Rád bych zde uvedl na rovinu některé představy, které tu někteří diskutující mají.
DDOS nutně nemusí řešit poskytovatel nad vámi a je nutné věci správně formulovat. Pojďme si nejdřív říct, co DDOS útok je - jedná se o distribuovaný útok, který má cíl znepřístupnit danou službu.
Toho se dá však docílit vícero způsoby. Nutně to hned neznamená, že Vám útočník musí ucpat linku tak, abyste s tím nic nemohli dělat. Viděl jsem už celkem dost DDOSů, ale bylo jich velmi málo, které by byly tak silné, že by nám ucpali uplink.
Naopak - naprostá většina se soustředí na vyčerpání lokálních zdrojů prvků/nejslabšího prvku v cestě. Je třeba dívat se na to na různých úrovních a z různých pohledů.
Když půjdeme ze spodu, tak se může jednat o jednoduchý (klidně icmp) flood za účelem zaplnit linku - když na 1GE uplink serveru pošlete 2Gbps, tak prostě bude mít s odpovědí problém. S tím souvisí také zátěž procesoru - když bude na IRQ síťové karty odpovídat jen jedno jádro CPU, tak stačí pár set Mbps. A to je traffic, který nemusí být vůbec vidět u alespoň trochu většího poskytovatele.
Když půjdeme výš, tak se může jednat o útok na conntrack tabulku - jednoduchý útok na její zaplnění. Z pohledu trafficu se zase jedná o relativně malý provoz.
Kousek blíže k aplikaci se může jednat o útok na SYN queue a backlog.
Když trochu odskočíme do SSL, tak se může jednat o útok na procesor pomocí SSL.
Trochu výš v aplikační aplikační vrstvě můžeme najít slowloris nebo aplikační dotazy, které zadřou databázi nebo vyždímají nějaké jiné zdroje.
A tohle je samozřejmě jen takový lehký úvod. Těch útoků existuje hromada. Takhle by se dalo pokračovat dál. Anglická wiki má celkem slušný přehled: https://en.wikipedia.org/wiki/Denial-of-service_attack
Pak je potřeba také rozlišovat v jakém prostředí se nacházíte. U nás jsou běžné servery s 10GE uplinkem, které něco vydrží, takže když tam někdo pošle 1Gbps bordelu, tak si toho pravděpodobně nevšimneme. Když nám tam někdo pošle 1Gbps SSL handshaků, tak si toho zcela jistě všimneme. Naopak, pokud přijde 20Mbps na uživatele s 10Mbps wifinou, tak to s tím zacvičí.
A teď se vžijte do role upstreamu, který nezná Vaší strukturu sítě. Pro něj může být obtížné detekovat 20Mbps bordelu, který Vám ucpe wifinu, jako nebezpečný provoz, protože pro jiného jeho zákazníka řeší útoky o řád vyšší.
Takže pozor - je potřeba rozlišovat útok a útok a nedá se to tak jednoduše generalizovat. Je potřeba konkrétně specifikovat o čem je řeč.
