Thu, Feb 28, 2008 at 10:30:14, stesin wrote about "[uanog] Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":
Вооот. А почему так получается? - потому что у кого-то есть возможность скомандовать сотне тысяч тазиков каждому отдать по совершенно незаметной сотне килобит на один конкретный адрес... Коллеги, а что кто знает и может сказать (как теоретически, так и практически) об активной защите от DDoS? Идея примерно такая: засекаем задействованную в ботнете машину, и выписываем ей обратку (теми же методами, что и исходный троян) от которой она умирает и перестает ддосить.
Ну давай подумаем. Итак, у нас есть небольшой ботнет на 1000 машин. Каждая сидит на ADSL2+, провода идеальные, получается upstream'а 2.4Mb/s (как говорят наши канальщики - "если включен канал M"). Разделим на 3 для перехода в реальные условия, получаем 800Kb/s. В сумме они дадут мегабит 800. Чтобы парализовать одну машинку такого рода - надо выдать, мне кажется, хотя бы мегабит входящего с произвольными host:port (пробовал я как-то кривой portfwd для UDP на похожих скоростях - файрволл XP начал тяжело думать над потоком, но ещё работала). Значит, перебивать надо минимум суммарным гигабитом, а то и десятью. У тебя есть источник в мир такой мощности, готовый запуститься по первому чиху? Если да - то ты или сам владелец ботнета, или тебя проблемы такого DoS уже не волнуют:))) А теперь подумаем о том, что "наказать" атакующего так вряд ли получится - ну немного парализует ему машинки, так 1) это временно, 2) они всё равно не его, а несчастных лохов, 3) даже если половину из них после этого почистят - ещё десятки тысяч тут же будут заражены. Зато владельцы тазиков, которых при всём уважении нельзя по отношению к данной ситуации назвать иначе как "лохами, успешно разведенными Билли с компанией на бабки" - пострадают побольше того атакующего - исполнителя атаки. Ну и я молчу, что такие средства при первой возможности начинают генерировать поддельный обратный адрес, а uRPF стоит далеко не у всех. А это такая вещь, что если хотя бы 0.3% провайдеров не проверяют обратные адреса - атаки с подделкой адресов будут жить.
Повторяем нужное количество сотен тысяч раз до полного удовлетворения.
q?
... и ничего не изменится. Потому что таких "добрых" как ты - будет 1 из 100. Остальные - хотя бы побоятся юридической мести провайдеров, которые будут кушать твой встречный трафик. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message