Приветствую !
К сожалению не вариант. Я последнее время все больше замечаю именно
совсем маломощные источники, которые при этом еще и меняются. Т.е.
слегка усложнить возможно, но полностью отрезать, да еще и чтобы атака
не была действенной - не получится, просто маломощных источников будет
еще больше.
Вычищать их тоже не вариант, потому что провайдеры поменять рутера всем
своим клиентам не смогут, а если и смогут - то на что ? Софт для
consumer устройств такое впечатление в основном написан китайскими
студентами за еду, и о безопасности там вообще не думают.
Фильтровать dns/ntp/ssdp на абонентах было бы неплохо, но для этого
провайдеру с такими источниками в сети нужен стимул, а если со всех его
пользователей идет десяток-другой мегабит - то это даже и незаметно,
потому что в приличную полосу это будет складываться уже на атакуемом.
Если распределенная система такого типа будет отлавливать подобную
мелочь - то провайдер, в нее включившийся, столкнется с жалобами от
легальных абонентов, и быстро передумает.
Вот если бы скажем Qrator со своей сканилкой начал еще и автоматические
абузы со списками проблемных хостов...но и тогда скорее всего такие
абузы просто начнут фильтровать :-)
On 13.10.2015 17:25, Sergey Myasoedov wrote:
Всем привет!
Я получил письмо от участника ENOG, который предлагает к обсуждению идею. Он
хотел было поднять
вопрос на конференции, но у нас вообще-то еще не было сессии для высказывания
мнений (вроде Birds of a
Feather - BoF) по вопросу противодействия DDoS.
В чем-то предложение наивно, но такой подход не должен быть предметом критики.
==================
Есть распределенная атака. С ней обычно борются на финальной точке,
естественно, не справляются.
Но зачем боротся с водопадом, когда можно перекрыть краник в начале?
Таким образом нужна система межоператорского взаимодействия (ANTIDDOS),
возможно на основе RIPE.
RIPE предпочтителен, ибо к нему есть доверие у самих операторов. Система
представляет из себя WEB интерфейс
с простеньким софтом, который умеет проверять адреса на принадлежность к
оператору и рассылать операторам
письма. Операторы заводят в ней аккаунты (защищенные паролями, ключами и т.д.),
и оставляют контактные данные.
Таким образом, усмирение атаки сводится к простому алгоритму:
1) Атакуемый оператор составляет список атакующих его адресов и загружает в
систему.
2) Система проверяет принадлежность адресов различным операторам и рассылает им
уведомления.
3) Операторы, из сети которых ведется атака, получают письма от системы со
списком адресов и
перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости
проверки своих
ПК и т.д..
Все, атака захлебнулась.... =)))
--
Kind regards,
Sergey Myasoedov
_______________________________________________
discuss mailing list
[email protected]
http://www.enog.org/mailman/listinfo/discuss
_______________________________________________
discuss mailing list
[email protected]
http://www.enog.org/mailman/listinfo/discuss
