[22] Omezení bufferů není o odstřihnutí, ale o rozdělení prostředků. DDoS prostě svůj segment zahltí a bude nefunkční, ale jen tento segment - a jen po dobu trvání útoku.
Podvržené adresy ze zahraničí - je to problém. Logicky mi vychází, že by se hodilo mít někde v hlavičce IP paketu 1 bit (asi jich bude potřeba více na odlišení různých stupňů garancí) vyhrazen na to, abychom v .cz věděli - tohle je zahraniční paket - je ze zemí, které negarantují, že není podvržený odesílatel. Potom bychom mohli v rámci rozdělení bufferu na oblasti IP adres řešit, zda do příslušného segmentu (např. O2) má právo takový "negarantovaný packet" vůbec vstoupit.
Tj. nejde o to někoho nutit, aby povinně podepisoval packety, ale jen o "rasovou segregaci" - podepsané packety pojedou jiným autobusem (samostatně vyhrazené prostředky), než nepodepsané. A pokud se nebudou nepodepsané packety chovat "slušně", tak způsobí problémy jen nepodepsaným packetům.
Nikde samozřejmě není garance, že nebudou útoky v podepisované části světa. Jen na ně bude snadnější reakce.
Tady by bylo ideální, aby bylo nasazeno IPv6 (alespoň pro "podepsané" packety) a dal se útočící počítač lépe identifikovat, a případně aby bylo legislativně umožněno - pokud někdo identifikuje útok, tak by měl právo požádat příslušného ISP o omezení uploadu z dané adresy - vše opět na úrovni protokolu, aby to probíhalo v reálném čase. Napadený by předal ISP vzorky packetů, které působí problémy, ISP by ověřil, že takový provoz klient opravdu generuje (aby někdo nezneužíval tohoto nástroje) a provedl by omezení provozu - včetně vygenerování emailu pro postiženého uživatele:
"Z Vašeho počítače odchází podezřelé packety, které se podílejí na útoku na stránku seznam.cz - pravděpodobně je počítač napaden a je součástí botnetu. Na základě §25 zákona č.135/2018 Sb. o podepsaných packetech jsme omezili na přechodnou dobu tok dat z Vašeho počítače na 32kBps. Můžete spustit standardní nástroj Windows 13 "Co posílám na net" a předat mu přílohu tohoto emailu - pomůže Vám identifikovat škodlivý SW. Pomocí tohoto nástroje můžete škodlivý SW ukončit a rovnou zažádat o obnovení std datového toku."
Uživatele většinou zajímá download a omezená rychlost uploadu pro ně není v 90% výrazným omezením.
Petr Závodský se zabývá QA, testováním a bezpečnosti IT. Před touto prací se živil jako penetrační tester, vývojář, tester SW, pozorovatel meteorů, dělník. Je nadšenec OWASP a speciálního astronomického vzdělávání.
