forum.opennet.ru

Составление сообщения

Исходное сообщение

"Платформа совместной разработки SourceHut была выведена из с..."
Отправлено Аноним, 20-Янв-24 17:50

> Очень просто. В каждый SYN-пакет TCP по PoW. Атакующие просто не смогут
> генерить их столько валидных. А невалидные оборудование отклонит.
А оборудованию оно надо - греть свои CPU и ASIC на проверку POW? Оно тупо пакеты форвардит. К тому же UDP еще есть и прочий ICMP. И пакет всяко сперва место в проводе займет - а потом вы там можете и выкинуть его конечно, если хотите. Может, апликушному уровню и полегчает - но остальным то пофиг!
> При пропуске пакета - оборудование генерит ответ с кукой.
Ммм... т.е. на 1 пакет еще и отлупы всякие? А реплей случайно не будет работать? А то вот так берем пакеты с pow, накидываем их эн, "оборудование" еще и пуляет отлупы взад. Если IP в хидере SYN немного на@бать, можно пожалуй усилитель/редиректор получить - когда "оборудование" начнет радостно долбить ответы кому-то левому, а реплей позволит их накидывать "в количестве".
Или вы предлагаете засунуть в каждый роутер по коннтреку? Помнить статус конекции и режектить дупы? Не хочу вас расстраивать - но тогда умрут сами роутеры. А атакующему не похрен ли, убить таргет или роутеры по пути к нему?! Видимый результат мало отличается.
> На оборудовании из дополнительного состояния только считающий фильтр
> Блума с PoWами. Проверка - быстрая, это PoW, он ассиметричный, да ещё
> и на оборудовании асик будет.
А реплей вы как интересно рубить будете - и отсылку отлупа левым персонажам если IP в хидере не тот?
> UDP - точно так же. Только на TCP счёт на сессии. а
> на UDP - на дейтаграммы.
А вы уверены что оборудованию не станет плохо от его крутизны - pow в каждом пакете udp чекать?
>>А, апстрим "защитит" вас нуллроутом?
> Он зануллроутит только не выполнивших PoW.
А что насчет такого? Бот честно считает PoW и начинает качать траф. Это как легитимное использование сервиса - но если ботов придет 100500 то вы умрете. Заодно - если сервису надо было конект к апстриму, будет интересно посмотреть успеет ли этот фронтэнд считать pow для своих внутренних нужд быстрее атакующих ботов. Или таки зашьется - и будет послан бэкэндами нафиг? Если да - то в принципе атака так даже удобнее модет стать.
> Честные честно оплатят проезд. Злоумышленники - разорятся на оплате проезда.
Если б злоумышленники это за свой счет оплачивали, это и проблемой не было. Но они ж не свои ресурсы юзают - и в количестве. А там еще всякие клапуции с акумом есть, на них pow сильно дофига не посчитаешь - акум сядет. А не дофига - и атакующий посчитает, у него то ресурсы вообще халявные.

Исходное сообщение
"Платформа совместной разработки SourceHut была выведена из с..." Отправлено Аноним, 20-Янв-24 17:50
> Очень просто. В каждый SYN-пакет TCP по PoW. Атакующие просто не смогут > генерить их столько валидных. А невалидные оборудование отклонит. А оборудованию оно надо - греть свои CPU и ASIC на проверку POW? Оно тупо пакеты форвардит. К тому же UDP еще есть и прочий ICMP. И пакет всяко сперва место в проводе займет - а потом вы там можете и выкинуть его конечно, если хотите. Может, апликушному уровню и полегчает - но остальным то пофиг! > При пропуске пакета - оборудование генерит ответ с кукой. Ммм... т.е. на 1 пакет еще и отлупы всякие? А реплей случайно не будет работать? А то вот так берем пакеты с pow, накидываем их эн, "оборудование" еще и пуляет отлупы взад. Если IP в хидере SYN немного на@бать, можно пожалуй усилитель/редиректор получить - когда "оборудование" начнет радостно долбить ответы кому-то левому, а реплей позволит их накидывать "в количестве". Или вы предлагаете засунуть в каждый роутер по коннтреку? Помнить статус конекции и режектить дупы? Не хочу вас расстраивать - но тогда умрут сами роутеры. А атакующему не похрен ли, убить таргет или роутеры по пути к нему?! Видимый результат мало отличается. > На оборудовании из дополнительного состояния только считающий фильтр > Блума с PoWами. Проверка - быстрая, это PoW, он ассиметричный, да ещё > и на оборудовании асик будет. А реплей вы как интересно рубить будете - и отсылку отлупа левым персонажам если IP в хидере не тот? > UDP - точно так же. Только на TCP счёт на сессии. а > на UDP - на дейтаграммы. А вы уверены что оборудованию не станет плохо от его крутизны - pow в каждом пакете udp чекать? >>А, апстрим "защитит" вас нуллроутом? > Он зануллроутит только не выполнивших PoW. А что насчет такого? Бот честно считает PoW и начинает качать траф. Это как легитимное использование сервиса - но если ботов придет 100500 то вы умрете. Заодно - если сервису надо было конект к апстриму, будет интересно посмотреть успеет ли этот фронтэнд считать pow для своих внутренних нужд быстрее атакующих ботов. Или таки зашьется - и будет послан бэкэндами нафиг? Если да - то в принципе атака так даже удобнее модет стать. > Честные честно оплатят проезд. Злоумышленники - разорятся на оплате проезда. Если б злоумышленники это за свой счет оплачивали, это и проблемой не было. Но они ж не свои ресурсы юзают - и в количестве. А там еще всякие клапуции с акумом есть, на них pow сильно дофига не посчитаешь - акум сядет. А не дофига - и атакующий посчитает, у него то ресурсы вообще халявные.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру