Zacina to vypadat, jako by nekdo testoval odolnost vyznamnych clanku webove casti infrastruktury CR a mozna i reakci CSIRT (ktera je tedy takova, jaka je). Kdyz si to probereme, tak to zatim vypada, ze bylo utoceno na:
1. Zpravodajske weby
2. Vyhledavac/portal, ktery pouziva vyznamna cast Ceske populace
3. Bankovni weby
Skoro bych ocekaval, ze dalsi krok budou stranky statni spravy/samospravy, ale tady uz je riziko zasahu a vysetrovani vyrazne vetsi a navic nektere uz byly "otestovany" hacktivisty.
Ale jiste ze neni od veci mit nastavana nejaka pravidla, jenze na druhou stranu i jednoducha pravidla = je na to potreba nejaky nenulovy vykon HW.
Pro zajimavost, na gw o ktery se staram neproleze do netu privatni adresa, jenze zaroven vim, ze sem spis naprosto extremni vyjimka. Staci chvili poslouchat na siti libovolnyho ISP a nejen ze mu tam tecou privatni adresy od klientu, ale ISP je klido odroutuje dal.
Jak pak po nekom chcete aby resil filtrovani korektnich adres, kdyz neni schopen odfiltrovat ani ty nekorektni?
Někteří na to kašlou, ale když je budete popichovat, tak třeba něco udělají. Stejně jako má někdo nezakrytou díru na zahradě. Pokud ho budete šťouchat, tak s tím třeba něco udělá. Někdo se na to vykašle a někdo to alespoň přikryje. Nemyslím si, že v tomto případě je nutné vyřešit sto procent případů.
To mas pravdu, nicmene neresime obecny problem, ale konrektni problem v konkretnim prostredi.
Ja bych to bral tak, ze pro nouzove low cost reseni problemu Ti bude stacit:
1) blackholovat zahranicni provoz
2) Vynutit filtrovani prefixu na strane ISP (tj. zahazuju vsechno, co jde ven z me site a neni muj prefix). Zde vidim mozne implementacni problemy na strane UPC, ktera je velky ISP se spoustou prefixu a zaroven ma spoustu home klientu.
3) Rozvazani peeringu s temi, kteri nefiltruji
Zbytek provozu by mely zvladnout opatreni na hrane site ICP.
Samozrejme je mozne, ze se mylim a neco mi unika - pripadne me oprav.
Depeering nefiltrujici site je z hlediska kontroly provozu horsi, nez peering s ni. Proc? Protoze transit jim nekdo urcite proda, presneji proda jim ho uplne kazdy, protoze si rekne "kdyz ne ja, proda jim ho treba ... " (jmeno si dopln, napada mne asi pet jmen operatoru s udesnou povesti) a protoze cash is king. Ovsem v transitu onen legitimni provoz od podvrzeneho nerozeznas vubec, narozdil od peeringu. A pak uz je to filtrovani u sebe jen technicky problem, na PNI o neco mensi, v IXP o neco vetsi (hodila by se kombinace L2+L3 podminek v jednom ACL pravidle).
http://www.csc.kth.se/~olofh/10G_OSR/10Gbps.pdf
10Gbit/s s 250B pakety. 3Mpps při 64B paketech.
Ja mel ovsem za to, ze jste jednak hovoril o nejlevnejsim PC a krome toho jste tam chtel jeste mit nejaka filtrovaci pravidla (kazde fw pravidlo predstavuje nekolik set instrukci CPU per packet).
Vami dodany odkaz naopak naznacuje, kde zhruba konci routovaci moznosti PC architektury pri pouziti velmi vykonneho hardware.
Samozrejme, a ceho dosahnete? Tak akorat toho, ze se vam vsechny packety, ktere vam prijdou a budou podminku dane destinace splnovat, budou sypat na Null. To fakt chcete? Ja mel za to, ze tady diskutujeme o tom, jak efektivne resit DDoS ze spoofovanych adres. Pokud zanullroutujete vsechny packety na danou konkretni adresu, tak to nemusite vubec resit, protoze tim zajistite nedostupnost dane sluzby jeste o neco efektivneji, nez autor onoho DDoSu zamyslel :-)
Ja si to studovat nemusim, ja to az prilis dobre vim. Take az prilis dobre vim, jaky problem muze znamenat zapnute uRPF na upstream portech, pokud mate vic nez jeden upstream a jak uzasne se takovy problem hleda.
Druhy problem je, ze uRPF mozna mate zapnute vy, ale uz nemate jistotu, ze jej maji zapnute ostatni (spis naopak mate jistotu, ze nemaji, kdyz chodi DDoS utoky z spoofovanych adres).
Proto tahle debata dale ztraci jakykoli vyznam. Pokud v ni chcete pokracovat, zkuste si to nejprve v labu odsimulovat, s tim, ze nemate moznost ovlivnit ani chovani utocnika, ani chovani ostatnich siti.
Kdepak testování stability.
Můj osobní tip je kooperace českých a amerických tajných služeb (proto se použil ruský botnet, aby veřejnost zmátli) a souvislost s nadcházející legislativou (vytvořit strach u velkých hráčů, případně z některých zpřízněných subjektů udělat oběti, aby to nebylo nápadné) a blížícími se volbami.
Volby se blíží, vládě teče do bot, na webu vládní televize diskuzi vypnout umí (a chtějí), ve vládním rozhlase volající posluchače umlčet také umí, v rozhlase i tv si podlézání redaktorů také umí zařídit, ale je tu ten relativně svobodný internet a tam si lidi dělají a říkají co chtějí, no není to fůůůůj?
Ale co s tím? Tak je nějak vystrašme a dostaňme to nějak pod kontrolu.
Taktika by mohla být např. taková, že budou utahovat internetu šrouby a tím zároveň nahrávat úspěchu předpřipravené pirátské strany, strany s lidmi napojenými na vládní kruhy, státní dotace, Sorosovy peníze a dokonce i americký Microsoft, strany která podobně jako Věci veřejné minule bude stahovat opoziční hlasy k sobě (viz. úspěch rovněž hlasitou kauzou předpřipraveného Michálka ve volbách do senátu, kandidujícího právě mj. za piráty)..
Předpřipraveného Michálka proto, že jen blázen by mohl uvěřit historce, že šel ohlašovat půlmiliardový tunel ve prospěch ODS předsedovi ODS.
Já si myslím, že nebudu daleko od pravdy, že nějak takhle to mají vymyšlené a další dny a měsíce mi dají za pravdu.
BTW: Kdo ví, jestli nemají prsty i v tom Frendštátském výbuchu: ignorujíc presumpci neviny již víme, že pachatelem byl internetový diskutér, šílenec, chraňme společnost před internetovými diskutéry?
No, uvidíme. To se ukáže v následujících dnech a měsících, co mají za lubem. Jedno je jisté, nějakým svinstvem se musí pokusit zachránit svá mocenská postavení, jen tak nečinně se nepustí, to je snad jasné, ne?