[ENOG discuss] идея/предложение обсудить - систему противодействия DDoS

Stepan Kucherenko twh at megagroup.ru
Wed Oct 14 11:20:19 CEST 2015


On 14.10.2015 11:03, Pavel Odintsov wrote:
> Люто двачую за рейт лимитинг амплифицирующих портов от клиентов и жму руку.
> 
> Это очень эффективный и при этом недеструктивный способ сокращения 
> потоков зловредного трафика летящих из сетей.
> 
> Аналогичный подход можно использовать и для входящего трафика, чтобы не 
> заливать уровень аксеса гигабитами паразитного трафика.

Ограничили на доступе клиенту мегабит исходящего dns/ntp/ssdp трафика, на выходе вылилась сотня-две мегабит, на входе атакуемому все равно десятки гигабит, потому что провайдер не один. Ботнеты щас весьма развесистые, куда той клюкве.

Поможет, но только против самых бакланистых ддосеров с парой подломанных машин.


On 14.10.2015 08:30, Sergey Afonin wrote:
> Вот потому и отключать, что, во-первых, пониженная скорость не
> спасёт жертву (когда атака будет идти с сотен и тысяч хостов,
> они сделают плохо и на маленькой скорости), а, во-вторых, многие
> просто не будут торопиться что-от делать.


Вот именно поэтому.

On 14.10.2015 11:04, Валерий Солдатов wrote:
> Антиспуф контролировать несложно, а польза от него большая.

On 14.10.2015 11:05, Sergey Myasoedov wrote:
> BCP38/BCP84 - это не война с абонентами, это гигиена в собственной сети.


Сильно зависит от реализации. Если спуфленые пакеты фильтровать еще на доступе - то да, польза большая. А если просто на выходе из своей сети дропать пакеты с не своим src - то тогда просто спуф пойдет по всему адресному пространству этого оператора, я такое уже встречал.

On 14.10.2015 11:16, Але wrote:
> На мой взгляд, самое простое и в то же время эффективное решение - настройка сигнатур на стороне провайдерских/датацентровских IDS для исходящего трафика.

Любые stateful устройства не масштабируются на более-менее крупных обьемах трафика, а маленькие и не заметят. Анализ sflow помогает, но только уже когда обьемы достаточно заметны.





Вообще самая лучшая защита от ддоса - это некомпетентность ддосеров, в 95% случаев при наличии грамотных специалистов и подготовленной реакции ддосы не являются такой уж огромной проблемой. Но в оставшихся 5% случаев простых решений нет и, боюсь, принципиально быть не может. Или почти во всех случаях, если к этому не готовились заранее.


Вместе с тем я полностью поддерживаю идею лучшей связности между NOC-ами и удивляюсь, почему RIR-ы еще не обязывают LIR-ов иметь обязательный зарегистрированный канал связи с другими LIR-ами с гарантированным ответом. Периодически появляются идеи на тему "а как бы сделать так, чтобы абузы читали, и noc отвечал", но пока это не будет обязаловкой для всех LIR-ов - не взлетит.


More information about the discuss mailing list