On Tue, Oct 13, 2015 at 05:53:22PM +0300, Andrey Korolyov wrote:
> 2015-10-13 17:25 GMT+03:00 Sergey Myasoedov <[email protected]>:
> > Всем привет!
> >
> > Я получил письмо от участника ENOG, который предлагает к обсуждению идею.
> > Он хотел было поднять
> > вопрос на конференции, но у нас вообще-то еще не было сессии для
> > высказывания мнений (вроде Birds of a
> > Feather - BoF) по вопросу противодействия DDoS.
> > В чем-то предложение наивно, но такой подход не должен быть предметом
> > критики.
> >
> >
> > ==================
> >
> > Есть распределенная атака. С ней обычно борются на финальной точке,
> > естественно, не справляются.
> > Но зачем боротся с водопадом, когда можно перекрыть краник в начале?
> >
> > Таким образом нужна система межоператорского взаимодействия (ANTIDDOS),
> > возможно на основе RIPE.
> >
> > RIPE предпочтителен, ибо к нему есть доверие у самих операторов. Система
> > представляет из себя WEB интерфейс
> > с простеньким софтом, который умеет проверять адреса на принадлежность к
> > оператору и рассылать операторам
> > письма. Операторы заводят в ней аккаунты (защищенные паролями, ключами и
> > т.д.), и оставляют контактные данные.
> >
> > Таким образом, усмирение атаки сводится к простому алгоритму:
> > 1) Атакуемый оператор составляет список атакующих его адресов и загружает в
> > систему.
> > 2) Система проверяет принадлежность адресов различным операторам и
> > рассылает им уведомления.
> > 3) Операторы, из сети которых ведется атака, получают письма от системы со
> > списком адресов и
> > перекрывают этим адресам доступ в сеть, высылают им уведомления о
> > необходимости проверки своих
> > ПК и т.д..
> > Все, атака захлебнулась.... =)))
> >
>
>
> Добрый день,
>
> есть несколько моментов:
> - много маломощных источников (1...50к),
> - спуф,
> - невозможность полного отсечения трафика вкупе с хоть какой-то
> ненулевой сложностью атаки,
> - участие не-подавляющей доли операторов в инициативе (иными словами,
> необязательным порядком) сведет пользу в ноль.
>
> DNS/NTP amp, при условии тотального внедрения, эта система через пару
> лет наверное отбивать сможет. Без системы распределенного анализа
NTP amplification - может быть, но не DNS amplification.
Поясню на примере вашего xdel.ru: DNS-сервер, на который делегирована
эта зона, корректно выдаёт 383 байтовый ответ на 53 байтовый запрос:
18:03:36.377293 IP (tos 0x0, ttl 64, id 61177, offset 0, flags [none], proto
UDP (17), length 53, bad cksum 0 (->276b)!)
185.22.182.36.46527 > 185.22.60.2.53: 1348+ ANY? xdel.ru. (25)
18:03:36.389180 IP (tos 0x0, ttl 61, id 10114, offset 0, flags [none], proto
UDP (17), length 383)
185.22.60.2.53 > 185.22.182.36.46527: 1348*- 11/0/0 xdel.ru. SOA
nsu0.flops.ru. hostmaster.xdel.ru. 2015060500 86400 7200 2419200 900, xdel.ru.
NS nsu0.flops.ru., xdel.ru. NS nsu1.flops.ru., xdel.ru. NS nsu2.flops.ru.,
xdel.ru. A 91.239.27.205, xdel.ru. MX aspmx3.googlemail.com. 10, xdel.ru. MX
alt2.aspmx.l.google.com. 5, xdel.ru. MX aspmx.l.google.com. 1, xdel.ru. MX
aspmx2.googlemail.com. 10, xdel.ru. MX alt1.aspmx.l.google.com. 5, xdel.ru. TXT
"v=spf1 +a +mx ip4:91.239.27.205/32 include:google.com -all" (355)
amplification, конечно, так себе, всего семь к одному... Но доменов
в мире очень много, и уже по enog.org удаётся получить почти десять
к одному:
18:10:15.529857 IP (tos 0x0, ttl 64, id 46731, offset 0, flags [none], proto
UDP (17), length 54, bad cksum 0 (->8ce7)!)
185.22.182.36.57524 > 199.212.0.53.53: 61350+ ANY? enog.org. (26)
18:10:15.662731 IP (tos 0x0, ttl 248, id 50285, offset 0, flags [DF], proto UDP
(17), length 518)
199.212.0.53.53 > 185.22.182.36.57524: 61350*-| 2/0/0 enog.org. RRSIG,
enog.org. RRSIG (490)
> наподобие существующего в Radware и, соответственно, активных
> участников, являющихся одновременно игроками операторского рынка и
> разработчиками, опять же, очень сильные сомнения в жизнеспособности
> такого решения.
> _______________________________________________
> discuss mailing list
> [email protected]
> http://www.enog.org/mailman/listinfo/discuss
_______________________________________________
discuss mailing list
[email protected]
http://www.enog.org/mailman/listinfo/discuss
