Всем привет!
Хороший контингент собрался :)
Имхо, раз мы тут собрались и дата центры и операторы, то решать нужно наши проблемы.
Медленные и application layer флуды - это проблемы оконечников, которые в подавляющем большинстве случаев оператор заметить не в силах и они не представляют опасности.
А вот огромные амплификации, юдп флуды со спуфингом и син флуды - могут вывести из игры почти любого, вопрос в деньгах вложенных в реализацию атаки. И их митигация крайне занятный вопрос.
2015-10-13 17:55 GMT+03:00 Крупко Роман Александрович rakrupko@mts.ru:
И если адрес подменён, то это не помогает. А так реализовано большинство DDoS атак.
-----Original Message----- From: Sergey Myasoedov [mailto:sergey@devnull.ru] Sent: Tuesday, October 13, 2015 5:26 PM To: discuss@enog.org Subject: [ENOG discuss] идея/предложение обсудить - систему противодействия DDoS
Всем привет!
Я получил письмо от участника ENOG, который предлагает к обсуждению идею. Он хотел было поднять вопрос на конференции, но у нас вообще-то еще не было сессии для высказывания мнений (вроде Birds of a Feather - BoF) по вопросу противодействия DDoS. В чем-то предложение наивно, но такой подход не должен быть предметом критики.
==================
Есть распределенная атака. С ней обычно борются на финальной точке, естественно, не справляются. Но зачем боротся с водопадом, когда можно перекрыть краник в начале?
Таким образом нужна система межоператорского взаимодействия (ANTIDDOS), возможно на основе RIPE.
RIPE предпочтителен, ибо к нему есть доверие у самих операторов. Система представляет из себя WEB интерфейс с простеньким софтом, который умеет проверять адреса на принадлежность к оператору и рассылать операторам письма. Операторы заводят в ней аккаунты (защищенные паролями, ключами и т.д.), и оставляют контактные данные.
Таким образом, усмирение атаки сводится к простому алгоритму:
- Атакуемый оператор составляет список атакующих его адресов и загружает в систему.
- Система проверяет принадлежность адресов различным операторам и рассылает им уведомления.
- Операторы, из сети которых ведется атака, получают письма от системы со списком адресов и
перекрывают этим адресам доступ в сеть, высылают им уведомления о необходимости проверки своих ПК и т.д.. Все, атака захлебнулась.... =)))
-- Kind regards, Sergey Myasoedov _______________________________________________ discuss mailing list discuss@enog.org http://www.enog.org/mailman/listinfo/discuss _______________________________________________ discuss mailing list discuss@enog.org http://www.enog.org/mailman/listinfo/discuss