[ENOG discuss] идея/предложение обсудить - систему противодействия DDoS

Stepan Kucherenko twh at megagroup.ru
Tue Oct 13 17:41:09 CEST 2015


Приветствую !

К сожалению не вариант. Я последнее время все больше замечаю именно 
совсем маломощные источники, которые при этом еще и меняются. Т.е. 
слегка усложнить возможно, но полностью отрезать, да еще и чтобы атака 
не была действенной - не получится, просто маломощных источников будет 
еще больше.

Вычищать их тоже не вариант, потому что провайдеры поменять рутера всем 
своим клиентам не смогут, а если и смогут - то на что ? Софт для 
consumer устройств такое впечатление в основном написан китайскими 
студентами за еду, и о безопасности там вообще не думают.

Фильтровать dns/ntp/ssdp на абонентах было бы неплохо, но для этого 
провайдеру с такими источниками в сети нужен стимул, а если со всех его 
пользователей идет десяток-другой мегабит - то это даже и незаметно, 
потому что в приличную полосу это будет складываться уже на атакуемом.

Если распределенная система такого типа будет отлавливать подобную 
мелочь - то провайдер, в нее включившийся, столкнется с жалобами от 
легальных абонентов, и быстро передумает.



Вот если бы скажем Qrator со своей сканилкой начал еще и автоматические 
абузы со списками проблемных хостов...но и тогда скорее всего такие 
абузы просто начнут фильтровать :-)


On 13.10.2015 17:25, Sergey Myasoedov wrote:
> Всем привет!
>
> Я получил письмо от участника ENOG, который предлагает к обсуждению идею. Он хотел было поднять
> вопрос на конференции, но у нас вообще-то еще не было сессии для высказывания мнений (вроде Birds of a
> Feather - BoF) по вопросу противодействия DDoS.
> В чем-то предложение наивно, но такой подход не должен быть предметом критики.
>
>
> ==================
>
> Есть распределенная атака. С ней обычно борются на финальной точке, естественно, не справляются.
> Но зачем боротся с водопадом, когда можно перекрыть краник в начале?
>
> Таким образом нужна система межоператорского взаимодействия (ANTIDDOS), возможно на основе RIPE.
>
> RIPE предпочтителен, ибо к нему есть доверие у самих операторов. Система представляет из себя WEB интерфейс
> с простеньким софтом, который умеет проверять адреса на принадлежность к оператору и рассылать операторам
> письма. Операторы заводят в ней аккаунты (защищенные паролями, ключами и т.д.), и оставляют контактные данные.
>
> Таким образом, усмирение атаки сводится к простому алгоритму:
> 1) Атакуемый оператор составляет список атакующих его адресов и загружает в систему.
> 2) Система проверяет принадлежность адресов различным операторам и рассылает им уведомления.
> 3) Операторы, из сети которых ведется атака, получают письма от системы со списком адресов и
> перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости проверки своих
> ПК и т.д..
> Все, атака захлебнулась.... =)))
>
>
> --
> Kind regards,
> Sergey Myasoedov
> _______________________________________________
> discuss mailing list
> discuss at enog.org
> http://www.enog.org/mailman/listinfo/discuss
>


More information about the discuss mailing list