Názory k článku
Ředitelství silnic a dálnic je pod kyberútokem, klíčové systémy mají fungovat

Otazkou je, jestli jde o bezne volumetricke utoky. Resit SYN flood je trivka, ale odrazet utoky na sedme (aplikacni) vrstve ISO/OSI uz tak jednoduche neni - uz jen proto, ze k jejich uspesnosti staci podstatne mensi kapacity. Aneb ani takovy CloudFlare nechyti vse....

A ze se ptam... kdo ze v CR ma ten 1Tbps kapacity? :-) Nestydte se, reknete jmeno.

Mozna cas nakoupit anti-ddos. I v Cesku je firma, co to zvladne do 1 Tbps klidne na takovy ty bezny veci (SYN flood etc). Ale hadam, ze tyhle systemy stejne maji takovou nulovou prioritu, protoze stat ..

Mitigovat volumetricke utoky umi i poskytovatele IP tranzitu (vc. Tier1). Samozrejme je to sluzba jako jakakoliv jina - nechaji si to zaplatit, a u kolenovrtu to muze byt problem :-) Obecne plati, ze bezpecnostni opatreni se musi vrstvit, rozhodne neexistuje jedna magicka krabice, co pokryje vsechny scenare.

Ja vim jak funguje CF... jen rikam, ze to neni vsespasitelne. Utoky, ktere pres CF prosly az na koncovy server jsem uz take videl. A ty utoky byly zakernejsi, nez nejake tupe (SYN) floody. Ono tak uz tak byva, ze kdyz selzou jednoduche veci, utocnik se postupne presune ke slozitejsim technikam.

Naopak, L7 utoky jsou stale castejsi. Prave proto, ze ty volumetricke byvaji nejak osetrene, zatimco ty aplikacni se lepe schovaji do bezneho provozu a na transportni vrstve se detekuji sloziteji (zvlast je-li provoz sifrovany, coz dnes je uz standard).

AS60068
Jj. Nejlepsi kdyby to byl staticky web. Tam se to rozpusti jednoduse. Je to jak pises, na L7 se to dela hur.

Jinak, ja vim, ze ho nekdo nemusi, ale ta kapacita tam je.
Typicky utok byl driv nejaky par set Gbps SYN flood treba, ty L7 nejsou zas tak moc bezne - tam se nekdo uz hodne snazi.

Noo a jak bys resil SYN flood, na ktery nemas CPU kapacitu (Mpps zabiji kernel driver sitovky)? Nejaky radware/outsource do Neustar-style service? (nevim, nesleduju tyhle zarizeni). Plus musis mit silnou pipe, a seriozni switche atd..
Muzu rict, ze se s tim docela zapasilo, nez se prislo na neco vlastního s DPDK, co to umí odfiltrovat. Protoze takovy ty veci jako syn cookies fungujou jen na papire.
Takze nechtel bych to resit, kdyby networking nebyl muj core biz, a spis bych si zaplatil ten CloudFlare. Jinak tu celou jejich architekturu stavis znova :))

Hmm, zajimavy, ze to nekdo umi. Potom to bude podobna sluzba.
V CF se to rozprostira anycastem mezi servery a filtrujes primo na stroji (zajimavost - tohle je jediny, na co se spoleha - ze to prijde rozlozeny - osobne jsem s nima resil nedodelek, kdybych poslal 200G do jejich jednoho POPu a ne na anycast, tak to ten POP polozi :) a to mi potvrdili, a rekli at to zkusim :))), to druhe reseni je OVH-style. Analyza trafficu a podezrely se na switchi presmeruje pres filter (nejaka farma antiddos severu). A tohle jsme postavili. Takze to bude to samy, co nabizi ti ISP.
Nejakym blackbox krabicim bych prave moc neveril a nikdy bych to nekupoval, osobne.

No vida a mame z toho priznane napadeni systemu ransomwarem... tam by ta 1Tbps ochrana opravdu moc nepomohla :-) Spis by to tam nepozorovane proslo jak nuz maslem...