, protože toho neteče zase tolik a tudíž to není tak velký problém.
Na tuhle strunu hrají i ti útočníci, ale není to dobrý přístup. Pokud tam je něco, co může útočit, tak to znamená, že je tam něco s potenciálem škodit i jinak a mnohem hůř.

Pár kroků ke zkrocení by se našlo.

* Třeba se rozloučit s IPV4.
* Dobře navržená výměna informací primárně mezi NIXy a bránami ISP o útočících zařízeních.

Zkrátka blokovat provoz co nejblíž k zařízení.
A tu zodpovědnost za útočící zařízení by také měl někdo mít, ne primárně s cílem trestat, ale dotlačit k nápravě.

Když ono to není tak binárně jasné. ISP oznámí uživateli (dle smlouvy), že ho odpojí, když neudělá nápravu. A Teď co má dělat uživatel. Vzít zlaté stránky a hledat odporníka, co mu analyzuje domácnost? Může za to router/pračka/vy­savač/nespráv­ný OS/soused, co se mu prolomil na wifi? Kdo ukáže nešťastnkovi - tohle zařízení musíš si nechat opravit/vyměnit/ak­tualizovat? Uvědomte si, že výpočetní technika již není pro inženýry a geeky. Jedná se o spotřební elektroniku. Vymyslete řešení a pak teprve uvalte restrikce.

Když ta síť bude dobře fungovat, tak by analýzou logů mělo jít dohledat, které zařízení to je.
A pak ano, ať si uživatel zjedná nápravu.

Varianta, nechat to být a nedělat s tím nic je lepší?

a kdo to bude u koncaka analyzovat? natoz vubec logovat.

Derave zarizeni muze utocit po IPv6 stejne jako po IPv4. Kdyz se podivate, jak AISURU/Kimwolf funguje, tak se bavime o jinak legitimnim HTTPS - jen do vas (obeti) zacne busit "par" milionu pozadavku za vterinu. Aneb ty utoky se deji na vyssich vrstvach a protokol na treti vrstve je jim realne ukradeny. Co maji, to pouziji...

A vzhledem k tomu, ze se bavime o milionech infikovanych zarizeni, tak i to odliseni utocicich zarizeni od zarizeni cistych bude netrivialni uloha. Jakou metrikou chcete urcovat, kolikze HTTPS pozadavku per klient je jeste v norme a kolik uz ne? ;-) Racej si otevrit treba i seznam.cz a podivat se, kolik tech pozadavku prohlizec bezne naseka... a ty pozadavky jsou v principu male - jenom se cilene oprete do nejakeho endpointu, kde zpracovani na strane (i farmy) serveru konzumuje netrivialni mnozstvi zdroju.

To reseni neni zas tak trivialni, jak se na prvni pohled muze jevit.

Na tohle je krásnou odpovědí třeba PoW na kritických neautentizovaných endpointech.

Ale bojím se, že to je problém hlavně ~megabitových aplikačních útoků, jak jsou tam terabity, tak se to vůbec do vyšší vrstvy nedostane.