Názory k článku
Za rekordní útok DDoS 29,7 Tb/s může botnet Aisuru
-
Technicky by mne zajímalo, jakým způsobem se dá podobně masivním útokům zabránit.. ideální by bylo použít pro základní komunikaci úplně jiný protokol vzájemně ověřených serverů, které by používaly úplně jiné adresní služby a DNS a IP by pouzivaly v podstatě jako službu pro jiné klienty pres vlastní privátní rozhraní.. A v případě nějakého bezdůvodného náhlého zvýšení traffic bych dynamicky ty požadavky z nejvíce obtěžujících adres prostě posilal na null s nějakým algoritmem zpomaleného průchodu, to znamená, třeba 80% požadavků zahodit a 20 nechat projít..( nebo v dynamickém poměru, čím silnější by byl útok tím méně bych toho nechal prolézt)
Potíž je ale právě v dostatečně silné architektuře která by využívala tento nový protokol, a v tom, aby ho stávající síťové zařízení bylo schopné implementovat bez jakýchkoliv hardwarových změn..🤔 -
Ehm ... ddos se dela treba taky tak, ze si lidi jdou, vsichni najednou, otevrit tentyz web. A takovyhle akce se poradaji i zcela verejne. Zadny adresy ze kterych by prichazel velky traffic neexistujou, staci kdyz si kazdy jednou klipne, v tom mnoztvi neni treba ani nijak peclive synchronizaovat.
A ty sajty si za to ze dostanou razem nalozino z 99% muzou samy.
-
Filip JirsákStříbrný podporovatelJenom technicky to nejde. Řešení je legislativní+technické. Legislativní – provozovatel bude odpovědný za provoz, který jeho zařízení generuje. Technické – ostatní nepustíme do sítě, kde se tato legislativa uplatňuje, nebo jen s výrazným omezením a filtrací.
Otázka je jen to, jak dlouho bude trvat, než se k něčemu takovému dospěje – a zda to bude evoluční řešení, nebo se to začne řešit až po nějakém fakt velkém průšvihu.
-
DannyStříbrný podporovatelTo je samozrejme dost osemetne. Provozovane zarizeni je casto vybaveno software, ktery nema uzivatel tak uplne pod kontrolou. A soucasne plati, ze software obsahuje spoustu chyb. Hazet odpovednost jen na provozovatele je takove chucpe - tu odpovednost by mel (spolu)nest take tvurce software. Provozovatel by mel byt odpovedny jen v situaci, kdy nema nainstalovane dostupne aktualizace. Ale nemel by v zadnem pripade nest odpovednost za chyby, ktere tam nasekal nekdo treti.
-
Filip JirsákStříbrný podporovatel
Psal jsem to jinde, nechtěl jsem to tady rozvádět – provozovatel zařízení by se ze své zodpovědnosti mohl „vyvléknout“ tak, že by používal výrobcem podporované a homologované zařízení v souladu s návodem. Pak by šla odpovědnost za výrobcem.
-
DannyStříbrný podporovatel
Tady to nepisete, tady pisete vylucne o provozovateli. Co pisete jinde je irelevantni, pokud si to v jine diskuzi "usnadnite" a odpovednost chcete jen po provozovatelich a nikoliv po tech vyrobcich/vyvojarich.
A osemetne je to i z dalsiho uhlu pohledu - efektivne tim "napadem" na regulaci muzete zabit cely opensource svet - aneb kolik vyvojaru ochotnych nest take odpovednost sezenete? :-)
Ono jen na vyrobce to taky hodit nejde, zvlast pokud se bavime o vecech na opensource postavenych. Aneb zdanlive jednoduche reseni v praxi uplne jednoduche nebude a "teoreticti regulatori" dost casto dusledky svych napadu nedomysli, zeano...
-
Filip JirsákStříbrný podporovatel
Nepovažoval jsem za nutné rozepisovat detaily, které si může každý inteligentní čtenář domyslet sám. Ono totiž tu odpovědnost výrobce lze řešit i čistě soukromoprávně – ať už přímo zárukou výrobce, nebo pojištěním.
O vývojářích jsem nic nepsal.
To, že by Asus musel do specifikace svých routerů napsat, kolik let k nim bude poskytovat podporu, by samozřejmě zabilo celý opensource svět. A také všechna koťátka.
Nikde jsem nepsal, že je to jednoduché řešení. Ale je to jediné řešení, pokud chceme zachovat svobodu internetu a ne ho odevzdat pár velkým korporacím.
-
DannyStříbrný podporovatel
Bavime se o odpovednosti za chyby zarizeni. Vy jste napsal "provozovatel bude odpovědný za provoz, který jeho zařízení generuje". Ted se zbabele vykrucujete - ono to ani nikterak nesouvisi s tim, jak dlouhou podporu vyrobce formalne deklaruje, ba z toho ani nevyplyva zadna odpovednost vyrobce. Definice provozovatele je pomerne exaktni. Jenze ono dost dobre nejde na provozovatele (v duchu toho vaseho hloupeho napadu) proste a jednoduse hodit. To, ze budu mit zarizeni plne opatchovane neni zarukou toho, ze nebude generovat zavadny provoz.
