On Tue, Oct 13, 2015 at 05:53:22PM +0300, Andrey Korolyov wrote:
2015-10-13 17:25 GMT+03:00 Sergey Myasoedov sergey@devnull.ru:
Всем привет!
Я получил письмо от участника ENOG, который предлагает к обсуждению идею. Он хотел было поднять вопрос на конференции, но у нас вообще-то еще не было сессии для высказывания мнений (вроде Birds of a Feather - BoF) по вопросу противодействия DDoS. В чем-то предложение наивно, но такой подход не должен быть предметом критики.
==================
Есть распределенная атака. С ней обычно борются на финальной точке, естественно, не справляются. Но зачем боротся с водопадом, когда можно перекрыть краник в начале?
Таким образом нужна система межоператорского взаимодействия (ANTIDDOS), возможно на основе RIPE.
RIPE предпочтителен, ибо к нему есть доверие у самих операторов. Система представляет из себя WEB интерфейс с простеньким софтом, который умеет проверять адреса на принадлежность к оператору и рассылать операторам письма. Операторы заводят в ней аккаунты (защищенные паролями, ключами и т.д.), и оставляют контактные данные.
Таким образом, усмирение атаки сводится к простому алгоритму:
- Атакуемый оператор составляет список атакующих его адресов и загружает в систему.
- Система проверяет принадлежность адресов различным операторам и рассылает им уведомления.
- Операторы, из сети которых ведется атака, получают письма от системы со списком адресов и
перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости проверки своих ПК и т.д.. Все, атака захлебнулась.... =)))
Добрый день,
есть несколько моментов:
- много маломощных источников (1...50к),
- спуф,
- невозможность полного отсечения трафика вкупе с хоть какой-то
ненулевой сложностью атаки,
- участие не-подавляющей доли операторов в инициативе (иными словами,
необязательным порядком) сведет пользу в ноль.
DNS/NTP amp, при условии тотального внедрения, эта система через пару лет наверное отбивать сможет. Без системы распределенного анализа
NTP amplification - может быть, но не DNS amplification.
Поясню на примере вашего xdel.ru: DNS-сервер, на который делегирована эта зона, корректно выдаёт 383 байтовый ответ на 53 байтовый запрос:
18:03:36.377293 IP (tos 0x0, ttl 64, id 61177, offset 0, flags [none], proto UDP (17), length 53, bad cksum 0 (->276b)!) 185.22.182.36.46527 > 185.22.60.2.53: 1348+ ANY? xdel.ru. (25) 18:03:36.389180 IP (tos 0x0, ttl 61, id 10114, offset 0, flags [none], proto UDP (17), length 383) 185.22.60.2.53 > 185.22.182.36.46527: 1348*- 11/0/0 xdel.ru. SOA nsu0.flops.ru. hostmaster.xdel.ru. 2015060500 86400 7200 2419200 900, xdel.ru. NS nsu0.flops.ru., xdel.ru. NS nsu1.flops.ru., xdel.ru. NS nsu2.flops.ru., xdel.ru. A 91.239.27.205, xdel.ru. MX aspmx3.googlemail.com. 10, xdel.ru. MX alt2.aspmx.l.google.com. 5, xdel.ru. MX aspmx.l.google.com. 1, xdel.ru. MX aspmx2.googlemail.com. 10, xdel.ru. MX alt1.aspmx.l.google.com. 5, xdel.ru. TXT "v=spf1 +a +mx ip4:91.239.27.205/32 include:google.com -all" (355)
amplification, конечно, так себе, всего семь к одному... Но доменов в мире очень много, и уже по enog.org удаётся получить почти десять к одному:
18:10:15.529857 IP (tos 0x0, ttl 64, id 46731, offset 0, flags [none], proto UDP (17), length 54, bad cksum 0 (->8ce7)!) 185.22.182.36.57524 > 199.212.0.53.53: 61350+ ANY? enog.org. (26) 18:10:15.662731 IP (tos 0x0, ttl 248, id 50285, offset 0, flags [DF], proto UDP (17), length 518) 199.212.0.53.53 > 185.22.182.36.57524: 61350*-| 2/0/0 enog.org. RRSIG, enog.org. RRSIG (490)
наподобие существующего в Radware и, соответственно, активных участников, являющихся одновременно игроками операторского рынка и разработчиками, опять же, очень сильные сомнения в жизнеспособности такого решения. _______________________________________________ discuss mailing list discuss@enog.org http://www.enog.org/mailman/listinfo/discuss