[Am1G0]

Как определить размер IPv6 сегмента, выделенного конкретному хосту?

Дело в том, что с IPv4 довольно просто банить при L7 DDoS–атаках, спам–ботов разных и так далее, заблеклистив 1 IP (или всю аску, к которой он принадлежит, на крайний случай), с IPv6 подобное недопустимо просто потому, что владелец каждой конкретной AS может дробить выделенные ему диапазоны IPv6 так, как ему заблагорассудится, а банить, к примеру /64 не думая — не выход, может быть слишком много или наоборот, мало.

Может быть есть какие-то интересные варианты? Буду признателен за любую информацию к размышлению.

[s.lobanov]

Сейчас даже можно купить vps за копейки с /48 ipv6 и устраивать dos-атаки с разных /64, а это 64к записей в ACL

 

На практике можно поступать так: в первых раз блокировать /128(насколько я понимаю, виндоус-вирусы не могут задавтаь source ip), затем, если сработал критерий атаки на ip из того же /64, то из этих 2ух ip формировать наибольший по длине префикс, в третий раз банить весь /64.

 

Ещё можно смотреть на bgp, если префикс анонсируется как /48, то слать абузу всем кому можно(это либо хостинг, либо мелкая контора). Если как /32, то это средний/крупный провайдер и ваша жалоба уйдёт в /dev/null

[rm_]

Am1G0

Многие VPS- и даже dedicated- хостеры до сих пор дают пять-десять-шестнадцать IPv6-адресов, в виде единичных routed /128 из общей для всех клиентов на одном железячном сервере подсети. К примеру есть такая весьма популярная система управления VPS-хостингом под названием SolusVM, адрес назначенный посредством неё будет выглядеть как 2001:db8:0:0:0:0:1234:abcd (последние два сегмента случайны, и два адреса одного клиента от адресов двух разных клиентов не отличить).

Также известны хостеры дающие по /112 на VPS.

Возможно когда все клиенты начнут улетать в баны/фильтры целиком из-за действий кого-то одного, они наконец переобдумают эту практику.

 

На практике можно поступать так: в первых раз блокировать /128(насколько я понимаю, виндоус-вирусы не могут задавтаь source ip), затем, если сработал критерий атаки на ip из того же /64, то из этих 2ух ip формировать наибольший по длине префикс, в третий раз банить весь /64.

Звучит как достаточно разумный компромиссный вариант, но по сути выходит что в итоге банить /64 и надеяться, что раздающих меньше это со временем вразумит.

Изменено 28 апреля, 2012 пользователем rm_

[Ivan_83]

Вроде винда при префиксе /64 переодически рандомно меняет адрес который используется для коннектов во вне, вообщем есть там постоянный и временный адрес.

 

Для банов нужно юзать aggregate, чтобы количество записей не сильно росло.

[Tosha]

То есть из-за трех абонентов будут глушится все? Интересно, а реально ли на сети размером в 50 тысяч провайдер может обеспечить не более 2 заразившихся клиентов?

Да у каждого третьего такой зоопарк троянов...

 

Давайте, апгрейдите свои защитные фильтры, чтобы держали достаточное количество записей блокировок.

Или просто проститесь с посетителями. Вы же сами не сможете реагировать на поток вопросов от провайдеров "дайте перечень IP из-за которых отключено".

[Ivan_83]

А в чём проблема сделать форму: пустите меня я не бот, могу доказать!

И разблочивать хость/сеть после этого и пущать на свой супер мега важный сайт...

 

Мир меняется, меняйтесь с ним.

[Am1G0]

То есть из-за трех абонентов будут глушится все? Интересно, а реально ли на сети размером в 50 тысяч провайдер может обеспечить не более 2 заразившихся клиентов?

Да у каждого третьего такой зоопарк троянов...

 

Давайте, апгрейдите свои защитные фильтры, чтобы держали достаточное количество записей блокировок.

