RE: Re: RE: Re: RE: Re: RE: Re: DNS DDOS
руки + время = однозначно родят :) вопрос лишь в том, что нужен статистический анализатор трафика, а не только анализ заголовков. Потому существующий тулзятник никак не поможет.
Вызывает у меня сомнения, что любой статистический анализатор трафика в случае грамотно организованной DDoS поможет хоть чем нибудь кроме дропа именно тех connects, которые так нужны.
ну, так или иначе, но Guard работает :) И это не единственная подобная разработка, так что метод в целом апробирован и функционирует.
или кооперация с другими операторами (в идеале - со всеми в мире) для обнаружения и фильтрации зомбированных компьютеров.
в таком случае неплохо бы начать во всем мире с uRPF :) Количество атак _на какое-то время_ резко уменьшится. Потом - если бы потребители согласились ставить на своих компах агентов, которые отслеживают activity на компе и пресекают не разрешенную по полиси (например, предупреждает о том, что некий файл (и часто это червь), который был скачан из Интернет, пытается быть запущенным - разрешать или не надо? тыкаешь - на фиг и чувствуешь себя прекрасно). Как пример такой тулзы - Cisco Security Agent - работает вполне эффективно. Ну то есть если бы все юзеры были бы подкованы технически и дисциплинированы... ну вы меня поняли - "если был бы х.. у бабушки, она бы дедушкой была" :) /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, May 18, 2005 at 01:16:56PM +0200, Vladimir Litovka (vlitovka) wrote:
руки + время = однозначно родят :) вопрос лишь в том, что нужен статистический анализатор трафика, а не только анализ заголовков. Потому существующий тулзятник никак не поможет.
Вызывает у меня сомнения, что любой статистический анализатор трафика в случае грамотно организованной DDoS поможет хоть чем нибудь кроме дропа именно тех connects, которые так нужны.
ну, так или иначе, но Guard работает :) И это не единственная подобная разработка, так что метод в целом апробирован и функционирует.
Блокируя connections с адресов, с которых был единственный запрос на сервис? Тогда смысл? Или блокируя connections, с которых был не единственный запрос на сервис? Ну так в случае грамотной DDoS ее самым важным элементом будет именно используемый Guard, который сделает за атакующего именно то, что ему нужно - блокирует доступ к сервису вполне себе легальным кастомерам. А в случае пионеров - да, пожалуй он может помочь. Да только вымирают они, пионеры эти, в жестоком мире Internet.
или кооперация с другими операторами (в идеале - со всеми в мире) для обнаружения и фильтрации зомбированных компьютеров.
в таком случае неплохо бы начать во всем мире с uRPF :) Количество атак _на какое-то время_ резко уменьшится. Потом - если бы потребители согласились ставить на своих компах агентов, которые отслеживают activity на компе и пресекают не разрешенную по полиси (например, предупреждает о том, что некий файл (и часто это червь), который был скачан из Интернет, пытается быть запущенным - разрешать или не надо? тыкаешь - на фиг и чувствуешь себя прекрасно). Как пример такой тулзы - Cisco Security Agent - работает вполне эффективно. Ну то есть если бы все юзеры были бы подкованы технически и дисциплинированы... ну вы меня поняли - "если был бы х.. у бабушки, она бы дедушкой была" :)
Чего-то последняя сентенция потерялась в столь длинной строке без переносов :)
/doka
-- NO37-RIPE
On Wed, May 18, 2005 at 14:40 +0300, Oleg V. Nauman wrote:
руки + время = однозначно родят :) вопрос лишь в том, что нужен статистический анализатор трафика, а не только анализ заголовков. Потому существующий тулзятник никак не поможет.
Вызывает у меня сомнения, что любой статистический анализатор трафика в случае грамотно организованной DDoS поможет хоть чем нибудь кроме дропа именно тех connects, которые так нужны.
ну, так или иначе, но Guard работает :) И это не единственная подобная разработка, так что метод в целом апробирован и функционирует.
Блокируя connections с адресов, с которых был единственный запрос на сервис? Тогда смысл? Или блокируя connections, с которых был не единственный запрос на сервис? Ну так в случае грамотной DDoS ее самым важным элементом будет именно используемый Guard, который сделает за атакующего именно то, что ему нужно - блокирует доступ к сервису вполне себе легальным кастомерам. А в случае пионеров - да, пожалуй он может помочь. Да только вымирают они, пионеры эти, в жестоком мире Internet.
Самая большая проблема у нас в случае DDoS - это неадекватность тех.саппорта _любого_ ISP, продающего наземный забугор; и пока этот монополизм не разрушат, до тех пор трехдневые ddos будут вполне обыденным явлением у нас :( -- Maxim Tuliuk WWW: http://primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (3)
-
Maxim Tuliuk -
Oleg V. Nauman -
Vladimir Litovka (vlitovka)