Приветствую !
К сожалению не вариант. Я последнее время все больше замечаю именно совсем маломощные источники, которые при этом еще и меняются. Т.е. слегка усложнить возможно, но полностью отрезать, да еще и чтобы атака не была действенной - не получится, просто маломощных источников будет еще больше.
Вычищать их тоже не вариант, потому что провайдеры поменять рутера всем своим клиентам не смогут, а если и смогут - то на что ? Софт для consumer устройств такое впечатление в основном написан китайскими студентами за еду, и о безопасности там вообще не думают.
Фильтровать dns/ntp/ssdp на абонентах было бы неплохо, но для этого провайдеру с такими источниками в сети нужен стимул, а если со всех его пользователей идет десяток-другой мегабит - то это даже и незаметно, потому что в приличную полосу это будет складываться уже на атакуемом.
Если распределенная система такого типа будет отлавливать подобную мелочь - то провайдер, в нее включившийся, столкнется с жалобами от легальных абонентов, и быстро передумает.
Вот если бы скажем Qrator со своей сканилкой начал еще и автоматические абузы со списками проблемных хостов...но и тогда скорее всего такие абузы просто начнут фильтровать :-)
On 13.10.2015 17:25, Sergey Myasoedov wrote:
Всем привет!
Я получил письмо от участника ENOG, который предлагает к обсуждению идею. Он хотел было поднять вопрос на конференции, но у нас вообще-то еще не было сессии для высказывания мнений (вроде Birds of a Feather - BoF) по вопросу противодействия DDoS. В чем-то предложение наивно, но такой подход не должен быть предметом критики.
==================
Есть распределенная атака. С ней обычно борются на финальной точке, естественно, не справляются. Но зачем боротся с водопадом, когда можно перекрыть краник в начале?
Таким образом нужна система межоператорского взаимодействия (ANTIDDOS), возможно на основе RIPE.
RIPE предпочтителен, ибо к нему есть доверие у самих операторов. Система представляет из себя WEB интерфейс с простеньким софтом, который умеет проверять адреса на принадлежность к оператору и рассылать операторам письма. Операторы заводят в ней аккаунты (защищенные паролями, ключами и т.д.), и оставляют контактные данные.
Таким образом, усмирение атаки сводится к простому алгоритму:
- Атакуемый оператор составляет список атакующих его адресов и загружает в систему.
- Система проверяет принадлежность адресов различным операторам и рассылает им уведомления.
- Операторы, из сети которых ведется атака, получают письма от системы со списком адресов и
перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости проверки своих ПК и т.д.. Все, атака захлебнулась.... =)))
-- Kind regards, Sergey Myasoedov _______________________________________________ discuss mailing list discuss@enog.org http://www.enog.org/mailman/listinfo/discuss