Ze vam rusim vase kruhy, ale kdyz vemete 5M zarizeni, a zacnete otevirat tcp konexe, tak slozite velmi pravdepodobne prakticky libovolny cil, a to jeste rychleji, nez po udp. On ten cil totiz obecne na udp nemusi nijak odpovidat, tedy az do okamziku kdy se rozhodne ze odpovedet chce, ale na tcp musi uz jen proto, aby se dozvedel, co od nej ta IP pozaduje.
Obecne totiz neexistuje zadna obrana proti ddosu a pouzity protokol je jen vedlejsi - nektery tomu muze vyrazne pomoci, ale to uz nejsme na tcp/udp ... ale spise na tom, ze si za pomoci par bytu vyzadame kB odpovedi, ktere (v optimalnim pripade) pekne posleme jeste nekomu dalsimu.
Ale jak jsem uvedl, ve finale je to uplne jedno. Viz napriklad vecne nefunkcni vysilani CT po internetu. Jakykoli prenos o ktery projevi uzivatele vetsi zajem tu sluzbu zcela spolehlive DOSne. Pokud se 100k obcanu dohodne a pujdou refreshnou vsichni presne o pulnoci lupu, tak pujde lupa k zemi.
Praktický dopad cacheování NULA. Stějne (např po spuštění systému) musíte autoritativně získat odpověď. No a problém dns je UDP. UDP jako takové je v podstatě pozvánka k problému protože implementace čehokoliv od heuristiky přes detekce anomálií je výpočetně zcela mimo možnosti udělat to "snadno".
Takže řešením směrem k odolnosti resolverů nak na straně klienta (používat alespon 2-3) tak na straně poskytovatele tj používat jich desítky unicastově nebo anycast vylejzající do internetu na desítkách míst. 600 giga je už velká porce nicméně rozloženo do desítek unicast/anycast bodů je to filtrovatelné.
Co ovšem filtrovatelné není je když vemete pět milionů zařízení a po udp začnete posílat regulérní provoz - to je pak veselo a není co filtrovat. Takže cacheování bude k ničemu protože ten kdo bude útočit bude donekonečna požadovat autoritativní odpovědi přímo od zdroje.
ČLÁNKY DO MAILU