A kiszolgalo uzemeltetoi azonnal eszleltek a helyzetet, savszelessegemelessel es a tamadasra jellemzo mintak alapjan torteno szuressel vedekeztek.
A mostani es a 2006.02 havi tamadas tapasztalata alapjan kiszurtek az 512 byte-nel nagyobb csomagokat. A legtobb normalis csomag 100 byte-nel kisebb, igy a joindulatu lekereseket az intezkedes nem zavarta, mig a tamadas 99.7 %-at felfogta.
A mostani es a tavaly februari tamadasnal is a kiszolgalokhoz kuldott forgalom 1 Gbps volt.
A tamadas Azsiabol, a Csendes Oceani tersegbol es talan Del Korea-bol erkezett valoszinuleg
zombi gepektol, botnet-ekbol. Del Korea a nagyon jo Internet ellatottsaga miatt( sok szelessavu allando kapcsolattal rendelkezo gep) valoszinusitheto. A tamadas foldrajzi eredetetol fuggetlenul az ertelmi szerzo persze mashonnan is "iranyithatta" a gepeket.
Miert nem hasznalta az osszes gyoker kiszolgalo az Anycast technologiat, ha az olyan jo?
Az uzemeltetok tudatosan dontottek igy, hogy ne legyen homogen a beallitasa minden kiszolgalonak,
ami kozos tamadasi feluletet nyujthatna. A heterogen kornyezet nagyban csokkenti egy sikeres tamadas okozta teljes leallas kockazatat.
A masik ok az, hogy a fokozatas bevezetessel a lehetseges hibak csak a rendszer nehany peldanyan
jelentkeznek.
Most, hogy az Anycast bizonyitott, valoszinuleg a tobbi - D, E, G, H, L - gyoker
szerverek is at veszik a modszert.
Hol vannak a gyoker kiszolgalok?
Tortenelmi okokbol 9 darab termeszetesen az Egyesult Allamokban (belolul 4 darab Kaliforniaban), a maradek 4 Japanban, Hollandiaban, Svedorszagban es az Egyesult Kiralysagban.
Bar az Anycast technologia miatt a helyzet jelentosen megvaltozott, mivel tobb gyoker kiszolgalo van az Egyesult Allamokon kivul, mint belul (lasd az F kiszolgalo 42 poziciojat feljebb).
Tobbszaz gyoker kiszolgalot talalhatunk minden foldreszen.
Mit lehet tenni a jovoben a kockazatok csokkentese erdekeben?
Az SSAC harom javaslatot tett a tamadasok ellensulyozasa erdekeben:
- A DNS uzemeltetok alkalmazzak a "Forras IP cim ellenorzes" modszert
- A gyoker kiszolgalo es a TLD-t felugyelo DNS uzemeltetoi fogalmazzanak meg es tartsanak be iranyelveket
- Az ISP-k csak megbizhato helyekrol fogadjanak el kereseket (pl a sajat ugyfeleitol)
Az iras utolso oldalan szoszedet, roviditesek jegyzeke, magyarazat talalhato.
- smafu blogja
- A hozzászóláshoz be kell jelentkezni
- 1076 megtekintés
Hozzászólások
Koszi az ismeret terjesztest.Hasznos volt. :)
--
1 leszel vagy 0 élő vagy hulla!
- A hozzászóláshoz be kell jelentkezni
Önmagában az anycast routing sem védi meg a szervereket, legfeljebb szegmentálja a támadást.
Az, hogy nem szórja szét minden üzemeltető a szervereit a világ 1024 pontjára pedig minden bizonnyal azért van, mert nem minden üzemeltetőnek van erre pénze, vagy kedve.
Tipikus példája lehet ennek egy egyetem, vagy egyéb tudományos intézmény, amelyen "rajtaragadt" ez a funkció még az ősidőkből.
Magát a technológiát egyébként sokan használják és nem csak DNS-re.
- A hozzászóláshoz be kell jelentkezni