2015-10-13 17:25 GMT+03:00 Sergey Myasoedov <[email protected]>: > Всем привет! > > Я получил письмо от участника ENOG, который предлагает к обсуждению идею. Он > хотел было поднять > вопрос на конференции, но у нас вообще-то еще не было сессии для высказывания > мнений (вроде Birds of a > Feather - BoF) по вопросу противодействия DDoS. > В чем-то предложение наивно, но такой подход не должен быть предметом критики. > > > ================== > > Есть распределенная атака. С ней обычно борются на финальной точке, > естественно, не справляются. > Но зачем боротся с водопадом, когда можно перекрыть краник в начале? > > Таким образом нужна система межоператорского взаимодействия (ANTIDDOS), > возможно на основе RIPE. > > RIPE предпочтителен, ибо к нему есть доверие у самих операторов. Система > представляет из себя WEB интерфейс > с простеньким софтом, который умеет проверять адреса на принадлежность к > оператору и рассылать операторам > письма. Операторы заводят в ней аккаунты (защищенные паролями, ключами и > т.д.), и оставляют контактные данные. > > Таким образом, усмирение атаки сводится к простому алгоритму: > 1) Атакуемый оператор составляет список атакующих его адресов и загружает в > систему. > 2) Система проверяет принадлежность адресов различным операторам и рассылает > им уведомления. > 3) Операторы, из сети которых ведется атака, получают письма от системы со > списком адресов и > перекрывают этим адресам доступ в сеть, высылают им уведомления о > необходимости проверки своих > ПК и т.д.. > Все, атака захлебнулась.... =))) >
Добрый день, есть несколько моментов: - много маломощных источников (1...50к), - спуф, - невозможность полного отсечения трафика вкупе с хоть какой-то ненулевой сложностью атаки, - участие не-подавляющей доли операторов в инициативе (иными словами, необязательным порядком) сведет пользу в ноль. DNS/NTP amp, при условии тотального внедрения, эта система через пару лет наверное отбивать сможет. Без системы распределенного анализа наподобие существующего в Radware и, соответственно, активных участников, являющихся одновременно игроками операторского рынка и разработчиками, опять же, очень сильные сомнения в жизнеспособности такого решения. _______________________________________________ discuss mailing list [email protected] http://www.enog.org/mailman/listinfo/discuss
