Как стать автором
Обновить

Конференция BLACK HAT. Уроки выживания при DDOS-атаке 300 Гбит / с. Часть 2

Время на прочтение 14 мин
Количество просмотров 5.5K
Всего голосов 18: ↑18 и ↓0 +18
Комментарии 3

Комментарии 3

Не очень понимаю в этой теме, так как программист, а не сетевик.
Как я понял, Flowspec позволяет передать «правила файрвола» своим соседям?
А если все включат себе Flowspec, это решит проблему с DDoS?
Ну, насколько я понимаю, что всё равно у кого-то будет поток атакующего трафика, до того, как пакеты будут дропнуты. Идея, опять же, из того, как я понимаю, раздробить потоки атаки и размазать их по всей своей инфраструктуре по всему миру, а уж там эти небольшие потоки пакетов дропать.
А если откидывать пакеты на первом же километре от проблемного dns-сервера, то проблемы будут только у этого узла, а в противном случае, не только у него, но и у всех остальных по цепочке, до момента отброса мусора.
Опять же, сомневаюсь, что провайдеры с возможностями спуфинга будут партнёрами/соседями анти-ddos провайдеров, так что не сильно-то и решит, просто это расширило бы возможный круг партнёров-isp для cloudflare. Думаю, если бы кто из телекомов отписался, он бы смог ответить точнее, чем мои догадки.
Нет, не решит.
Для фильтрации DDoS-атак между провайдерами в текущей реализации BGP Flowspec есть ряд ограничений.

1. Доверие
Оператор не может просто так позволить кому-то извне определять какой трафик должен сбрасываться на его сети, а какой проходить. А если пришло «ошибочное» правило и пострадал клиент оператора, то кто будет отвечать? Есть несколько вариантов проверки и фильтрации приходящих правил, но они для ограниченных сценариев использования. Также на доверие влияют пункты 2 и 3.

2. Оборудование
Большинство современных маршрутизаторов с BGP Flowspec ограничены несколькими тысячами «элементарных» правил. Если взаимодействие по BGP Flowspec ставить на поток, то TCAM быстро закончится.

3. Баги
Поддержка BGP Flowspec у разных вендоров и моделях различается и неполноная. Есть серьезные ошибки в реализации. Например, CVE-2019-0003, CVE-2014-6386.

4. Деньги
Транзитный оператор зарабатывает на пересылке трафика. Если трафик атаки не нагружает его сеть, то фильтрация получается себе в минус.

5. Частичная защита
Используя правила BGP Flowspec можно срезать только часть объемных атак и не для всех видов защищаемых сервисов. При этом остаются атаки другого типа и объемные атаки трафик, которых не получается описать через текущий набор.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий