Re: DDoSy, co robic? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › DDoSy, co robic? › Re: DDoSy, co robic?

Path: news-archive.icm.edu.pl!news.rmf.pl!poznan.rmf.pl!news.man.poznan.pl!newsfeed.t
pinternet.pl!news.task.gda.pl!sgh.waw.pl!not-for-mail
From: Piotr KUCHARSKI <c...@s...waw.pl>
Newsgroups: pl.internet.polip
Subject: Re: DDoSy, co robic?
Date: 9 Jan 2004 00:44:56 GMT
Organization: Warsaw School of Economics
Lines: 50
Message-ID: <btkti8$qvh$3@absolut.sgh.waw.pl>
References: <8...@l...freebsd.lublin.pl>
<4oh4cmkj31vt$.16bnevj310not$.dlg@40tude.net>
<8...@l...freebsd.lublin.pl>
<bthhjj$1p20$1@news2.ipartners.pl> <bti5tc$9nb$1@absolut.sgh.waw.pl>
<bti709$24g4$1@news2.ipartners.pl>
<s...@k...kezu.org>
<X...@1...69.11.157> <btjc3s$f1n$1@absolut.sgh.waw.pl>
<btjga4$2sao$1@news2.ipartners.pl>
NNTP-Posting-Host: akson.sgh.waw.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
User-Agent: tin/1.7.3-20031220 ("Taransay") (UNIX) (SunOS/5.6 (sun4u))
Xref: news-archive.icm.edu.pl pl.internet.polip:60354
[ ukryj nagłówki ]
Michal Gawrylczyk <m...@g...pl> wrote:
>>> I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
>>> natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
>>> urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
>>> przynajmniej pozostale urzadzenia u tego samego klienta.
>> Ale łącze do operatora dalej jest zatkane. To już lepiej wycofać
>> ogłaszanie danego prefiksu z BGP.
> Jezeli atak jest kierowany na adres nalezacy do puli operatora to wywalenie
> prefixu z BGP spowoduje polozenie duzej czesci sieci tego operatora.

To oczywiste.

> Natomiast jezeli atakowany jest adres klienta ktory ma peering BGP,
> to usuniecie prefixu spowoduje oczywiscie calkowite odciecie w/w klienta
> od sieci.

To też oczywiste.

> Chyba wyciecie jednego adresu jest lepszym rozwiazaniem....

Jeżeli stać Cię na przyjmowanie ataku (D)DoS ze swojego uplinka, to
nie ma dla tego łącza różnicy, czy będziesz to przysyłał klientowi,
czy nie. :-) Łącze i tak będzie zatkane. (Ma, oczywiście, znaczenie
dla Twojej sieci i ew. dla sieci klienta.)

> Jezeli atakowany adres zostanie zablokowany blisko styku z operatorem
> upstream, to najczesciej cierpiec bedzie tylko blokowany adres IP i nie
> przelozy sie to na inne urzadzenia czy klientow.

To oczywiste. Ale nie popadajcie w optymizm. (D)DoS na jeden adres nie
różni się niczym specjalnym od (D)DoS na całą sieć klienta, wszystkie
jego numery IP równocześnie.

> I tak jak zostalo to juz napisane - jezeli upstream daje mozliwosc ustawienia
> BGP blackhole, masz przynajmniej mozliwosc samemu manewrowac
> blokowanym adresem, nie jest tez zapychane lacze do operatora upstream.

Ależ jest zapychane, jeśli atak przychodzi z zewnątrz.

Inna sprawa, że bardzo dużo ataków pochodzi z sieci TPSA, gdzie
stoi tysiące (jeśli nie setki tysięcy) zombi na tych ich masowych
stałych łączach. A z TPSA się współpracuje... rzadko albo wcale,
niestety.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)