Добрый день! On Thu, Feb 28, 2008 at 01:07:17PM +0200, Vladimir Litovka wrote:
Это а) бессмысленно дорого
это не бессмысленно дорого. В случае, если это станет правилом для большинства хотя бы крупных операторов, то все остальные (включая крупных) начнут нести существенно меньшие убытки от атак и получится баш на баш - затраты на безопасность окупятся уменьшением потерь от DoS'ов и пр.
Крупному оператору проще и выгоднее инвестировать в 40G/100G и безболезненно пропускать DDoS через свою сеть, чем строить весокотехнологичные и малопроизводительные cleaning centers. Наращивание производительности даст возможность заодно и увеличить абонентскую базу или повысить "броадбэндность" сервиса :)
одно другого не исключает. дело в том, что наличие 100G опорной сети не избавляет 100Mbps клиента от проблемы атаки на него :) и тут, с моей точки зрения, очевидно, что cleaning center, рассчитанный на отражение атаки, не справится со своей задачей; поэтому cleaning center должен быть рассчитан на работу с источником атаки и находиться в непосредственной близости от него. А это:
- включает в себя как минимум те несколько требований, которые я уже озвучил в предыдущих письмах; - для достижения мало-мальской эффективности должно быть инсталлировано у большинства крупных мировых операторов.
А ведь для нейтрализации источника в непосредственной близости от него cleaning center не нужен. Достаточно просто отключить/зашейпить/etc клиента и сообщить ему о его compromised состоянии. Задача ограничится только детектированием таких клиентов. А тут уже без достаточно точного поведенческого анализа никак. Я очень сомневаюсь, что arbor/lancop/etc сумеет задетектить деятельность одного бота сознательно зарезающего свою пропускную способность 128Kbps/20pps от рядом живущих 256Kbps/40pps клиентов легально отдающих что-то по p2p. Да и масла в огонь подольет еще отсутствие высокопроизводительных реализаций sflow/netflow у вендоров... ;) sampled, не очень устраивает ввиду очень тонкого анализа. -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message