Piotr KUCHARSKI wrote:
> Marek Moskal <m...@i...p-l> wrote:
>> I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
>> natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
>> urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
>> przynajmniej pozostale urzadzenia u tego samego klienta.
>
> Ale łącze do operatora dalej jest zatkane. To już lepiej wycofać
> ogłaszanie danego prefiksu z BGP.

Jezeli atak jest kierowany na adres nalezacy do puli operatora to wywalenie
prefixu z BGP spowoduje polozenie duzej czesci sieci tego operatora.
Natomiast jezeli atakowany jest adres klienta ktory ma peering BGP,
to usuniecie prefixu spowoduje oczywiscie calkowite odciecie w/w klienta
od sieci. CHyba wyciecie jednego adresu jest lepszym rozwiazaniem....

Jezeli atakowany adres zostanie zablokowany blisko styku z operatorem
upstream, to najczesciej cierpiec bedzie tylko blokowany adres IP i nie
przelozy sie to na inne urzadzenia czy klientow.

I tak jak zostalo to juz napisane - jezeli upstream daje mozliwosc ustawienia
BGP blackhole, masz przynajmniej mozliwosc samemu manewrowac
blokowanym adresem, nie jest tez zapychane lacze do operatora upstream.

>> Z punktu widzenia atakujacego cel zostal (tymczasowo) osiagniety (serwer
>> nie jest osiagalny), ale czesto z punktu widzenia klienta i operatora jest
>> to mniejsze zlo, niz gdy "przy okazji" cierpa inni klienci i inne
>> urzadzenia.
>
> Mniejsze zło to by było, gdyby ataków nie było. :)
> Gdyby tylko dało się łatwo udowodnić, kto stoi za atakami, eh.
> I doprowadzić do skazania. Po kilku takich procesach przestaliby
> bezmyślnie szastać DDoS-ami.

Noo, lacze sie z Toba w tych, nierealnych niestety, marzeniach.... ;-)

Michal