Vlákno názorů k článku
Dnešní výpadek Cloudflare byl způsoben aktualizací kvůli React2Shell od cubas - Inu tohle je problém centralizace. Internet je od...

Ale pak by ta zařízení musela platit.
Dneska DDoS útoky nezpůsobují zařízení útočníka, ale útočníkem ovládnutá cizí zařízení, jejichž majitelé nic netuší. Takže by platila ta zařízení.

Směřování paketu trvá 1 mikrosekundu a digitální podpis třeba 300 mikrosekund. Takže v principu by to mohlo fungovat.
Ne, ověření digitálního podpisu fakt není tak rychlé. On by tedy byl problém i jen s velikostí podpisu v porovnání s velikostí paketu. Ale to se dá třeba technicky nějak vyřešit, používat větší pakety. Ale aby to vůbec mohlo nějak fungovat, musely ty platby podepisovat nějaké banky, které by svým podpisem ručily za to, že vůbec máte dostatek peněz na účtu. Takže byste každé odeslání paketu neuvěřitelně zdržel komunikací s bankou. (Navíc byste s bankou musel komunikovat nějakým jiným médiem než internetem.) A pak by každý router po cestě musel ověřovat ten podpis banky a ještě ověřovat, že podpisový klíč banky nebyl odvolán. Dejme tomu, že by se to dovolání nemuselo řešit online, byla by povinnost třeba do hodiny přestat takovému klíči důvěřovat. Přesto byste musel u každého paketu ověřit podpis a ještě vyhledat certifikát – zda je mezi platnými nebo zda není mezi odvolanými.

Ten tisícinásobek, co jsem psal, to bylo jen vystřelené číslo, které bude řádově na bezpečné straně odhadu.Ve skutečnosti by to bylo třeba milionkrát náročnější, než směrování paketu.

Problém je, že tam máte jeden bod, který může selhat a vezme sebou víc služeb než DDoS. Navíc velkých společností je méně, takže je méně konkurence.
Jenže ve výsledků je těch výpadů daleko méně a je to daleko levnější, než kdyby si to každý provozoval sám.

> Ne, ověření digitálního podpisu fakt není tak rychlé.

To se pletete.

> On by tedy byl problém i jen s velikostí podpisu v porovnání s velikostí paketu.

Ano, celé by se to asi muselo udělat jinak. Ideálně, aby za tím nestály banky nebo jiné centralizované instituce, protože to nic neřeší. Třeba by k tomu šlo využít technologie kolem kryptoměn.

> Dneska DDoS útoky nezpůsobují zařízení útočníka, ale útočníkem ovládnutá cizí zařízení, jejichž majitelé nic netuší. Takže by platila ta zařízení.

Možná by to ty majitele motivovalo to začít řešit. Nebo by si toho alespoň všimli.

To se pletete.
Ne, to se nepletu.

Třeba by k tomu šlo využít technologie kolem kryptoměn.
Víte, jak dlouho trvá, než se transakce zapíše do blockchainu? Alespoň s nějakou minimální dávkou jistoty? Bitcoinová síť to udržuje na deseti minutách. Chcete čekat deset minut pokaždé, když napíšete do adresního řádku prohlížeče adresu nebo kliknete na odkaz na jiný web? Pokud byste chtěl argumentovat tím, že se to dá zkrátit – zkracováním toho času zdražujete transakce a zvyšujete riziko rozpadu sítě.

Jednoduše řečeno – decentralizované je pomalejší než centralizované. Protože u decentralizovaného řešení potřebujete čas na to, aby se informace bezpečně dostala ke všem uzlům sítě.

Možná by to ty majitele motivovalo to začít řešit. Nebo by si toho alespoň všimli.
Nemotivovalo. Protože škodlivý provoz jejich zařízení je miniaturní v porovnání s legitimním provozem. Ani by si toho poplatku nevšimli.

> Ne, to se nepletu.

