DoS & DDoS - Was: [LUGOS] Pipin Odprti Termin: Nekaj vzorcnih primerov z mize varnostnega centra SI-CERT

[Iztok Umek]

On Mon, Apr 10, 2006, Jernej Horvat <j+lugos at aufbix.org> said:

>> unfortunately DoS amplification attacks are still with us.  There are
>> indications that the damage caused by such attacks is increasing;
>> certainly their visibility has increased recently.  The only way to
>> effectively stop amplification attacks is to prevent IP source address
>> spoofing.  Without spoofing there is no amplification and no obfuscation
>> of the real source of DoS attack traffic.  RIPE needs to encourage
>> operators to prevent IP source address spoofing.  Hence I propose to
>> establish an "IP Spoofing" task force. 


No, recimo ebay lepo funkcionira tudi brez tega ingres filteringa. Imajo
pac ustrezen obrambni sistem. V detalje se zal ne morem preves spuscat
(zaradi NDA).

Je pa tako, da z ustrezno omrezno opremo (ki ne temelji na PC tehnologiji,
preprosto zaradi velike kapacitete teh napadov) lahko DoS in DDoS da dokaj
efektivno preprecevati.

Na zalost se danasnjega seminarja ne morem udelezit (druzinske obveznosti
ob kratkem obisku v Sloveniji). 

Je pa tako da vecina tehnologij uporablja le SYN cookije, to pa je zelo
zahtevna operacija. Pa se ne dela v primeru raznih IGMP, ICMP, UDP floodov
etc...

Tudi ingress filtering je problematicen, saj se vedno lahko spoofajo IP
naslove znotraj ISP bloka, kar pomeni, da imajo se vedno multiplikativni
efekt.

Resitev za zmedo? Kaj pa vem, poleg klasicnega DoS/DDoS zavarovanje je
potreben kaksen adaptivni DoS shield (behavioral DoS protection). Po
zadnjih podatkih je sedaj po svetu razlika med napadi 20:80 (20% napadov
crvov, virusov ..., kar zaznajo klasicni IPSi in 80% DoS/DDoS). Tako da ce
ze delas zascito sistema, je dan danes skoraj bolj pomembna zascita pred
DoS/DDoS kot pa klasicna IPS zascita.