[uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?

Andrew Stesin wrote:

2008/2/27, Valentin Nechayev :

...

Вооот. А почему так получается? - потому что у кого-то есть возможность скомандовать сотне тысяч тазиков каждому отдать по совершенно незаметной сотне килобит на один конкретный адрес...

Коллеги, а что кто знает и может сказать (как теоретически, так и практически) об активной защите от DDoS?

Идея примерно такая: засекаем задействованную в ботнете машину, и выписываем ей обратку (теми же методами, что и исходный троян) от которой она умирает и перестает ддосить.

Повторяем нужное количество сотен тысяч раз до полного удовлетворения.

Это кстати меня натолкнуло на другую идею. Простой вариант. Выделяем сервису /24 . Настраиваем dns так, чтобы он разным /8 выдавал разный ip с этого диапазона. Тем самым в случае появления DDoS мы, по первых, может заблекхолить только те ip, на которые идет DDoS, во вторых по этому ip определить из какой сети на самом деле идет DDoS (с точностью до DNS сервера компа, с которого идет DDoS), причем не просто определять, а выдавать ему через dns кой-нибудт 127.x.x.x. Недостатки очевидны: большой расход ip адресов (правда IPv6 не за горами ;) ) и слабая локализация: рубим с плеча по /8, как завещали Вендоры. Поэтому Сложный вариант. Используем SRV записи: портов у нас много, хватит на всех. Тут я вижу два недостатка: провайдеры сейчас блекхолят только по ip, и далеко не все сервисы сейчас умеют SRV. -- Mykola Dzham, LEFT-(UANIC|RIPE) JID: levsha@jabber.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message