co dělat s ddos od NIXu?

[okoun]

co hulis? Zitra bys mohl takhle argumentovat pro 40g porty a pozitri pro 100g.
A az budou kvuli DDoSum o 2 rady naddimenzovany vsechny linky, tak zacne kolecko nanovo, protoze boti farmy budou mit lepsi konektivitu...

tak až zklidníš hormon, tak si to nech projít hlavou, popřemýšlej o tom.. a pak budeš mít i šanci to i pochopit ... třeba že když máš 10G switch, kolik pak asi tak stojí v nákladech jeden 1G port a jeden 10G port.. stejně viď .. a že by ta několikanásobně větší cena byla daná rozdílem spotřeby elektřiny SFP, nebo nájmu za 1U?
ale v poho, já to chápu .. politika .. no tak jim peering sežral půlku trhu no .. vždyť no problem

pgb: v datacentru si s tím poradíš na svým firewalu ...
hapi: zajimavý viď že na tý 100G už ta velká kapacita zázračně funguje .. a ano souhlasím bylo by dobrý když by se zapínal RPFilter .. otázka je, kdo to třeba tady vůbec řeší ...

no to je sice pěkné že v datacentru s linkou 100Gb ti to sice tu lajnu neodrovná ale co potom dále v síti když máš ty ipčka na CPE tak seš stejně v háji, to aby ta 100Gb šla všude že . potom mít tedy nějaký pořádný čistič v tom datacentru a to je docela raketka. Koneckonců na nás šlo 30Gb takže ani těch 10Gb by nám nepomohlo. Jinak souhlasím že ta politika v nixu je prazvláštní a vlastně vás nutí kupovat několik 1Gb portů na místo jednoho 10Gb.

[ludvik]

Mě je zase úplně u prdele, kde si ty segmenty zjistíš ... smluvně, nebo z RIPE, mě je to fakt fuk. Hlavně, že filtruješ.

Když mi poskytneš uplink na dvou místech, tak pořád víš, co tam mám za segment. Vědět to nemůžeš jen v případě, kdy je tam i tranzit. Což zase tak často nebývá (alespoň u sítí zde se vyskytujících).

co tam mas za segmenty je mi uplne u prdele, me jde o to co mas v asn

[K3NY]

2 K3NY: jak psal ludvik, mám svůj rozsah a pokud nejsem tranzit, tak mě prostě filtruješ pouze na můj rozsah. Nic víc ... nějak ve tvé otázce nevidím logiku. Osobně mám více linek a na každé propaguji pomocí bgp svoje rozsahy a třeba mám na propojení těch lokalit úplně jiný okruh .... z pohledu mého dodavatele to je jedno. To že mi upc umožní odeslat úplně cizí zdrojové ip už je další věc.

Podivej se na to z pohledu TIRE I, TIRE II poskytovatele. Tam s ACL moc nezazaris.

[ludvik]

Proč sem taháš zjevné? Kdo prodává pneumatiky, ten ACL většinou opravdu nezná.

[hapi]

RTBH samozřejmě funguje. Ono je totiž opačné, než myslíš. U něj tě zajímá DST adresa, nikoliv SRC. A cílová bývá leckdy jen jedna, či několik málo.

RTBH nefunguje? Jo jak by mohlo když to letí ze všech směrů a z podvržených IP adres. Co ti případně pomůže je odříznutí zahraničí. Hlavní chyba je že například z přípojky v polsku můžu do čech poslat paket s podvrženou SRC adresou a po cestě to nikdo nezařízne. Takhle si hezky můžu generovat nedohledatelný src adresy. No ale torch si na gw pustil ne? tam to hezky uvidíš.

Ale jinak souhlasím, BCP38 by hodně pomohlo. Ale to je jak s venerickými chorobami ... ty lze zničit naprosto jednoduše. Jen kdyby kokoti spolupracovali.

jo chápu že to je na dst. Nicméně pokud útočník neni idiot tak se koukne do ripe, uvidí příděl /22, vysolí další 2USD a už bordel teče na celou /22 a pak už si skončil.