Или просто проститесь с посетителями. Вы же сами не сможете реагировать на поток вопросов от провайдеров "дайте перечень IP из-за которых отключено".

проблема не в количестве записей, которые можно держать, а в том, что при отсутствии реальной возможности определить "широту" конкретного хоста, с которого валит, придётся рубить с плеча.

нормальна ли ситуация, когда с нескольких дедиков с затратами на поддержание в $100 в день можно будет положить тот же ЖЖ? печально, что при разработке IPv6 подобное не было учтено, как и не разрабатываются на данный момент никакие идеи о том, как можно было бы запретить роутинг до целевого хоста с самого целевого хоста - это решило бы все проблемы с ддосом раз и навсегда.

предложенный s.lobanov вариант интересен, но это всё-равно вариант "наугад", хотя за него, разумеется, признателен, так как в рамках ipv6 можно хоть как-то бороться, лишь комбинируя максимум методов.

 

А в чём проблема сделать форму: пустите меня я не бот, могу доказать!

И разблочивать хость/сеть после этого и пущать на свой супер мега важный сайт...

 

Мир меняется, меняйтесь с ним.

это, разумеется, можно, но даже сейчас, если для первичного доступа на сайт показывать капчу, а не использовать всякую хитроту, то это сразу минус 30-40% посетителей. а с предложенным вами вариантом не думаю, что более процента будут что-то кому-то доказывать. да и толку, если ip всё-равно динамический?

Изменено 3 мая, 2012 пользователем Am1G0

[Am1G0]

поступила информация, что гугл в ipv6 в случае большого количества запросов с одного адреса, выводит капчу для маски /112 (последний октет), в ближайшее время проверю.

[vitalyb]

не разрабатываются на данный момент никакие идеи о том, как можно было бы запретить роутинг до целевого хоста с самого целевого хоста - это решило бы все проблемы с ддосом раз и навсегда.

Жесть. Лекарство хуже болезни.

[Am1G0]

Жесть. Лекарство хуже болезни.

не могли бы объяснить, почему вы так считаете? только, пожалуйста, не с провайдерской точки зрения (любименький мимими хомячок, лишь бы не свалил никуда), а аргументировано?

если что, то речь шла о чём-то вроде RTBH, только при отсутствии возможности использовать IGP.

[vitalyb]

Am1G0

Как я понял, вы хотите, чтобы любой хост имел возможность заблеклистить себя на любом другом хосте?

 

С любой точки зрения - это фича, которую все будут всюду первым делом отключать - что-то вроде IP source-routing'а, или приема icmp-redirect'ов. Даже не знаю откуда начать "аргументы"... для начала можно подумать о злоупотреблении этой штукой (вирусы, ддосы "наоборот", лимиты блеклистов, спуфинг приобретает новый смысл, цензура обыкновенная, ....), игнорировании этой штуки (всеравно буду слать, хоть raw-сокетами), о том, как потом "разблеклиститься" и как жить в такой сети обычному пользователю и что делать техподдержке (не у провайдеров тоже бывает техподдержка).

[homeuser]

Am1G0потому что

запретить роутинг до целевого хоста с самого целевого хоста

это значит что мне придёт пакет запрещающий ходить куда либо и ладно придёт, ещё и слушаться обязан - считай удалённое управление доступностью сети. да это хуже. это ддос с другой стороны, т.е. сервис недоступен не потому что он не работает а потому что тебе кто-то запретил и ты не можешь до него достучаться...

[s.lobanov]

печально, что при разработке IPv6 подобное не было учтено, как и не разрабатываются на данный момент никакие идеи о том, как можно было бы запретить роутинг до целевого хоста с самого целевого хоста - это решило бы все проблемы с ддосом раз и навсегда.

 

если речь о ddos-е серверов, то некоторые isp предоставляют так называемый blackhole community, по существу это и есть то, что вы описали. Но проблема-то в том, что при ip source spoofing это никак не поможет, а заспуфить свой ip и послать кучу мусора в современной помойке под название интернет - раз плюнуть