Am1G0 Опубликовано 27 апреля, 2012 · Жалоба Как определить размер IPv6 сегмента, выделенного конкретному хосту? Дело в том, что с IPv4 довольно просто банить при L7 DDoS–атаках, спам–ботов разных и так далее, заблеклистив 1 IP (или всю аску, к которой он принадлежит, на крайний случай), с IPv6 подобное недопустимо просто потому, что владелец каждой конкретной AS может дробить выделенные ему диапазоны IPv6 так, как ему заблагорассудится, а банить, к примеру /64 не думая — не выход, может быть слишком много или наоборот, мало. Может быть есть какие-то интересные варианты? Буду признателен за любую информацию к размышлению. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 апреля, 2012 · Жалоба Сейчас даже можно купить vps за копейки с /48 ipv6 и устраивать dos-атаки с разных /64, а это 64к записей в ACL На практике можно поступать так: в первых раз блокировать /128(насколько я понимаю, виндоус-вирусы не могут задавтаь source ip), затем, если сработал критерий атаки на ip из того же /64, то из этих 2ух ip формировать наибольший по длине префикс, в третий раз банить весь /64. Ещё можно смотреть на bgp, если префикс анонсируется как /48, то слать абузу всем кому можно(это либо хостинг, либо мелкая контора). Если как /32, то это средний/крупный провайдер и ваша жалоба уйдёт в /dev/null Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 28 апреля, 2012 (изменено) · Жалоба Am1G0 Многие VPS- и даже dedicated- хостеры до сих пор дают пять-десять-шестнадцать IPv6-адресов, в виде единичных routed /128 из общей для всех клиентов на одном железячном сервере подсети. К примеру есть такая весьма популярная система управления VPS-хостингом под названием SolusVM, адрес назначенный посредством неё будет выглядеть как 2001:db8:0:0:0:0:1234:abcd (последние два сегмента случайны, и два адреса одного клиента от адресов двух разных клиентов не отличить). Также известны хостеры дающие по /112 на VPS. Возможно когда все клиенты начнут улетать в баны/фильтры целиком из-за действий кого-то одного, они наконец переобдумают эту практику. На практике можно поступать так: в первых раз блокировать /128(насколько я понимаю, виндоус-вирусы не могут задавтаь source ip), затем, если сработал критерий атаки на ip из того же /64, то из этих 2ух ip формировать наибольший по длине префикс, в третий раз банить весь /64. Звучит как достаточно разумный компромиссный вариант, но по сути выходит что в итоге банить /64 и надеяться, что раздающих меньше это со временем вразумит. Изменено 28 апреля, 2012 пользователем rm_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 апреля, 2012 · Жалоба Вроде винда при префиксе /64 переодически рандомно меняет адрес который используется для коннектов во вне, вообщем есть там постоянный и временный адрес. Для банов нужно юзать aggregate, чтобы количество записей не сильно росло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 2 мая, 2012 · Жалоба То есть из-за трех абонентов будут глушится все? Интересно, а реально ли на сети размером в 50 тысяч провайдер может обеспечить не более 2 заразившихся клиентов? Да у каждого третьего такой зоопарк троянов... Давайте, апгрейдите свои защитные фильтры, чтобы держали достаточное количество записей блокировок. Или просто проститесь с посетителями. Вы же сами не сможете реагировать на поток вопросов от провайдеров "дайте перечень IP из-за которых отключено". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 2 мая, 2012 · Жалоба А в чём проблема сделать форму: пустите меня я не бот, могу доказать! И разблочивать хость/сеть после этого и пущать на свой супер мега важный сайт... Мир меняется, меняйтесь с ним. