Digit pisze:

> Floody ICMP sa zazwyczaj sfragmentowane - poza pierwszym pakietem z
> serii, nie da sie określić czy jest to echo-request, reply, czy jeszcze
> coś innego.
> Router ze stateful firewallem u providera nadrzednego mogłby sobie
> poradzić,

Możliwe, nie jestem specjalistą od routingu, wiem tyle, ile było mi
potrzebne w różnych sytuacjach. Praktyka mi natomiast mówi, że moje proste
regułki całkiem nieźle radziły sobie z icmp-floodem i nie przeszkadzały mi
używać pinga, traceroute etc. Nie jest to więc szczególnie skomplikowane.

> aczkolwiek już widzę jak TP czy inne firmy będą swiadczyć
> takie usługi na masówkach typu DSL, czy nawet FR.

Co ciekawe, swiadczy. A w każdym razie powinna. Na przykład w skład
podstawowego pakietu DSL wchodzi ponoć
[http://www.internetdsl.pl/pages/info_zabezpieczenia
.php]. Ponoć, bo z
moich doświadczeń wynika, że kiedyś to działało, a potem przestało.
Szczególnie ochrona przed tcp-syn floodem.

>> Po drugie to ich problem, nie mój.
>
> Provider świadczy usługę transmisji danych i jak widać wywiązuje sie z
> tego w 100%.
> Problemem (Internetu) są wszelkie osobniki DDoS-ujące, czy to dla
> zabawy, czy dla podbudowania własnego ego.

Nie wywiązuje się, bo nie mogę z tej transmisji korzystać. Po pierwsze DDoS
nie jest rzeczą, którą mógłby życzyć sobie jakikolwiek klient (więc to nie
on 'wykorzystuje' nim łącze, jeśli wiesz, co mam na myśli), a po drugie
taki atak przechodzi najpierw przez routery providera, który powinien to
wtedy wyfiltrować. Z resztą sam polpak przyjmuje takie zgłoszenia jako
'awarie'.

>> IMHO powinni mieć filtry na routerach
>> brzegowych lub cokolwiek, przecież blokowanie portu nie ma żadnego sensu
>> bo jak już napisałem walną w inny i tyle. Podsumowując oznaczałoby to, że
>> jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie
>> wszystkiego o idzie do danego IP.
>
> Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
> Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
> połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.

Obie możliwości w moim przypadku są nie do przyjęcia.

>> Po trzecie przychodzi mi na myśl wiele możliwych w teorii rozwiązań,
>> które z resztą stosuję na własnym routerze, tyle że w przypadku takiego
>> ataku pomaga to z oczywistych powodów tyle co nic (jesli działa dopiero u
>> mnie). Ja limituję m.in. tcp-syn dla poszczególnych połączeń
>> przychodzących. Konkretnie są to dwa limity -- jeden /s a drugi, większy
>> /m. I świetnie się to sprawdza w przypadku tcp-syn floodu, przechodzą
>> zupełne resztki. Oczywiście nic to nie pomaga bo samo łącze mam zapchane,
>> ale jak widać da się. Jeśli routery by im nie wyrabiały przy takich
>> regułkach to niech kupią lepsze. Z moich testów wynika, że powyższe
>> regułki dla mocno obciążonych (duża ilość połączeń) 2mbit generują
>> niezauważalne obciążenie na przeciętnej maszynce, więc takie tłumaczenie
>> oznaczałoby, że podpinają klientów do jakichś g*.
>
> Po stronie operatora ten ruch jest >2Mbit.
> A i powyższego niestety nie dostaniemy na łączach (masówkach) w tej
> klasie cenowej.

Wybacz, DSL/FR jest ponoć dedykowany firmom, to nie są już łącza dla
domowych klikaczy. A zabezpieczenia przed podstawowymi metodami takich
ataków powinny być oczywiste. Szczególnie, że nie jest to ani trudne do
zrobienia, ani szczególnie zasobożerne. Zauważ, że tysiące pakietów
przechodzące przez ileśtam różnych routerów TPSA także generują niemałe
obciążenie (po zsumowaniu).

>> Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99%
>> loss. Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej.
>> Wnioskuję po tym, ze po ich sieci latało przez 4h jakieś 100mbit/s
>> śmieci, albo i więcej, pewnie w dużej części z ich własnych neostrad etc.
>> Olewanie czegoś takiego to po prostu skandal.
>
> Ja po swoich niemiłych doswiadczeniach z DDoS'ami i Działem
> Bezpieczeństwa CST TP, uważam że to są w stanie zrobic, to robią i
> absolutnie nie mam nic do zarzucenia, a obrywanie pakietami nikogo nie
> cieszy.

No, tak było kiedyś. Teraz ów 'specjalista' przebąkiwał coś o jakichś
pakietach bezpieczeństwa, moze kazali im olewać zgłoszenia żeby naciągnąć
ludzi na to?

--
Neas, ?eas@?eas.pl, http://www.neas.pl