Michal Gawrylczyk <m...@g...pl> wrote:
>>> I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
>>> natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
>>> urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
>>> przynajmniej pozostale urzadzenia u tego samego klienta.
>> Ale łącze do operatora dalej jest zatkane. To już lepiej wycofać
>> ogłaszanie danego prefiksu z BGP.
> Jezeli atak jest kierowany na adres nalezacy do puli operatora to wywalenie
> prefixu z BGP spowoduje polozenie duzej czesci sieci tego operatora.

To oczywiste.

> Natomiast jezeli atakowany jest adres klienta ktory ma peering BGP,
> to usuniecie prefixu spowoduje oczywiscie calkowite odciecie w/w klienta
> od sieci.

To też oczywiste.

> Chyba wyciecie jednego adresu jest lepszym rozwiazaniem....

Jeżeli stać Cię na przyjmowanie ataku (D)DoS ze swojego uplinka, to
nie ma dla tego łącza różnicy, czy będziesz to przysyłał klientowi,
czy nie. :-) Łącze i tak będzie zatkane. (Ma, oczywiście, znaczenie
dla Twojej sieci i ew. dla sieci klienta.)

> Jezeli atakowany adres zostanie zablokowany blisko styku z operatorem
> upstream, to najczesciej cierpiec bedzie tylko blokowany adres IP i nie
> przelozy sie to na inne urzadzenia czy klientow.

To oczywiste. Ale nie popadajcie w optymizm. (D)DoS na jeden adres nie
różni się niczym specjalnym od (D)DoS na całą sieć klienta, wszystkie
jego numery IP równocześnie.

> I tak jak zostalo to juz napisane - jezeli upstream daje mozliwosc ustawienia
> BGP blackhole, masz przynajmniej mozliwosc samemu manewrowac
> blokowanym adresem, nie jest tez zapychane lacze do operatora upstream.

Ależ jest zapychane, jeśli atak przychodzi z zewnątrz.

Inna sprawa, że bardzo dużo ataków pochodzi z sieci TPSA, gdzie
stoi tysiące (jeśli nie setki tysięcy) zombi na tych ich masowych
stałych łączach. A z TPSA się współpracuje... rzadko albo wcale,
niestety.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)

do góry

Piotr KUCHARSKI wrote in news:btkt7n$qvh$2@absolut.sgh.waw.pl:

>> Dopóki ludzie będą bezmyślnie używać systemów niezabezpieczonych
>> przy podłączeniach do Internetu, możliwość ich masowego przejęcia
>> i zastosowania w takim ataku będzie bardzo atrakcyjną perspektywą.
>> Czyli - nieprędko chyba się to skończy.
> Czyli edukacja. Mimo że słuszny kierunek, to ślepy zaułek. (Chyba
> że internetowe prawo jazdy i/lub wymuszanie dobrych konfiguracji
> systemów włączanych do Internetu.)

To drugie szybciej - bo na "prawa jazdy" jest już za późno - internet
jest zbyt powszechny i za bardzo potrzebny.

--
empeg // e m p e g /a t/ h o t /d o t/ p l

{D2B03870-FC11-4B4D-A1AB-2CD71A8338FA}

do góry

Piotr KUCHARSKI wrote:
>>>Ale łącze do operatora dalej jest zatkane.
>>...powodujesz, że przez BGP (dzięki dodatkowo route-mapie i
>>ustaleniu community) taka trasa znajduje się najpierw
>>w brzegowym routerze operatora, a chwilę później w całej jego
>>sieci.
> Ale łącze do operatora dalej jest zatkane. :)

Mówisz o łączach między-operatorskich? Trudno powiedzieć, nie
sądzę, żeby zdarzało się to często. Jak idzie DDoS to zwykle
trafia się wiele "źródłowych" ASów, patrz post Frasunka -
parę InternetDSLi/Neo+, dial-upy Dialogu itp.. Każdy z
nich z osobna nie zajął raczej nawet w znaczącym procencie
rurki Netia<>TP S.A/Polpak/Dialog.

>>Najgorzej jak celem ataku DDoS stanie się IP na interfejsie
>>Twojego routera brzegowego - wtedy jedynym rozwiązaniem jest
>>blokowanie po źródłach ataku a nie po adresie docelowym, bo
>>w innym przypadku ISP odetnie sobie Ciebie ;)
> Adres mojego routera to ISP może odcinać, nic nie powinno do
> niego przychodzić z Internetu.

A na czym zapniesz sesję BGP z operatorem właśnie? W
powietrzu? Nawet jeśli na loopbacku to i tak przecież ten
loopback musi mieć jakieś IP widoczne "z drugiej strony".

> Czyli edukacja. Mimo że słuszny kierunek, to ślepy zaułek. (Chyba
> że internetowe prawo jazdy i/lub wymuszanie dobrych konfiguracji
> systemów włączanych do Internetu.)

To drugie bardziej, nie wierzę w pierwsze rozwiązanie jako
globalnie rozwiązujące ten problem.

--
Łukasz Bromirski lbromirski:mr0vka.eu.org

do góry

Piotr KUCHARSKI wrote:

>>Chyba wyciecie jednego adresu jest lepszym rozwiazaniem....
>
>
> Jeżeli stać Cię na przyjmowanie ataku (D)DoS ze swojego uplinka, to
> nie ma dla tego łącza różnicy, czy będziesz to przysyłał klientowi,
> czy nie. :-) Łącze i tak będzie zatkane. (Ma, oczywiście, znaczenie
> dla Twojej sieci i ew. dla sieci klienta.)