Třeba implementace https://github.com/dalek-cryptography/ed25519-dalek uvádí pro ověření podpisu cca 40 mikrosekund.

Jenomže to je jenom samotné ověření toho, zda podpis sedí k datům. Dále ještě potřebujete ověřit, zda klíč použitý k podpisu byl oprávněn ten podpis vytvořit.

Ano, ty klíče by musely už být nacachovány.

Jistě, ale pořád ten klíč v cache musíte najít. Pořád nemáte vyřešeno, jak s tou bankou budete komunikovat. Pořád každé odeslání paketu vyžaduje komunikaci s bankou a podpis toho paketu.

Zkrátka je to nemožné a je to, jako kdybyste vymýšlel perpetuum mobile.

> Zkrátka je to nemožné a je to, jako kdybyste vymýšlel perpetuum mobile.

To je docela silné tvrzení. Třeba někdo přijde nebo už přišel s nějakým řešením, že to neděláte pro každý paket jednotlivě, ale třeba pro více paketů naráz...

To je docela silné tvrzení.
To říkají všichni koumáci, kteří „vynalezli“ perpetuum mobile. Má to jeden drobný problém – že žádné nefunguje.

Třeba někdo přijde nebo už přišel s nějakým řešením, že to neděláte pro každý paket jednotlivě, ale třeba pro více paketů naráz...
To byste pak ty pakety také musel naráz ověřovat. Efektivně jste tím jen zvětšil velikost paketu – a jak jsem psal, to je teoreticky možné. Pořád byste ale potřeboval nějaké jiné bezpečné médium, jak komunikovat s bankou. Proč pak to médium nepoužít pro veškerou komunikaci? Pořád byste minimálně pro navázání spojení přidal latenci v podobě komunikace s bankou. Pořád to znamená, že by banky musely být schopné podepsat online veškerý internetový provoz. Víte, kolik provozu takové Cloudflare odbaví? Nebo Yutube?

Kromě toho, že je to technicky nemožné, by to navíc ani ničemu nepomohlo. Jak už jsem psal – ty DDoS útoky neprovádějí útočníci ze svých zařízení, ale z botnetů. Tedy z napadených zařízení nic netušících uživatelů. Na tom by se nic nezměnilo.Toho, že zaplatil zlomek své měsíční platby navíc, by si nikdo nevšiml.

Asi máte pravdu a je to ptákovina. Hlavní důvod je, že to neřeší ten primární problém - centralizaci. Lepší by bylo, kdyby stránky a aplikace už rovnou byly staženy u vás lokálně (ideálně bez zbytečností jako jsou reklamy) - pak by probíhající DDoS vadil mnohem méně.

"On by tedy byl problém i jen s velikostí podpisu v porovnání s velikostí paketu. Ale to se dá třeba technicky nějak vyřešit, používat větší pakety."

Zvetseni paketu? Ono ani vsechny sitove prvky nedodrzuji velikost co mame dneska. Poslete paket 1024 [B] a nikdy nevite v kolika castech dorazi. A nejlepsi je ze ty casti dorazi v ruznem poradi.

Já vám nechci kazit plány ohledně DDoS ochrany, ale co uděla maximum služeb federovaných, ba dokonce jen peer-to-peer, ano já vím, že jsem s tím otravnej a melu to furt dokola, ale jak uděláte DDoS na lidi, co si píší mezi sebou?

Ten DDoS by musel být asi zrušení všech fyzických připojeních. Když si já přes GNU Jami píši s kamošem, jak mi uděláte DDoS na připojení? Jak by se prováděl DDoS třeba na https://yacy.net/ ?

jak uděláte DDoS na lidi, co si píší mezi sebou?
Většina služeb na internetu ale spočívá v něčem jiném, než že si lidi píšou mezi sebou. Třeba takový Root.cz. Nebo weby hostované u Cloudflare. To všechno je jiný princip služeb, než „lidi si píšou mezi sebou“.