> Ну вот смотри, ты говоришь про то, что коннтрек оборудование не потянет. Потому что у меня есть такое ощущение. Слишком дохрена процессинга.
> можно закинуть сколько надо. Это специализированное оборудование, и тут память погоды
> не сделает.
Эта память должна работать на line speed, не внося каких либо ощутимых задержек. И ее потребуется много. А вот это уже начинает звучать как довольно суровая инженерная задача. Более того - даже гасилово пакетами с кривым pow будет жрать ресурсы как минимум на первом роутере. Кто-то может приколоться и попытаться сломать весь интернет распределенным ботнетом. Посмотреть что будет. Или выносить сегменты по гео. На это желающих точно будет. И кстати если пачка ботов стратежно присоседилась к нужному роутеру - вот его и завалить! И хрен с ним с таргетом. Если таргет хотел конекции куда-то, скажем, к бэку - ага, вот тебе коннекции.
> А для отбивающегося - лучше.
Вопрос в том почему магистралы должны делать из его проблем - свои? За свои бабки?
> Потому что сеть идёт пирамидой. Толстый бэкбон, от него потоньше ответвления,
> от них ещё тоньше, и так до конечного сервера.
Это вообще само по себе не очень хороший дизайн. И возможно копать стоит туда а не пытаться турбокостыли делать?
> них и их вырубает. При предложенной архитектуре атака до них может
> и дойдёт, но тогда атакующему придётся заплатить больше альтернативных решений.
Атакующий никому не платит - он нахаляву пачки ботов набирает. Ему похрен какая там нагрузка и проч.
> Или уменьшится за счёт подыхания DDoS-бизнеса.
Я не думаю что он помрет - скорее немного мутирует и научится это пробивать. Станет чуть дороже, шоу продолжится. Грубо говоря - никакой сервер не справится с тем что к нему половина интернета разом зашло. А пачка ботов это оно и есть.
> Не для каждого, а для каждого из N.
Тогда можно будет и поделить сложность PoW на N сделав его заметно менее эффективным. Не говоря о том что это сломает существующие сетапы вдрызг.
>>2) Как дубликаты пакета с валидным pow трекаются и рубятся?
> Ты, наверное, уже понял в чём дело: блум считающий. Насчитал на 8
> пакетов - значит на 8 и хватит.
Ага, значит уберскоростной RAM еще и на счетчики добавить... и на трек точек назначения... так то ее дофигища понадобится. И очень быстрой чтобы на line speed это все.
> простт погуглил, какие железки стоят в IXах, и оказалось что это
> роутеры вроде указанного. В таких роутерах согласно их описанию асики используются.
Я тоже не эксперт по дизайну суперскоростного роутинга, просто немного поинтересовался проблематикой. И заметил что есть ряд нюансов.
> Ещё вспоминается, что IPv4-пространство давно уже кончилось, значит
> большинство пользователей за CGNAT сидит, что требует conntrack.
Это все где как. И это 1 из причин по которым IPv6 стал развиваться в последнее время заметно активнее.
> Я не удивлюсь, если в современных железках коннтрек делается тоже Блумом.
Блум сам по себе забавная штука - но с точки зрения атакующего можно попытаться целенаправленно его пробивать. По сути почти аннулировав.
> Разумеется, в предложенном решении без conntrack никуда: внутри соединения PoW мы не
> требуем, потому что у нас обычно ассиметрия: [...]
Ну вот блин, коннтрек в каждый роутер - сеть нагнет хорошо, имхо. И на бабки всех поставит.
И вы не учли что в мире есть как conn-based так и packet-based протоколы. На них это работать не будет. А flow в DHT, DNS, ... где пара пакетов туда-сюда и все, больше эта пара никогда не будет возможно - ну вон тот костыль с этим плохо жить будет.
> Умеет. Но ложники падают с ростом памяти и соответствующего числа функций.
Атакующий может попытаться целенаправленно это пробивать. Как с коллизиями CRC в файлухах и хештаблицах для создания паталогических случаев.
> Juniper MX10016 — 38.4 TB/s = 4.8TiB/s <= 75e9 syn packets/second
> Это 8.6TB оперативы, если счётчик 8битный и уровень ложноположительных 0.001. В рознице
> (то есть оптом будет дешевле) Crucial RAM 32GB DDR5 4800MT/s CL40
А он воооон тот поток данных на line speed или около того - потянет? Или вобьет нехилый якорь в сетку при случае?
> Конечно, прикрыт. Но позволять всяким глобальным активным противникам это делать нельзя
> и недопустимо. На L7 - свой PoW, или rate limiting,
Просто на L7 за свои проблемы платит - вот - тот кого раздолбать хотят. И да, то что вас хотят раздолбать это ваша заслуга.
> всё через сети вредоносных следящих фирм шло - уж лучше PoW
> на каждое соединение.
КМК это приведет к ломовым затратам на железки, слому совместимости, деградации перфоманса и более 9000 паталогических случаев которые атакующие таки - найдут. Производителей не оч много и алго стало быть расковыряют и - будут гасить по самым слабым местам.
> это не проблема, а способ заработка: "вас ддосят, значит вы покупаете
> у нас канал, а мы покупаем у вендоров оборудование, все довольны,
> и DDoSеры (тоже купившие у вендоров оборудование, поставившие его прямо в
> IX, и наладившие пиринг к провайдерами), и провы (им платят и
> ддосеры и жертвы), и вендоры оборудования, и дейтацентры (которые тоже своего
> рода провайдеры)", только владельцы сайтов и конечные потребители в пролёте и
> их и в хвост и в гриву.
Ну это как бы та еще теория заговора. Какая-нибудь клаудспайварь защиту предостваляет - но вот оборудование не производит. Мне клаудспайварь тоже не нравится, но по моему настоящий фикс это сделать интернет более распределенным. Чтобы не было точек вынос которых сфокусированным злом вообще что-то давал бы.
Вы не можете убить биткоин по простому - потому что он p2p. Если бы там был центральный сервер, его бы давно свалили легионы заинтересованых. А если там зиллион равноправных узлов с одной логикой - и кого из них долбать?! А вот для app-layer спама типа дохреналиона транзакций уже есть pow и протокольная логика типа стоимости места в блоке. И тут уже блоками не поспамишь забесплатно.
И проблема DeWalt в основном в том что оно - таки централизованый сервис. Есть куда бить с нужным результатом. Никакой pow на роутерах не отменит этот факт.