To co napisałeś w powyższym stoi w sprzeczności z doświadczeniem. Wiele
zależy od tego jak wygląda dana sieć. W praktyce, zatrzymanie ataku na
routerze brzegowym ma zwykle zbawienny wpływ na resztę sieci, a często
nawet na funkcjonowanie atakowanego klienta. I to pomimo tego, że łącze
międzyoperatorskie przez które idzie atak ma zwiększone obciażenie.

Problem pojawia się wtedy, gdy łącze to jest kupione prawie "na styk"
(choć rzeczywiście: każdą rurę da się zapchać), a przede wszystkim gdy
idzie nim cała lub prawie cała transmisja do innych operatorów
internetowych.

do góry

Piotr KUCHARSKI wrote:

>>Poza tym, mechanizm blackhole czasem jest osiągalny u
>>operatora upstream.
>
>
> To cenne, prawda. Choć wolałbym ATM-owy congestion control (propagowany
> w tył sieci, żeby wyciszać źródła). Idealnie by było, gdyby atakujący
> przestawali widzieć na najbliższym core routerze drogę do atakowanych
> sieci, a nie reszta internetu. No ale to raczej w sferze mrzonek. :/

Kłopot w tym, że to stoi w sprzeczności z obecnym paradygmatem
routowania w sieciach IP - konkretnie ograniczenia się do routingu
jedynie według destination address, ignorując resztę nagłówka IP, w
szczególności source. I żaden policy-routing tu nie pomoże, bo -
pomijając inne problemy - nie ma w powszechnym użyciu dynamicznego
protokołu routingu, który by to wspierał.
(Napisałem oględnie, ale akurat nie przypominam sobie by w ogóle istniał
jakiokolwiek protokół wspierający routowanie IP z uwzględnieniem adresów
źródłowych.)

Co do congestion control, to nie jest on dobrze zaimplementowany nawet
na wiekszości urządzeń ATM. Często producenci zakładają, że tylko strona
otrzymująca takie powiadomienia wyhamuje transmisję, a reszta sieci
liczy na jej dobrą wolę. No, jeśli ktoś wykonuje atak, to raczej się nie
dostosuje do tych komunikatów...

do góry

Łukasz Bromirski <w...@w...goes> wrote:
> A na czym zapniesz sesję BGP z operatorem właśnie? W
> powietrzu? Nawet jeśli na loopbacku to i tak przecież ten
> loopback musi mieć jakieś IP widoczne "z drugiej strony".
No a jak.. IP widoczne.. ale tylko dla routera do którego jest
przypięty, tak?


Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Linux Registered User: 189200
BSD Registered User: 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)

do góry

Krzysztof Oledzki wrote:

> > A na czym zapniesz sesję BGP z operatorem właśnie? W
> > powietrzu? Nawet jeśli na loopbacku to i tak przecież ten
> > loopback musi mieć jakieś IP widoczne "z drugiej strony".
> No a jak.. IP widoczne.. ale tylko dla routera do którego jest
> przypięty, tak?

Można zapinać na adresach z RFC1918, czy też dowolnie innych
arbitralnie wybranych, ale czy ktoś to stosuje? Bo to też
wymagałoby kontroli globalnej w sieci (żeby np. tego gdzieś
nie rozgłosić).

--
Łukasz Bromirski lbromirski:mr0vka,eu,org

do góry

Łukasz Bromirski wrote:

> Można zapinać na adresach z RFC1918, czy też dowolnie innych
> arbitralnie wybranych, ale czy ktoś to stosuje?
^^^^^^^^^^^^^^^^^^^^^^^^

...chodziło mi o Polskę oczywiście. Na świecie to wiem, że tak.

--
Łukasz Bromirski lbromirski:mr0vka,eu,org

do góry

Łukasz Bromirski napisal(a) [09 Jan 2004]:

>> > A na czym zapniesz sesję BGP z operatorem właśnie? W
>> > powietrzu? Nawet jeśli na loopbacku to i tak przecież ten
>> > loopback musi mieć jakieś IP widoczne "z drugiej strony".
>> No a jak.. IP widoczne.. ale tylko dla routera do którego jest
>> przypięty, tak?
> Można zapinać na adresach z RFC1918

Sa tez pomysly wydzielenia przez IETF/RIPE/kogotamjeszcze specjalnego
zakresu prywatnego wylacznie dla operatorow, wlasnie na potrzeby
adresowania sieci wewnetrznej.

--
(moskit-at-irc.pl)

do góry

Łukasz Bromirski <w...@w...goes> wrote:
> Mówisz o łączach między-operatorskich? Trudno powiedzieć, nie
> sądzę, żeby zdarzało się to często. Jak idzie DDoS to zwykle
> trafia się wiele "źródłowych" ASów, patrz post Frasunka -
> parę InternetDSLi/Neo+, dial-upy Dialogu itp.. Każdy z
> nich z osobna nie zajął raczej nawet w znaczącym procencie
> rurki Netia<>TP S.A/Polpak/Dialog.

Tak, w tym przypadku blackhole zadziałałby bardzo dobrze.

W przypadku ataków DDoS z zagranicy -- już mniej, choć oczywiście
by pomógł.

>> Adres mojego routera to ISP może odcinać, nic nie powinno do
>> niego przychodzić z Internetu.
> A na czym zapniesz sesję BGP z operatorem właśnie? W
> powietrzu? Nawet jeśli na loopbacku to i tak przecież ten
> loopback musi mieć jakieś IP widoczne "z drugiej strony".

Na czymkolwiek. To IP nie musi być widoczne nigdzie poza
routerem ISP-a. (A wręcz nie powinno.)

>> i/lub wymuszanie dobrych konfiguracji
>> systemów włączanych do Internetu.)
> To drugie bardziej, nie wierzę w pierwsze rozwiązanie jako
> globalnie rozwiązujące ten problem.

No... to teraz przekonać Microsoft i z górki. :)

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)

do góry