Autor: Michal Gawrylczyk (michal.gawrylczyk_at_gts.pl)
Data: Thu 08 Jan 2004 - 12:52:34 MET
Piotr KUCHARSKI wrote:
> Marek Moskal <moskit_at_irc.p-l> wrote:
>> I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
>> natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
>> urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
>> przynajmniej pozostale urzadzenia u tego samego klienta.
>
> Ale łącze do operatora dalej jest zatkane. To już lepiej wycofać
> ogłaszanie danego prefiksu z BGP.
Jezeli atak jest kierowany na adres nalezacy do puli operatora to wywalenie
prefixu z BGP spowoduje polozenie duzej czesci sieci tego operatora.
Natomiast jezeli atakowany jest adres klienta ktory ma peering BGP,
to usuniecie prefixu spowoduje oczywiscie calkowite odciecie w/w klienta
od sieci. CHyba wyciecie jednego adresu jest lepszym rozwiazaniem....
Jezeli atakowany adres zostanie zablokowany blisko styku z operatorem
upstream, to najczesciej cierpiec bedzie tylko blokowany adres IP i nie
przelozy sie to na inne urzadzenia czy klientow.
I tak jak zostalo to juz napisane - jezeli upstream daje mozliwosc ustawienia
BGP blackhole, masz przynajmniej mozliwosc samemu manewrowac
blokowanym adresem, nie jest tez zapychane lacze do operatora upstream.
>> Z punktu widzenia atakujacego cel zostal (tymczasowo) osiagniety (serwer
>> nie jest osiagalny), ale czesto z punktu widzenia klienta i operatora jest
>> to mniejsze zlo, niz gdy "przy okazji" cierpa inni klienci i inne
>> urzadzenia.
>
> Mniejsze zło to by było, gdyby ataków nie było. :)
> Gdyby tylko dało się łatwo udowodnić, kto stoi za atakami, eh.
> I doprowadzić do skazania. Po kilku takich procesach przestaliby
> bezmyślnie szastać DDoS-ami.
Noo, lacze sie z Toba w tych, nierealnych niestety, marzeniach.... ;-)
Michal
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:10:26 MET DST