Digit pisze:
> Czyżby zbyt dużo klientów na istniejącej platformie technologicznej(?)
To jakby ich problem skoro mają to w ofercie.
> Osobiście pisałem bardziej z perspektywy Frame Relaya, tam nie ma
> żadnych tego typu dodatków - a cena sporo większa.
Może większa, ale proporcjonalnie (biorąc pod uwagę upload, możliwość
otrzymania przynajmniej klasy C i inne cechy).
> Nie żebym ich bronił, ale potrafie się niejako postawić na ich miejscu.
> Sam bym sie ucieszył z możliwości wpływania na router brzegowy od strony
> operatora, nawet za dodatkową opłatą i ustawiania nań jakiegoś
> przynajmniej wstępnego kształtowania ruchu. Pomarzyć zawsze można.
Nie rozumiem jednego -- dlaczego w ich interesie nie jest filtrowanie
oczywistych nadużyć najwcześniej jak to możliwe?
>>>Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
>>>Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
>>>połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.
>> >
>> Obie możliwości w moim przypadku są nie do przyjęcia.
>
> To zrozumiałe, bo na trochę bardziej obeznanego "kiddie" nieskuteczne.
Chodziło mi raczej o to, że taka blokada byłaby bardziej uciążliwa niż same
DDoS-y.
>> Wybacz, DSL/FR jest ponoć dedykowany firmom, to nie są już łącza dla
>> domowych klikaczy. A zabezpieczenia przed podstawowymi metodami takich
>> ataków powinny być oczywiste. Szczególnie, że nie jest to ani trudne do
>> zrobienia, ani szczególnie zasobożerne. Zauważ, że tysiące pakietów
>> przechodzące przez ileśtam różnych routerów TPSA także generują niemałe
>> obciążenie (po zsumowaniu).
>
> Od strony technicznej kształtowanie ruchu po fladze np. SYN, wymaga
> zaglądania głebiej do zawartości pakietu. Tam gdzie ich liczby idą w
> tysiące, albo więcej to się zbiera i ma duże znaczenie.
Pieniądze które ludzie im płacą tez się zbierają proporcjonalnie do ilości
abonentów, więc ten argument mnie nie przekonuje.
> Winę ponosi tylko i wyłącznie atakujący. Provider powinien być jednak
> pomocny w przeciwdziałaniu i doprowadzaniu osobnika przed wymiar
> sprawiedliwości. Jak najbardziej powinno to leżeć w ich interesie.
Winę w rozumieniu prawnym może tak, ale IMHO ISP ma obowiązek przeciwdziałać
takim incydentom i nie jest to kwestia łaski z jego strony. Dlaczego --
napisałem w poprzednim poście. Chociaż w hipotetycznej sytuacji w której
olewałby DDoS-y pochodzące od jego własnych klientów można byłoby chyba
uznać go za współwinnego w pełnym tego słowa znaczeniu.
> Nie miałem nigdy w ramach usługi limitowania pakietów tcp:syn, nic się
> dla mnie zatem nie zmieniło. Podczas incydentów każdą moją prośbę
> spełnili - widać potrafiłem dobrze przewidzieć ich możliwości+chęci w
> tych sprawach.
O co prosiłeś?
-- Neas, ?eas@?eas.pl, http://www.neas.plReceived on Wed May 11 22:30:18 2005
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 11 May 2005 - 22:40:02 MET DST