[ENOG discuss] идея/предложение обсудить - систему противодействия DDoS

Sergey Myasoedov sergey at devnull.ru
Tue Oct 13 16:25:50 CEST 2015


Всем привет!

Я получил письмо от участника ENOG, который предлагает к обсуждению идею. Он хотел было поднять 
вопрос на конференции, но у нас вообще-то еще не было сессии для высказывания мнений (вроде Birds of a
Feather - BoF) по вопросу противодействия DDoS.
В чем-то предложение наивно, но такой подход не должен быть предметом критики.


==================

Есть распределенная атака. С ней обычно борются на финальной точке, естественно, не справляются. 
Но зачем боротся с водопадом, когда можно перекрыть краник в начале?

Таким образом нужна система межоператорского взаимодействия (ANTIDDOS), возможно на основе RIPE.

RIPE предпочтителен, ибо к нему есть доверие у самих операторов. Система представляет из себя WEB интерфейс 
с простеньким софтом, который умеет проверять адреса на принадлежность к оператору и рассылать операторам 
письма. Операторы заводят в ней аккаунты (защищенные паролями, ключами и т.д.), и оставляют контактные данные. 

Таким образом, усмирение атаки сводится к простому алгоритму: 
1) Атакуемый оператор составляет список атакующих его адресов и загружает в систему. 
2) Система проверяет принадлежность адресов различным операторам и рассылает им уведомления. 
3) Операторы, из сети которых ведется атака, получают письма от системы со списком адресов и 
перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости проверки своих 
ПК и т.д.. 
Все, атака захлебнулась.... =))) 


--
Kind regards,
Sergey Myasoedov


More information about the discuss mailing list