co dělat s ddos od NIXu?

[Sidi]

Koukám, že se někdo docela snaží. Včera brečeli i na wedosu, že na ně přišlo cca 25Gbit ...

[TTcko]

já tipuju nějakýho švedskýho nebo norskýho fanouška

[pgb]

Někteří jsou tu chytří jak rádio ..... doufám že se na mě nebude okoun zlobit, ale 10G port to fakt nevyřeší - představte si, že jste lokální isp, platíte to z vlastní kapsy a máte 2x1Gbit nebo třeba 1x10G+1x1G a přijde na vás 35Gbps to co teklo na něj. Tomu se prostě blbě bráníte.

[TTcko]

sorry, ale to je prasárna od NIX .. dávat 1G port .. vždyť to je sranda .. jak sem psal, stejně to je hardwarově 10G port ..když pak bude Okoun mít 2x10G od NIX a 2x10G od Peering.. tak to dá

[Dalibor Toman]

sorry, ale to je prasárna od NIX .. dávat 1G port .. vždyť to je sranda .. jak sem psal, stejně to je hardwarově 10G port ..když pak bude Okoun mít 2x10G od NIX a 2x10G od Peering.. tak to dá
však NIX.sk maj 10G za 4.000,- ale asi sme v CZ specifickej trh .. tady je 10G za 14.000 .... a nevěřím, že kdyby 10G bylo za 4.000,-, že si to Okoun nekoupí

co hulis? Zitra bys mohl takhle argumentovat pro 40g porty a pozitri pro 100g.
A az budou kvuli DDoSum o 2 rady naddimenzovany vsechny linky, tak zacne kolecko nanovo, protoze boti farmy budou mit lepsi konektivitu...

[pgb]

TTcko LOL, s rychlostí portů by jsi takhle mohl argumentovat do nekonečna. 10G za 4000,- by byl super, o tom žádná, pokud už jsi teda v tom datacentru, z něj to taky musíš dostat pryč.

[hapi]

útočník zaplatí o 2USD víc a 10Gbit port je v čoudu. Tohle se dá řešit pouze přes clearingový centrum který má třeba 100Gbit a rozpozná ddos a dropne ho.

RTBH nefunguje? Jo jak by mohlo když to letí ze všech směrů a z podvržených IP adres. Co ti případně pomůže je odříznutí zahraničí. Hlavní chyba je že například z přípojky v polsku můžu do čech poslat paket s podvrženou SRC adresou a po cestě to nikdo nezařízne. Takhle si hezky můžu generovat nedohledatelný src adresy. No ale torch si na gw pustil ne? tam to hezky uvidíš.

[TTcko]

co hulis? Zitra bys mohl takhle argumentovat pro 40g porty a pozitri pro 100g.
A az budou kvuli DDoSum o 2 rady naddimenzovany vsechny linky, tak zacne kolecko nanovo, protoze boti farmy budou mit lepsi konektivitu...

tak až zklidníš hormon, tak si to nech projít hlavou, popřemýšlej o tom.. a pak budeš mít i šanci to i pochopit ... třeba že když máš 10G switch, kolik pak asi tak stojí v nákladech jeden 1G port a jeden 10G port.. stejně viď .. a že by ta několikanásobně větší cena byla daná rozdílem spotřeby elektřiny SFP, nebo nájmu za 1U?
ale v poho, já to chápu .. politika .. no tak jim peering sežral půlku trhu no .. vždyť no problem

pgb: v datacentru si s tím poradíš na svým firewalu ...
hapi: zajimavý viď že na tý 100G už ta velká kapacita zázračně funguje .. a ano souhlasím bylo by dobrý když by se zapínal RPFilter .. otázka je, kdo to třeba tady vůbec řeší ...

[pgb]

- no .... z vlastní zkušenosti mohu říct, že upc mi dovolí odeslat přes ně jakéholiv zdrojové ip .....
- filtrovat 100G provoz jen tak lehký nebude, to by se na to nespecializovaly veliký společnosti, čistý routing v hardwaru je něco hodně jiného nežli firewall - i když zátěž rozložím, pořád to je pálka, když potřebuju třeba 2G a přitom být připraven na 40G a více

[TTcko]

řekl bych že qumran nebo jericho to dá:-)
jinak když mrkneš na nix, tak to 100g nebylo, i borec z dialu psal že 20+, a to bys asi odfiltroval. Průser je, že když ti to jde na /22, tak to moc nepoznáš, páč 20M na adresu vypadá jako normal traffic ..

[ludvik]

RTBH samozřejmě funguje. Ono je totiž opačné, než myslíš. U něj tě zajímá DST adresa, nikoliv SRC. A cílová bývá leckdy jen jedna, či několik málo.

RTBH nefunguje? Jo jak by mohlo když to letí ze všech směrů a z podvržených IP adres. Co ti případně pomůže je odříznutí zahraničí. Hlavní chyba je že například z přípojky v polsku můžu do čech poslat paket s podvrženou SRC adresou a po cestě to nikdo nezařízne. Takhle si hezky můžu generovat nedohledatelný src adresy. No ale torch si na gw pustil ne? tam to hezky uvidíš.

Ale jinak souhlasím, BCP38 by hodně pomohlo. Ale to je jak s venerickými chorobami ... ty lze zničit naprosto jednoduše. Jen kdyby kokoti spolupracovali.

[K3NY]

- no .... z vlastní zkušenosti mohu říct, že upc mi dovolí odeslat přes ně jakéholiv zdrojové ip .....
- filtrovat 100G provoz jen tak lehký nebude, to by se na to nespecializovaly veliký společnosti, čistý routing v hardwaru je něco hodně jiného nežli firewall - i když zátěž rozložím, pořád to je pálka, když potřebuju třeba 2G a přitom být připraven na 40G a více

a jak bys to taky chtel resit? Kdyz ti poskytnu Uplink na dvou mistech, tak ti asi težko mužu filtrovat, nebo je lepsi kdyz ti proste nekdo dropne legitimni provoz, protoze IP z lokality A se najednou obejvili v lokalite B? To musi zajitit prvni kdo pripojuje, protoze cim dal od zdroje jsi, tim hur se to resi.

[ludvik]

Když mi poskytneš uplink na dvou místech, tak pořád víš, co tam mám za segment. Vědět to nemůžeš jen v případě, kdy je tam i tranzit. Což zase tak často nebývá (alespoň u sítí zde se vyskytujících).

[pgb]

2 K3NY: jak psal ludvik, mám svůj rozsah a pokud nejsem tranzit, tak mě prostě filtruješ pouze na můj rozsah. Nic víc ... nějak ve tvé otázce nevidím logiku. Osobně mám více linek a na každé propaguji pomocí bgp svoje rozsahy a třeba mám na propojení těch lokalit úplně jiný okruh .... z pohledu mého dodavatele to je jedno. To že mi upc umožní odeslat úplně cizí zdrojové ip už je další věc.

[K3NY]

Když mi poskytneš uplink na dvou místech, tak pořád víš, co tam mám za segment. Vědět to nemůžeš jen v případě, kdy je tam i tranzit. Což zase tak často nebývá (alespoň u sítí zde se vyskytujících).

co tam mas za segmenty je mi uplne u prdele, me jde o to co mas v asn