Vlákno názorů k článku Princip amplification útoků zneužívajících DNS, NTP a SNMP od wrigley - Chtel bych zminit jednu velmi neprijemnou zkusenost. K...

Chtel bych zminit jednu velmi neprijemnou zkusenost. K DDoS utokum pomoci amplifikace jsou casto zneuzity nic netusici DSL zakaznici, resp. jejich modemy. Je spousta levnych ale i drazsich modemu (routeru), ktere na WAN rozhrani poslouchaji svym vlastnim resolverem a z Internetu vam zresolvi cokoliv za pomoci siti pridelenych rekursivnich DNS poskytovatele, kam dotaz forwarduji. Neda se proti tomu prakticky branit. Rekurzi vypnout nemuzete. Omezeni na IP adresy klientu je k nicemu - pta se legitimni klient. Rate-limiting je problem optimalne nastavit a jedine, co vam zbyde, je ubit to vykonem. Namitnete-li, ze takove klienty proste odriznete, tak neodriznete, pokud jich je treba 10.000, protoze pak ten problem jen prelijete nekam jinam. Problemy se tykaji vsech DSL provideru v CR.

No, je to jak kdy. Nekdy ma maslo na hlave ISP, nekdy je v tom nevinne. Zakaznici si neprizuji modemy jen u ISP, ale kupuji si i vlastni. A to je problem.