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Am1G0 Опубликовано 3 мая, 2012 (изменено) · Жалоба То есть из-за трех абонентов будут глушится все? Интересно, а реально ли на сети размером в 50 тысяч провайдер может обеспечить не более 2 заразившихся клиентов? Да у каждого третьего такой зоопарк троянов... Давайте, апгрейдите свои защитные фильтры, чтобы держали достаточное количество записей блокировок. Или просто проститесь с посетителями. Вы же сами не сможете реагировать на поток вопросов от провайдеров "дайте перечень IP из-за которых отключено". проблема не в количестве записей, которые можно держать, а в том, что при отсутствии реальной возможности определить "широту" конкретного хоста, с которого валит, придётся рубить с плеча. нормальна ли ситуация, когда с нескольких дедиков с затратами на поддержание в $100 в день можно будет положить тот же ЖЖ? печально, что при разработке IPv6 подобное не было учтено, как и не разрабатываются на данный момент никакие идеи о том, как можно было бы запретить роутинг до целевого хоста с самого целевого хоста - это решило бы все проблемы с ддосом раз и навсегда. предложенный s.lobanov вариант интересен, но это всё-равно вариант "наугад", хотя за него, разумеется, признателен, так как в рамках ipv6 можно хоть как-то бороться, лишь комбинируя максимум методов. А в чём проблема сделать форму: пустите меня я не бот, могу доказать! И разблочивать хость/сеть после этого и пущать на свой супер мега важный сайт... Мир меняется, меняйтесь с ним. это, разумеется, можно, но даже сейчас, если для первичного доступа на сайт показывать капчу, а не использовать всякую хитроту, то это сразу минус 30-40% посетителей. а с предложенным вами вариантом не думаю, что более процента будут что-то кому-то доказывать. да и толку, если ip всё-равно динамический? Изменено 3 мая, 2012 пользователем Am1G0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Am1G0 Опубликовано 22 мая, 2012 · Жалоба поступила информация, что гугл в ipv6 в случае большого количества запросов с одного адреса, выводит капчу для маски /112 (последний октет), в ближайшее время проверю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 22 мая, 2012 · Жалоба не разрабатываются на данный момент никакие идеи о том, как можно было бы запретить роутинг до целевого хоста с самого целевого хоста - это решило бы все проблемы с ддосом раз и навсегда. Жесть. Лекарство хуже болезни. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Am1G0 Опубликовано 24 мая, 2012 · Жалоба Жесть. Лекарство хуже болезни. не могли бы объяснить, почему вы так считаете? только, пожалуйста, не с провайдерской точки зрения (любименький мимими хомячок, лишь бы не свалил никуда), а аргументировано?если что, то речь шла о чём-то вроде RTBH, только при отсутствии возможности использовать IGP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 24 мая, 2012 · Жалоба Am1G0 Как я понял, вы хотите, чтобы любой хост имел возможность заблеклистить себя на любом другом хосте? С любой точки зрения - это фича, которую все будут всюду первым делом отключать - что-то вроде IP source-routing'а, или приема icmp-redirect'ов. Даже не знаю откуда начать "аргументы"... для начала можно подумать о злоупотреблении этой штукой (вирусы, ддосы "наоборот", лимиты блеклистов, спуфинг приобретает новый смысл, цензура обыкновенная, ....), игнорировании этой штуки (всеравно буду слать, хоть raw-сокетами), о том, как потом "разблеклиститься" и как жить в такой сети обычному пользователю и что делать техподдержке (не у провайдеров тоже бывает техподдержка). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
homeuser Опубликовано 24 мая, 2012 · Жалоба Am1G0потому что запретить роутинг до целевого хоста с самого целевого хоста это значит что мне придёт пакет запрещающий ходить куда либо и ладно придёт, ещё и слушаться обязан - считай удалённое управление доступностью сети. да это хуже. это ддос с другой стороны, т.е. сервис недоступен не потому что он не работает а потому что тебе кто-то запретил и ты не можешь до него достучаться... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 мая, 2012 · Жалоба печально, что при разработке IPv6 подобное не было учтено, как и не разрабатываются на данный момент никакие идеи о том, как можно было бы запретить роутинг до целевого хоста с самого целевого хоста - это решило бы все проблемы с ддосом раз и навсегда. если речь о ddos-е серверов, то некоторые isp предоставляют так называемый blackhole community, по существу это и есть то, что вы описали. Но проблема-то в том, что при ip source spoofing это никак не поможет, а заспуфить свой ip и послать кучу мусора в современной помойке под название интернет - раз плюнуть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...