[Dalibor Toman]

co hulis? Zitra bys mohl takhle argumentovat pro 40g porty a pozitri pro 100g.
A az budou kvuli DDoSum o 2 rady naddimenzovany vsechny linky, tak zacne kolecko nanovo, protoze boti farmy budou mit lepsi konektivitu...

tak až zklidníš hormon, tak si to nech projít hlavou, popřemýšlej o tom.. a pak budeš mít i šanci to i pochopit ... třeba že když máš 10G switch, kolik pak asi tak stojí v nákladech jeden 1G port a jeden 10G port.. stejně viď .. a že by ta několikanásobně větší cena byla daná rozdílem spotřeby elektřiny SFP, nebo nájmu za 1U?
ale v poho, já to chápu .. politika .. no tak jim peering sežral půlku trhu no .. vždyť no problem

pgb: v datacentru si s tím poradíš na svým firewalu ...
hapi: zajimavý viď že na tý 100G už ta velká kapacita zázračně funguje .. a ano souhlasím bylo by dobrý když by se zapínal RPFilter .. otázka je, kdo to třeba tady vůbec řeší ...

no tak ja nebudu mit jako core router switch a pokud resim prechod z 1gbps na 10gbps nebo mi dochazeji porty tak to s tou cenou BGP routeru neni pro maleho ISP tak ruzove jak popisujes (pokud chces pouzivat nejaky rozumny hw) i kdyz se to zlepsuje. Ale hlavni problem je v tom, ze uz dnes mi DDoS ucpe lehce 10gbps drat, zitra 100gbps a pozitri cokoliv lepsiho. Takze resit DDoS primarne naddimenzovanim uplinku a pak ho stejne muset filtrovat u sebe neni uplne optimalni.

[TTcko]

tak pomalu a postupně..

a) Nix je switch platforma = používají dle stránek Cisco Nexus 7710
b) Cisco Nexus 7710 je podle Cisca 10G, 40G a 100G switch
c) vidíš nějakej reálnej důvod pro to kurvit to 1G modulem?
d) rychle sem z webu spočítal že 1G port má 52+ přípojek
e) takže když mám 1G přípojky potřebuju ddos 52G, když 10G přípojky tak 520G, přijde ti to jako nepodstatnej rozdíl?
f) silně pochybuju, že si za 2usd koupím ddos z 1G na 10G, nemám zkušenost, ale můžu pohledat

[Dalibor Toman]

tak pomalu a postupně..

a) Nix je switch platforma = používají dle stránek Cisco Nexus 7710
b) Cisco Nexus 7710 je podle Cisca 10G, 40G a 100G switch
c) vidíš nějakej reálnej důvod pro to kurvit to 1G modulem?
d) rychle sem z webu spočítal že 1G port má 52+ přípojek
e) takže když mám 1G přípojky potřebuju ddos 52G, když 10G přípojky tak 520G, přijde ti to jako nepodstatnej rozdíl?
f) silně pochybuju, že si za 2usd koupím ddos z 1G na 10G, nemám zkušenost, ale můžu pohledat

debata ztraci smysl, kazdy mluvime o necem jinem. Nechapu proc pocitas pripojky v NIXu. Tyhle (co resi okoun) DDoSy jsou cilene na konkretniho ISP cili v podstate na jeden port.
Ze je cena za 10G v NIXu zbytecne vysoka samozrejme nerozporuju.

[TTcko]

jo takhle, no tak to máš asi trochu chybu v tvých informacích, ddos šel tak na 30+ ISP v CZ .. a nejen ISP

[hapi]

tak pomalu a postupně..


f) silně pochybuju, že si za 2usd koupím ddos z 1G na 10G, nemám zkušenost, ale můžu pohledat

jo pohledej. Před lety jsme to řešili a pak jsme nacházeli takový hezký stránky kde doslova v jednotkách USD sis nakoupil ddos jakej si chtěl, jak dlouhej si chtěl, jakej typ ddosu, s jakou šířkou, jakou sílou atd... je to nechutně levný v poměru toho kolik škoda stojí.

[okoun]

jo a nájemná vražda je také nechutně levná....
má to ale háček za oboje si můžeš jít sednou pokud na to někdo přijde....

[K3NY]

poslal aspon nekdo reqest na nix odkoho to slo?

[TTcko]

je to bordel, víceméně celej svět ... a jsou to tyhle porty 19,389,123,1900 udp + fragments udp

Screenshot 2019-05-14 at 15.38.02.png (115.26 KiB) Zobrazeno 2390 x