CZ.NIC a CSIRT.CZ vydaly report o útocích

Je tam taky kapitola o možných protiopatřeních. A je dost bezzubá. Z trochu realistických technických možností zmiňuje v podstatě jenom "DNS round robin" a "filtrovací krabičku" předřazenou napadenému serveru, která by se snažila filtrovat "škodlivé" pakety (v reportu není blíže zmíněno, podle čeho se škodlivý provoz na úrovni jednotlivých paketů pozná). Čili nic nového. Nejsou ani zmíněny syncookies, jenom obecně rate limit...

Hledal jsem, kde na to zareagovat do fóra někde "blíž u pramene" či na relevantnějším místě, ale nakonec asi nejlepší místo je tady na Abíčku... takže dovolte pár chabých canců človíčka, který je zhruba 10 let mimo obor. Dovolte dva snivé nápady z říše sci-fi - čistě technicky vzato.

1) Ten nápad s DNS round robinem mě přivedl na související myšlenku: takhle kdyby se konečně nějak standardizovalo SRV pro HTTP, aby se Mozilla a další nemohli vymlouvat, že na to není RFC a že je to principielně/koncepčně vadné... DNS round-robin sám o sobě totiž neříká nic o tom, že těch víc adres má sloužit jako vzájemná záloha (tak jak jsou koncepčně chápány třeba SMTP MX záznamy nebo právě SRV).

2) Pro řešení případů SYN floodingu se spoofnutou zdrojovou adresou, a taky pro řešení různých dalších druhů útoků, možná včetně rozplétání pozadí botnetů, by se hodil "velký bratr" = nějaká distribuovaná infrastruktura pro sniffování, hledání čehosi v protékajícím provozu, a v druhém kroku případně filtrování (což je technicky citelně problematičtější). Pokud by to mělo být akčně použitelné, muselo by to být centrálně operativně ovladatelné, přitom distribuované/koordinované napříč přes několik národních ISP. Pouhé sniffování by znamenalo vytáhnout "mirror porty" z access switchů/routerů a border routerů, nechat si všechen provoz daného routeru cpát do nějakého stroje, který by stíhal porovnávat hlavičky. Část těchhle informací leze z routerů taky skrz Netflow, možná by to stačilo. Filtrování je horší oříšek, to by byla dodatečná zátěž na routerech - na border routerech problém.

Jsem si jistě vědom "lidských" problémů varianty 2) = citlivá data, zneužitelnost, obchodní tajemství v konkurenčním prostředí, kdo ohlídá hlídače, prostě problémy velkého bratra.

Ostatně byla informace "odkud to k nám přichází" vcelku jasná docela rychle i bez velkého bratra - a zásah proti zdroji útoku na cizím území jaksi domácí národní "velký bratr" stejně neřeší