Vlákno názorů k článku Vlastimil Pečínka (Seznam.cz): Anomálie v trafficu nás dovedly do Ruska od Ondřej Surý - Kéž by. Vyřešilo by to spoustu problémů se...

Kéž by. Vyřešilo by to spoustu problémů se spoofovanými adresami. Nicméně se podívejte na datum BCP38, a na letošní rok... od doby vydání toho RFC se bohužel nic moc nestalo.

Ale kdeže... Žádná analýza paketů není potřeba. Na telefonech taky operátoři docela jednoduše umí nastavit povolená čísla. Bohužel (i bohudík) je v Internetu mnohem více operátorů, takže donutit je k nějaké koordinované akci je trochu problém.

Branit se da. Napriklad tak, ze mate vetsi mnozstvi sitovych a vypocetnich zdroju, nez utocnik.

Problem je "jenom" to, ze obrana stoji neumerne mnozstvi prostredku.

Nejde o domluvu. Kazdy ISP si to musi osefovat ve sve vlastni siti. Pricemz v pripade, ze jste tranzitni operator, nemusi byt urzba filtrovacich pravidel zadny med.

Vidite a presto se o to nekteri poskytovatele (celkem uspesne) snazi. Zejmena proto, ze slovni spojeni "1/2 zavirovanejch widli na netu" je pomerne v rozporu s realitou :-)

Jako poskytovatel infrastruktury muzete pouzivat ruzne "unfair" praktiky, jako syn cookies nebo anycasting (pro izolaci utocniku).

Ale no tak. To je standardní nastavení u alespoň slušně použitelného providera. Žádná zvláštní analýza není potřeba.

To záleží na tom, co si představujete pod pojmem normální ISP. Normální ISP má také dbát na to, aby někdo nespoofoval adresy. Pokud má někdo pocit, že mu má jeho provider routovat všechno co si zamane, tak ať si se svým providerem domluví tranzitní peering.

Může to být legitimní použití, ale provideři se vám na toto použití z vysoka... Vy můžete jít tak maximálně k někomu, kdo to nedělá (což je ovšem s největší pravděpodobností špatný provider)

Odesílat pakety s jinou zdrojovou adresou může být zcela legitimní. Např. pokud mám dvě linky, jedna má lepší upload a druhá download. Ale je pravda, že to nebude úplně běžné použití – pokud mne jako zákazníka ISP bude informovat, že blokuje odchozí pakety se "špatnou" zdrojovou IP adresou a odchozí spojení na port 25/tcp, a umožní mi tu blokaci snadno a bezplatně zrušit, ať to klidně dělá.

to je nedůslednost správců jednotlivých providerů. Na to se provideři nemusejí domlouvat mezi sebou. Prostě na místě správců sedí buď lidi, kteří tomu nerozumí/kašlou na to, nebo nemají technické prostředky, jak to realizovat.

To se ovšem bavíme o dvou různých situacích. Tranzit se obvykle neposkytuje na linkách ke koncovému zákazníkovi. A to filtrování se pomocí unicast reverse path filtru provádí právě na lince ke koncovému zákazníkovi. Třeba cisco na to má jeden jednoduchý příkaz.

ISP dopravuje to, co dá zákazníkovi. Zbytek ať si řeší zákazník s tím, co mu dodal ten druhý dodavatel.

Zátěž CPU nevzroste vůbec, obvykle se to řeší přímo v ASICu daného interfacu.