Комментарии 21
Например, адрес 1.1.1.1 это публичный
1.1.1.1 к слову еще и anycast, и Cloudflare описывает, что такое anycast DNS
и как anycast обеспечивает устойчивость к DDoS-атакам
https://www.cloudflare.com/learning/dns/what-is-anycast-dns/
Эти адреса можно без опаски повторно использовать внутри страны и никогда не произойдёт пересечение с пользовательскими сервисами, потому что пользовательских сервисов на этих адресах нет.
Это вы классно придумали. А вообще, за такое и голову оторвать могут. Да и никакой bgp оператор не будет маршрутизировать для вас адреса, которые принадлежат/относятся к левой AS. Вы как себе это представляете? Приходите к RETN и такие, слушай, давай вот это запульнем - никто же не юзает, и эта, в аплинки не отправляй, по братски прошу.
Просто юзайте bgp коммьюнити и любые адреса могут быть плюс-минус зарезаны для внешнего мира.
В приличном обществе за такое бьют. Возможно даже ногами.
не очень понятно, что вы предлагаете. если использовать их внутри корпоративной сети - вместо rfc1918 - какую проблему это решит?
если же речь идет о анонсе таких сетей - приличный аплинк такой анонс не пропустит. даже если он не умеет в rpki. а неприличных не надо.
анонсировать что-то, что вам не принадлежит -- очень плохая практика.
Поздравляю с изобретением Чебурашконета. Только он никак не взлетает в том числе потому, что изоляция - это не решение. Во-первых, захотели вы защитить инфраструктуру банков, изолировали их сети, а что будете с клиентами, которым за границей нужен онлайн-банкинг и процессинг карт? Во-вторых, DDoS обычно идёт с ботнетов, как вы собираетесь защищаться от атаки идущей с миллионов инфецированных устройств внутри страны, чьи владельцы даже не подозревают о своём невольном участии в атаке?
изоляция это же не решение никак. ведь у вас в сети нет изолированых сегментов. и ни в одном банке тоже нет. зачем вообще файрволы? и зачем изолированые сегменты? ведь это чебарашканет.
и всегда есть клиенты за границей. а где я сказал что это нужно применять для сервисов у которых есть клиенты за границей? например провайдерский ДНС сервер. пользуются ли этим сервером клиенты из-за границы? угадайте с двух раз. например провайдерский личный кабинет. ну вы скажете что вы уехали в турцию. и находясь в турции вам нужно оплатить интернет в кварире в москве. ок. согласен. но например айпи адреса банкоматов. должны ли эти адреса быть обязательно доступны из-за рубежа? угадайте с двух раз.
ОМГ, что за бред я сейчас прочитал?
Непонятно, зачем нарушать многие RFC и сами принципы работы Интернет, вместо того, чтобы использовать общепринятые методы для противодействия DDoS:
использование фильтрации трафика на уровне провайдеров (например, uRPF — Unicast Reverse Path Forwarding).
внедрение технологий, таких как BGP FlowSpec, для блокировки вредоносного трафика.
на худой конец развивать облачные сервисы для защиты от DDoS-атак (всякие линуксы же перекрашиваем, почему бы не сделать аналоги Cloudflare, AWS Shield...).
во-первых, это вам кажется что нарушаются принципы работы. вы заучили какие то догмы и уверены что только эти догмы работают. а всё остальное не будет работать.
во-вторых методов противодействия очень много самых разнообразных, как и атак очень много разных. нет одной серебряной пули против всех атак. перечисленые вами методы могут иногда сработать против совсем глупых атакующих. мой метод тоже всего лишь дополнительная линия защиты среди многих других
Я ничего не заучивал, я руководствуюсь самой идеей. RFC — это такие документы, где описываются правила и идеи для интернета, от протоколов вроде HTTP до новых концепций. Всё началось в 1969 году, когда создатели ARPANET просто хотели удобно делиться своими мыслями и наработками. Сейчас эти документы выпускает организация IETF, и они стали основой для развития интернет-технологий. Если что-то нужно обновить, старый RFC не меняют, а пишут новый, чтобы всё было прозрачно и понятно.
Есть какая-то вероятность, что если нарушить догмы, то это заработает. Но шатания РКН в части НСДИ, DPI и других вещей говорят об обратном. Но те же самые запрет, байдипиай показывают, что при нарушении догм можно добиваться положительных результатов :)
я ничего против RFC не имею. если вы хотите чтобы ваш айпи адрес был доступен везде в интернет то строго следуйте RFC. прям буква в букву. это отличный набор правил и отличный набор идей.
а если вы хотите чтобы айпи адрес был доступен только внутри одной страны то придется или новый RFC писать и ждать одобрения там, либо сразу действовать.
Перекрашивать ничего не надо. Уже всё есть https://ddos-guard.ru/
И думаю они не единственные. У любого приличного облачного хостера есть защита от ддос.
Только вот цены не радуют таких сервисов
Тут все зависит от способа взаимодействия. Если происходит upsell, часто просто говоришь - вот есть X денег, хотите продать, продавайте, не хотите - не продавайте. Для людей с ASN и из "околопровайдерской" тусовки цены, как правило, не такие кусачие. Например, у меня есть 150 с берстом до 300 Mbit/s чистого канала с защитой от DDoS по весьма гуманной стоимости. Но я делаю по принципу разделения трафика и на этот канал ingress весьма ограниченно падает.
А если вы еще на какой-нибудь GRE согласны, то будет еще проще.
ЗЫ: ну и людей, могущих принимать решения, знать надо лично, конечно... тогда проще договариваться. Я так, в 2020м чуть 10Gbit VLAN из Томск в Новосибирск за 50К не купил, хотя там начинали с 200К :) Разговор шел в духе есть 50К, хотите продать - продавайте, больше денег нет :) правда обсуждение шло за хинкалями :)
Можно взять что-то здравое по теме написанного - просто не анонсировать за рубеж те или иные (но все-таки собственные) префиксы, если прямая связность оттуда по отношению к ним не нужна.
Другой вариант - анонсировать их там через локальное подключение там же и отправлять улавливаемый ими трафик в blackhole.
Как создать инфраструктуру, защищённую от зарубежных DDoS атак