>Его и вынесут как самое слабое звено, сфокусировав это перед таргетом.Ну вот смотри, ты говоришь про то, что коннтрек оборудование не потянет. Но магистраль - это серьёзные ребята. У них и оборудование должно быть серьёзное, а не уровня домашнего роутера. В которое и памяти можно закинуть сколько надо. Это специализированное оборудование, и тут память погоды не сделает.
>Требование обладать бандвизом более эн для атакующего не лучше чем требование уметь быстро считать.
А для отбивающегося - лучше. Потому что сеть идёт пирамидой. Толстый бэкбон, от него потоньше ответвления, от них ещё тоньше, и так до конечного сервера. И проблема L3 DDoS в том, что атакуют не конечный сервер, а промежуточные звенья. При текущей архитектуре атака доходит до них и их вырубает. При предложенной архитектуре атака до них может и дойдёт, но тогда атакующему придётся заплатить больше альтернативных решений.
>К тому же расширение линков приносит бабки клиентурой.
Согласен.
>А счет верификации pow увеличит только счет за электричество.
Или уменьшится за счёт подыхания DDoS-бизнеса.
> Ну, вот, например VoIP довоьлно активно не очень большими пакетами флудит. Ему как, на каждый пакетик с войсовыми данными PoW считать
Не для каждого, а для каждого из N.
>Что если атакующий посчитал валидный pow и пульнул не 1 SYN а 5000 оных? Де факто это как поделить сложность pow на 5000. Не, рубануть это bloom вы не сможете, pow же валиден!
>2) Как дубликаты пакета с валидным pow трекаются и рубятся?
Ты, наверное, уже понял в чём дело: блум считающий. Насчитал на 8 пакетов - значит на 8 и хватит.
>Только полновесный контрек с состоянием конекции, на все конекции.
>Более-менее честный коннтрек на каждую конекцию, и особенно UDP как раз и загнется по ресурсам в первых рядах
>Начинает смахивать на контрек, и надо трекать статус дохреналиона соединений и хранить его
> Рубание этого потребует по сути контрек и тогда атакующему проще сразу контрек выносить как самое слабое звено.
>А честный контрек, с трекингом состояния конекта
>Алсо это будет крепко грузить (полу)софтварный path
Сразу скажу: я не специалист в этих железках и провайдерской инфраструктуре. Я простт погуглил, какие железки стоят в IXах, и оказалось что это роутеры вроде указанного. В таких роутерах согласно их описанию асики используются.
Ещё вспоминается, что IPv4-пространство давно уже кончилось, значит большинство пользователей за CGNAT сидит, что требует conntrack.
>Это мигом станет мегами и гигами. Алсо это будет крепко грузить (полу)софтварный path и будет слабым местом, вынос которого обувает легитимные клиенты на конект к назначанию
Я не удивлюсь, если в современных железках коннтрек делается тоже Блумом.
>А честный контрек, с трекингом состояния конекта
Разумеется, в предложенном решении без conntrack никуда: внутри соединения PoW мы не требуем, потому что у нас обычно ассиметрия: запрос от клиента короткий, ответ от сервера длинный. Коннтрек и так есть в роутерах провайдерского уровня, которые к IX подрубаются, и что-то не валятся они.
>1) Блум умеет в ложняки. Атакующего это возможно устроит
Умеет. Но ложники падают с ростом памяти и соответствующего числа функций.
Juniper MX10016 — 38.4 TB/s = 4.8TiB/s <= 75e9 syn packets/second
Это 8.6TB оперативы, если счётчик 8битный и уровень ложноположительных 0.001. В рознице (то есть оптом будет дешевле) Crucial RAM 32GB DDR5 4800MT/s CL40 стоит $89.75, то есть на устройство добавляется 1.07e12 * 8 / 32e9 * 89.75 = $24k при цене самого устройства в $170k, то есть 14%. Это оценка нижней грани постоянных издержек провайдеров, которые размажутся по сроку эксплуатации оборудования, переменные посчитать затруднительно. Не очень много, учитывая что DDoSы станут невыгодными и за такую интегрированную защиту от DDoSа можно брать чуточку больше, и занятую DDoSом и спамом полосу можно будет пустить на что-нибудь полезное. Если ещё удастся приделать криптовалюту с вознаграждениями для провов, то будет ещё выгоднее. Эта оценка в реале скорее всего ещё ниже, так как не учитывает инновации в вероятностных структурах данных (в том числе те что от Лемира), уменьшающие fpr и требования к памяти.
>И кстати вам не приходило в голову что деление на фронт и бэк в том числе и L7 filter, выставляющий вперед относительно устойчивые штуки, а мягкотелый серв приложений с тяжелыми запросами - как раз прикрыт не только с conn-track но и app logic track возможно.
Конечно, прикрыт. Но позволять всяким глобальным активным противникам это делать нельзя и недопустимо. На L7 - свой PoW, или rate limiting, или требование аутентификации, или иное подходящее для конкретного сервиса. А чтобы всё через сети вредоносных следящих фирм шло - уж лучше PoW на каждое соединение.
>должен быть проблемой адресата
Проблема в том, что для провайдеров, которые тоже адресаты в некотором роде, это не проблема, а способ заработка: "вас ддосят, значит вы покупаете у нас канал, а мы покупаем у вендоров оборудование, все довольны, и DDoSеры (тоже купившие у вендоров оборудование, поставившие его прямо в IX, и наладившие пиринг к провайдерами), и провы (им платят и ддосеры и жертвы), и вендоры оборудования, и дейтацентры (которые тоже своего рода провайдеры)", только владельцы сайтов и конечные потребители в пролёте и их и в хвост и в гриву.
