Autor: Michal Gawrylczyk (michal.gawrylczyk_at_gts.pl)
Data: Thu 08 Jan 2004 - 01:07:37 MET
Piotr KUCHARSKI wrote:
> Michal Gawrylczyk <michal.gawrylczyk_at_gts.pl> wrote:
>> Blokowanie po src mija sie z celem, szczegolnie gdy adresow jest
>> kilkadziesiat/kilkaset i to czesto spoofowanych. Poza tym do
>> blokowania po adresie zrodlowym trzeba zalozyc access-liste
>> (obciazenie CPU), a zeby wyciac adres docelowy wystarczy static
>> route.
>
> No. Mega. Super. Widzę, że takie myślenie jest bardziej
> rozpowszechnione, niż się obawiałem. Kilka razy operatorzy w Poznaniu
> (ale nie pamiętam już, czy POZMAN, czy UAM) wycinali cały ruch do
> poznan.irc.pl. "Bo był atakowany i łatwiej wyciąć docelowy adres niż
> kilkadziesiąt/set źródłowych." Atak nie ustał (bo i z jakiej racji),
> sieć dalej cierpiała (choć przyznaję, że tylko do punktu tego
> routera), a bonusem do zwykłego DoS-a był definitywny DoS-a od
> operatora: wycięcie routingu i brak widoczności przez kilka dni.
>
> Proponuję wyłączyć wszystkie routery, bo łatwiej. Nawet nie trzeba się
> męczyć ze static route, a obciążenie CPU by drastycznie spadło.
Blokowanie adresow zrodlowych czesto do niczego nie prowadzi - uwalajac
kolejne adresy moga pojawiac sie wciaz nowe. W sytuacji gdy cierpi caly
wezel nie ma mozliwosci bawic sie w ten sposob.
Poza tym w momencie gdy przyblokujesz adres docelowy atakujacy szybko
orientuje sie, ze nie ma po co kontynuowac zabawy.
Ale zgodze sie oczywiscie ze nie mozna wyciac kogos na kilka dni ot tak
sobie...
Michal
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:10:25 MET DST