Autor: Mariusz Krukowski (kruk_at_spam.pl)
Data: Fri 09 Jan 2004 - 09:43:16 MET
Piotr KUCHARSKI wrote:
>>Poza tym, mechanizm blackhole czasem jest osiągalny u
>>operatora upstream.
>
>
> To cenne, prawda. Choć wolałbym ATM-owy congestion control (propagowany
> w tył sieci, żeby wyciszać źródła). Idealnie by było, gdyby atakujący
> przestawali widzieć na najbliższym core routerze drogę do atakowanych
> sieci, a nie reszta internetu. No ale to raczej w sferze mrzonek. :/
Kłopot w tym, że to stoi w sprzeczności z obecnym paradygmatem
routowania w sieciach IP - konkretnie ograniczenia się do routingu
jedynie według destination address, ignorując resztę nagłówka IP, w
szczególności source. I żaden policy-routing tu nie pomoże, bo -
pomijając inne problemy - nie ma w powszechnym użyciu dynamicznego
protokołu routingu, który by to wspierał.
(Napisałem oględnie, ale akurat nie przypominam sobie by w ogóle istniał
jakiokolwiek protokół wspierający routowanie IP z uwzględnieniem adresów
źródłowych.)
Co do congestion control, to nie jest on dobrze zaimplementowany nawet
na wiekszości urządzeń ATM. Często producenci zakładają, że tylko strona
otrzymująca takie powiadomienia wyhamuje transmisję, a reszta sieci
liczy na jej dobrą wolę. No, jeśli ktoś wykonuje atak, to raczej się nie
dostosuje do tych komunikatów...
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:10:27 MET DST