On Wed, May 18, 2005 at 01:16:56PM +0200, Vladimir Litovka (vlitovka) wrote:
руки + время = однозначно родят :) вопрос лишь в том, что нужен статистический анализатор трафика, а не только анализ заголовков. Потому существующий тулзятник никак не поможет.
Вызывает у меня сомнения, что любой статистический анализатор трафика в случае грамотно организованной DDoS поможет хоть чем нибудь кроме дропа именно тех connects, которые так нужны.
ну, так или иначе, но Guard работает :) И это не единственная подобная разработка, так что метод в целом апробирован и функционирует.
Блокируя connections с адресов, с которых был единственный запрос на сервис? Тогда смысл? Или блокируя connections, с которых был не единственный запрос на сервис? Ну так в случае грамотной DDoS ее самым важным элементом будет именно используемый Guard, который сделает за атакующего именно то, что ему нужно - блокирует доступ к сервису вполне себе легальным кастомерам. А в случае пионеров - да, пожалуй он может помочь. Да только вымирают они, пионеры эти, в жестоком мире Internet.
или кооперация с другими операторами (в идеале - со всеми в мире) для обнаружения и фильтрации зомбированных компьютеров.
в таком случае неплохо бы начать во всем мире с uRPF :) Количество атак _на какое-то время_ резко уменьшится. Потом - если бы потребители согласились ставить на своих компах агентов, которые отслеживают activity на компе и пресекают не разрешенную по полиси (например, предупреждает о том, что некий файл (и часто это червь), который был скачан из Интернет, пытается быть запущенным - разрешать или не надо? тыкаешь - на фиг и чувствуешь себя прекрасно). Как пример такой тулзы - Cisco Security Agent - работает вполне эффективно. Ну то есть если бы все юзеры были бы подкованы технически и дисциплинированы... ну вы меня поняли - "если был бы х.. у бабушки, она бы дедушкой была" :)
Чего-то последняя сентенция потерялась в столь длинной строке без переносов :)
/doka
-- NO37-RIPE