[ENOG discuss] идея/предложение обсудить - систему противодействия DDoS

Alexandre Snarskii snar at snar.spb.ru
Tue Oct 13 17:12:29 CEST 2015


On Tue, Oct 13, 2015 at 05:53:22PM +0300, Andrey Korolyov wrote:
> 2015-10-13 17:25 GMT+03:00 Sergey Myasoedov <sergey at devnull.ru>:
> > Всем привет!
> >
> > Я получил письмо от участника ENOG, который предлагает к обсуждению идею. Он хотел было поднять
> > вопрос на конференции, но у нас вообще-то еще не было сессии для высказывания мнений (вроде Birds of a
> > Feather - BoF) по вопросу противодействия DDoS.
> > В чем-то предложение наивно, но такой подход не должен быть предметом критики.
> >
> >
> > ==================
> >
> > Есть распределенная атака. С ней обычно борются на финальной точке, естественно, не справляются.
> > Но зачем боротся с водопадом, когда можно перекрыть краник в начале?
> >
> > Таким образом нужна система межоператорского взаимодействия (ANTIDDOS), возможно на основе RIPE.
> >
> > RIPE предпочтителен, ибо к нему есть доверие у самих операторов. Система представляет из себя WEB интерфейс
> > с простеньким софтом, который умеет проверять адреса на принадлежность к оператору и рассылать операторам
> > письма. Операторы заводят в ней аккаунты (защищенные паролями, ключами и т.д.), и оставляют контактные данные.
> >
> > Таким образом, усмирение атаки сводится к простому алгоритму:
> > 1) Атакуемый оператор составляет список атакующих его адресов и загружает в систему.
> > 2) Система проверяет принадлежность адресов различным операторам и рассылает им уведомления.
> > 3) Операторы, из сети которых ведется атака, получают письма от системы со списком адресов и
> > перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости проверки своих
> > ПК и т.д..
> > Все, атака захлебнулась.... =)))
> >
> 
> 
> Добрый день,
> 
> есть несколько моментов:
> - много маломощных источников (1...50к),
> - спуф,
> - невозможность полного отсечения трафика вкупе с хоть какой-то
> ненулевой сложностью атаки,
> - участие не-подавляющей доли операторов в инициативе (иными словами,
> необязательным порядком) сведет пользу в ноль.
> 
> DNS/NTP amp, при условии тотального внедрения, эта система через пару
> лет наверное отбивать сможет. Без системы распределенного анализа

NTP amplification - может быть, но не DNS amplification. 

Поясню на примере вашего xdel.ru: DNS-сервер, на который делегирована
эта зона, корректно выдаёт 383 байтовый ответ на 53 байтовый запрос: 

18:03:36.377293 IP (tos 0x0, ttl 64, id 61177, offset 0, flags [none], proto UDP (17), length 53, bad cksum 0 (->276b)!)
    185.22.182.36.46527 > 185.22.60.2.53: 1348+ ANY? xdel.ru. (25)
18:03:36.389180 IP (tos 0x0, ttl 61, id 10114, offset 0, flags [none], proto UDP (17), length 383)
    185.22.60.2.53 > 185.22.182.36.46527: 1348*- 11/0/0 xdel.ru. SOA nsu0.flops.ru. hostmaster.xdel.ru. 2015060500 86400 7200 2419200 900, xdel.ru. NS nsu0.flops.ru., xdel.ru. NS nsu1.flops.ru., xdel.ru. NS nsu2.flops.ru., xdel.ru. A 91.239.27.205, xdel.ru. MX aspmx3.googlemail.com. 10, xdel.ru. MX alt2.aspmx.l.google.com. 5, xdel.ru. MX aspmx.l.google.com. 1, xdel.ru. MX aspmx2.googlemail.com. 10, xdel.ru. MX alt1.aspmx.l.google.com. 5, xdel.ru. TXT "v=spf1 +a +mx ip4:91.239.27.205/32 include:google.com -all" (355)

amplification, конечно, так себе, всего семь к одному... Но доменов
в мире очень много, и уже по enog.org удаётся получить почти десять 
к одному:

18:10:15.529857 IP (tos 0x0, ttl 64, id 46731, offset 0, flags [none], proto UDP (17), length 54, bad cksum 0 (->8ce7)!)
    185.22.182.36.57524 > 199.212.0.53.53: 61350+ ANY? enog.org. (26)
18:10:15.662731 IP (tos 0x0, ttl 248, id 50285, offset 0, flags [DF], proto UDP (17), length 518)
    199.212.0.53.53 > 185.22.182.36.57524: 61350*-| 2/0/0 enog.org. RRSIG, enog.org. RRSIG (490)


> наподобие существующего в Radware и, соответственно, активных
> участников, являющихся одновременно игроками операторского рынка и
> разработчиками, опять же, очень сильные сомнения в жизнеспособности
> такого решения.
> _______________________________________________
> discuss mailing list
> discuss at enog.org
> http://www.enog.org/mailman/listinfo/discuss




More information about the discuss mailing list