Атака особенно опасна из-за распределённой природы — Kirin использует тысячи подключений, что позволяет злоумышленникам обойти традиционные механизмы защиты (например, ограничения на количество маршрутов или фильтрацию сбоев). Более того, благодаря относительной доступности виртуальных серверов, необходимую для атаки инфраструктуру можно развернуть с минимальными затратами и на легитимных AS.
Как правило, всего две сессии с RS на обменнике. На них устанавливается prefix-limit, например, в 100к. Почему это не должно сработать?
Замечательное исследование, открывшее новую уязвимость. Зная, например, RT vrf Сбербанка в сети Ростелеком, можно проанонсировать more specific инфраструктурно-значимого сервиса, и, как минимум, сломать что-то серьезное. Для данного метода напрашивается определение Inter-AS BGP hijacking :)
Все хорошо у РЕТН со Folwspec, и клиентам данный сервис тоже предоставляется (естественно не бесплатно :-) ) с такими же ограничениями по prefix-limit в 10 префиксов, как и у RASCOM. А вот с Arbor, в контексте DDoS-mitigation, там не все так радужно из-за лицензионного ограничения полосы TMS. Зато реализован огромный потенциал сигнализации от Arbor.
На всякий случай ссылка на сервис от РЕТН: retn.net/ru/services/ip-guard
BGP RTBH бесплатно предоставляют все, у кого оно реализовано. Flowspec (не specflow :-) ) очень хорошо реализован на сети РЕТН. Кстати у них есть также extended RTBH, к сожалению сервис платный.
Но следует всегда помнить, что если вы собираетесь защищать от DDoS конкретные сервисы, то ни BGP Flowspec, ни RTBH при таргетированных на сервис атаках вам не поможет.
Как правило, всего две сессии с RS на обменнике. На них устанавливается prefix-limit, например, в 100к. Почему это не должно сработать?
На всякий случай ссылка на сервис от РЕТН:
retn.net/ru/services/ip-guard
Но следует всегда помнить, что если вы собираетесь защищать от DDoS конкретные сервисы, то ни BGP Flowspec, ни RTBH при таргетированных на сервис атаках вам не поможет.