Názor k článku Postřehy z bezpečnosti: masivní DDoS útok na DNS nebyl úspěšný od Filip Jirsák - Když se bavíme o desítkách gigabitů provozu, znamená...

Když se bavíme o desítkách gigabitů provozu, znamená to koncentraci provozu z velké sítě do jednoho místa. Takže se tam zdrojové IP adresy mohou kontrolovat nanejvýš způsobem, zda patří do rozsahů přidělených ISP. Nebo-li útočník může generovat zdrojové IP adresy z celého rozsahu ISP a ISP to bude úplně jedno.

Škodlivý provoz provoz vždy pochází z konkrétních uživatelských přípojek, takže je potřeba ho detekovat co nejblíž uživateli a tam ho také zastavit a uživatele informovat. Protože pro cíl bude stejně škodlivé, ať od vašeho ISP budou odcházet pakety z podvrženou libovolnou zdrojovou IP adresou, s podvrženou IP adresou z rozsahu daného ISP, nebo s pravou zdrojovou IP adresou. Takže jediný způsob, jak může ISP zabránit, aby se jeho síť podílela na útoku, je zastavit ten útok z jeho sítě bez ohledu na zdrojové IP adresy.

Problém je, že zákazník, který to platí, je někdo jiný, než ten, kdo je postižen útokem. Řešením je jedině zodpovědnost za provoz pocházející z dané sítě, ať už dané zákonem, nebo smluvně („zajistíme, aby na vás nikdo z naší sítě neútočil, když vy zajistíte totéž opačně“ – projekty typu FENIX). A v takovém případě samozřejmě ISP musí být schopen garantovat to, co jsem psal v předchozím odstavci – tj. žádné útoky bez ohledu na zdrojové IP adresy. (Resp. ISP asi nedokáže garantovat žádné útoky, ale musí být schopen je včas rozpoznat a eliminovat je.)