Ono i kdyz nekdo prijde na zranitelnost, tak to samo o sobe neimplikuje, ze tuto nahlasi tvurcum software a tato se opravi. Takto by fungoval idealni svet, jenze on ten realny funguje obcas jinak a neopravene nenahlasene zranitelnosti jsou i byznysovy artikl. A zakazniky jsou mimo jine ruzne represivni slozky statu, zeano.
A koho teda chcete plisnit v situaci, kdy treba takova cinska rozvedka zneuzije zranitelnost ve vasem zarizeni, o ktere vyrobce ani nevedel - protoze se Cinani o tom ani neobtezovali komukoliv rict? Ale myslim ze nam na tuto jednoduchou otazku neodpovite a zas se budete kroutit jak paragraf :-) Ostatne jako pokazde, kdyz nejak omlouvate chyby vyvojaru - o nich to totiz mnohdy je. Tvurci software si tak nejak navykli "za nic moc nerucit", zeano.
-
Filip JirsákStříbrný podporovatel
Nepsal jsem nic o tom, že by se to na provozovatele hodilo. Pokud je zařízení koupené v EU a homologované, nese odpovědnost prodejce/výrobce, pokud je zařízení provozováno v souladu s návodem (tj. včetně třeba časového omezení podpory). Pokud si někdo něco doveze sám nebo to provozuje v rozporu s návodem, bude za to sám nést odpovědnost. A celé by to fungovalo normálně, tak, jako to funguje ve všech ostatních případech – tj. pokud to bude útok čínské rozvědky proti chybě, o které ani výrobce nevěděl a nemusel vědět, byl by to zásah vyšší moci. Funguje to tak se zodpovědností za jiné věci, za zvířata, není důvod, proč by to nefungovalo pro internetová zařízení.
A protože půlka vašeho komentáře jsou zase nesmyslné útoky a výmysly, jak je vaším zvykem, končíme.
-
DannyStříbrný podporovatel
Vy uz dokonce popirate sam sebe :) Takze konstatovani, ze "provozovatel bude odpovědný za provoz, který jeho zařízení generuje" jsem si nakonec vymyslel ja? :-) To, ze jste dodatecne zacal doplnovat sva "kdyby" na tom vyroku vubec nic nemeni.
Inu vyvojar, co sam za nic odpovidat nechce se ve vas nezapre :-) Proste to chcete hazet hlavne na provozovatele, ale o odpovednosti sve (coby vyvojare) slyset nechcete.
-
Filip JirsákStříbrný podporovatel
Danny: Víte co, už mne to vaše soustavné trollení nebaví. Zjevně je zbytečné odpovídat na věcné části vašich komentářů, protože je to pro vás stejně jen záminky k trollení.
-
DannyStříbrný podporovatel
Zajiste, kdyz se poukaze na to ze placate nesmysly (ta vase teze "provozovatel bude odpovědný za provoz, který jeho zařízení generuje"), tak je podle vas automaticky troll :-) Ale pritom jen nedokazete priznat, ze ta vase teze neni tak jednoducha, s jakou jste sem prvotne napochodoval.
-
Potřeboval byste k tomu doplňující výkon na analýzu a akci v reálném čase, což by byly peníze navíc, které nemáte. Výsledek by zákazník zatím neocenil (dobrovolně by nepřiplatil).
Řeší se to proto ad-hoc blokováním na hraničních routerech s minimální logikou a spoluprací mezí providery (národní i nadnárodní).
-
"nejvíce obtěžujících adres": Tenhle botnet má mít miliony zařízení (dle Cloudflare). Takže i pár dotazů za minutu z každého je provoz, se kterým se málokterá síť vyrovná.
Dlouhodobě to tedy vidím spíš na nějaká drastičtější řešení, jak zmíněno v jiných komentářích tady. Třeba se budou budovat reputační databáze adres, které je lepší blokovat na nízké úrovni (asi blackhole routing). A to bude i tlačit na zvýšení ochrany před malwarem, protože se na takové databáze nebude chtít nikdo dostat. Ono bude mnohým jako motivace stačit, pokud jim tam nepojede Cloudflare.
6. 12. 2025, 10:04 editováno autorem komentáře
-
DannyStříbrný podporovatel
Blackhole routing ve vetsim meritku neni reseni, ktere by zrovna skalovalo - jednoduse proto, ze specializovane pameti routeru nejsou uplne nafukovaci. A samozrejme, pokud se bavime o HW resenich, pak programovani stovek tisic zaznamu do HW take neni operace, ktera by byla na lusknuti prstu.
Plus tu mame incidenty typu Italie, kde se do "reputacni" blackohole databaze dostal i GoogleDrive. Problematicka tady muze byt obecne snaha mit podobne veci automatizovane, kdy se ve vysledku s vanickou vyleje i dite... v tomto ohledu muze byt problematicka i eventuelni snaha o agregaci jednotivych IP do vetsich subnetu, aby se to to teda vlezlo do HW (ad vyse).
