> Проверка - почти бесплатная.

На тех скоростях "почти" имхо проблема: надо line speed, без условий, иначе ТУДА и долбанут. Посмотреть как крякнет. Атаующим поф что сдохло, цель достигнута.

> Я и говорю, вендорам не надо. Чем больше ddosов - тем больше
> спрос на их оборудование.

Требование обладать бандвизом более эн для атакующего не лучше чем требование уметь быстро считать. Кстати тоже асимметрично бывает: мобилы, DSL и проч с аплоадом меньше даунлоада, и если ботнет на этом, более симметричные линки в плюсе относительно атакующего. Лучше ли это соотношение в случае pow - интересный вопрос.

К тому же расширение линков приносит бабки клиентурой. А счет верификации pow увеличит только счет за электричество. Немного, но отдачи вообще ноль.

> Такой пакет зарубится на первом хопе, а не займёт место на всех.

Это либо все дико тормознет, либо там можно будет мноооого чего интересного делать. Ну, вот, например VoIP довоьлно активно не очень большими пакетами флудит. Ему как, на каждый пакетик с войсовыми данными PoW считать? Или роутеру заняться коннтреком UDP-потока? Если да - ну, RAM то у него не резиновая и на эн потоков он как раз и загнется. Если сфокусировать это действо на роутерах перед таргетом...

Про то что это не совместимо с существующим парком хардвара даже и упоминать неудобно.

> Но вендорам выгодно, чтобы на всех - так больше спрос на оборудование.

Да и клиенты хотят платить за какие-то понятные вещи приносящие им потом бабки. Логично так то.

> А syn-ack и ICMP - это другое, да?

В общем случае да: SYN flood обычно пытается вызвать проблемы уровня OS у адресата: на каждый сокет и конекцию в ОС аллоцируются ресурсы. Не бесконечные. Если удастся их выжрать, легитимные конекции не пройдут. ICMP же можно в stateless режиме рюхать без аллокации новых ресурсов - и их держания довольно долгое время (в TCP до таймаута попытки конекции). В этом смысле -J DROP на стороне получателя может все же иметь пойнт, даже если времена в проводах были заняты, не были заняты ресурсы ОС адресата -> улучшение.

Более того. Что если атакующий посчитал валидный pow и пульнул не 1 SYN а 5000 оных? Де факто это как поделить сложность pow на 5000. Не, рубануть это bloom вы не сможете, pow же валиден! Только полновесный контрек с состоянием конекции, на все конекции. Его и вынесут как самое слабое звено, сфокусировав это перед таргетом.

> Впрочем неактуально. Можно ответ не генерить, а просто тот же PoW посылать.
> В Блуме есть - значит проезд оплачен.

1) Блум умеет в ложняки. Атакующего это возможно устроит.
2) Как дубликаты пакета с валидным pow трекаются и рубятся? Никак? А, ну тогда посчитать 1 и запустить его более 9000 раз. Более того - в умеренном объеме это легитимная ситуация ибо потери пакетов и повторы попыток конекта - обычная ситуация. А честный контрек, с трекингом состояния конекта - это уже не bloom.

>> Помнить статус конекции и режектить дупы? Не хочу вас расстраивать - но тогда
>> умрут сами роутеры.
> Да. Протокол таков. Есть считающий Блум. Изначально он пустой. Если не syn
> - то если нет полуоткрытой или открытой сессии - то режется.

Более-менее честный коннтрек на каждую конекцию, и особенно UDP как раз и загнется по ресурсам в первых рядах. Более того - его могут начать целенаправленно гасить фокусируя это на роутерах перед таргетом, можно подумать атакующим принципиаьлно почему траф к таргету застрял.

> превышение нулевых битов над сложностью экспонентим по основанию и закидываем в
> блум по nonce как ключу.

Агаблин, контрек на стероидах - в каждый роутер? Будь я атакующим - сфокусировал бы это на роутерах перед таргетом. Посмотреть сколько они этого выдержат.

И кстати вам не приходило в голову что деление на фронт и бэк в том числе и L7 filter, выставляющий вперед относительно устойчивые штуки, а мягкотелый серв приложений с тяжелыми запросами - как раз прикрыт не только с conn-track но и app logic track возможно. А то что это работает нам намекает - клаудспайварь. При том владельцам роутеров еще и не надо делать из проблем назначения - свои. Это оно там на фронтэндах ресурсы грохает, а роутеры тупо пуляют пакеты.

>>А реплей вы как интересно рубить будете
> Реплей заложен сам протокол, но контролируем. Счётчик в фильтре Блума.

Начинает смахивать на контрек, и надо трекать статус дохреналиона соединений и хранить его. Заодно атакующий как раз и посмотрит на каком соединении у роутера перед таргетом оператива на это дело кончится. Вынос контрека дело не хитрое. Да, там конечно больше RAM - но атакующий и клиентов притащит дохрена. Господа на RAM vs таблицы роутинга то порой пиндят, а если туда еще контрек на всю ораву загнать... :)

> Ну CRC32 же чекает. Нужно чтобы была аппаратная чекалка.

Она тоже что-то жрет. И кроме того - статус коннтрека хранить где-то придется. И это уже не пару битов в блуме - а какие-то байты на конекцию, с хранением src:dst+status. Это мигом станет мегами и гигами. Алсо это будет крепко грузить (полу)софтварный path и будет слабым местом, вынос которого обувает легитимные клиенты на конект к назначанию.

> И не надо мне говорить, что сменить всё оборудование дорого. Дорого не сменить его,
> а для вендоров дорого, что рынок защиты от DDoSа схлопнется.

Ну, вообще, глядя на внедрение IPv6 - а что, дешево?.. И защитами от ддоса занимаются вские фигни типа клаудспайвары, которая вроде вообще оборудование не делает, скорее услуги продает.

> Если наймут киллера, того что в подъезде подкараулит

ЧСХ так бывает, если криминальные сводки посмотреть.

> апстриму напрямую денежный эквивалент PoWа за то, чтобы расторг с сервисом
> контракт и прекратил обслуживание - дешевле может выйти.

Вспоминая как Креббса послал клаудфларь, признав что кровельные работы для проблемного клиента что-то дороговаты и импактят других клиентов... :))). Креббс, конечно, отомстил за это, пропалив "anna senpai", но гимора и outages ему было более чем, так что сказать что это совсем уж не работает...

> На ответные пакеты, как и на пакеты внутри соединения, считать PoW не
> нужно, только проверять. что намного легче.

Зато можно попытаться креативно редиректнуть это в левое назначение. Рубание этого потребует по сути контрек и тогда атакующему проще сразу контрек выносить как самое слабое звено.

> на соответствующем уровне. Этот конкретный метод только для отбития L3-атак, когда апс.

У меня есть подозрение что он может создать больше проблем чем решить, подставив под ресурсные атаки еще и роутеры. Которые в их изначальном виде тупых форвардеров - завалить совсем довольно тяжко в общем то. Я не говорю что в идее совсем нет пойнта - но возможно что pow и status/conntrack все же должен быть проблемой адресата, а не... а то что ему могут и 100500 гигабитов этого прислать - вот пусть и обсчитаывает, если может.