Der Provider spart nicht unbedingt Last, er verlagert sie. Zum Zwecke der Analyse ist das ok, und natürlich kann man auch den Attack-Traffic ins Sinkhole leiten, aber das macht man auch nur wenn man den Traffic auch analysieren will. Nach der Analyse sollten halt die Gegenmaßnahmen eingeleitet werden. Und das könnte dann z.B. Blackholing sein. Blackholes sind etwas anderes als Sinkholes.Lord_Pinhead wrote:Sie Routen den Traffic in ein Privates Netz oder in ein abgeschlossenes Netz wenn sie Ihn analysieren wollen. Wo wäre also das Problem DDoS Packete auch als IP-Müll zu klassifizieren und umzuleiten. Der ISP spart auf jeden Fall last auf anderen Routern und auch seinen eigenen. Vom Prinzip her ist es das einfachste der Welt.Was normalerweise nicht ser Sinn eines Sinkholes ist. Das dient meist dazu unbenutzte IP-Bereiche anzukündigen um dort Angriffe oder sonstigen IP-Müll anzuziehen und ihn dann analysieren zu können. Sinkholes schmeißen den Traffic nicht weg.
Lord_Pinhead wrote: Sprich, du sagst deinem ISP das dein Server unter einem DDoS leidet und bittest sie (vielleicht mit einer Tabelle der IP Adressen) diese zu blockieren, dann werden sie nicht mehr zu Server durchgestellt, allerdings wird wahrscheinlich der Traffic weiterhin gezählt.
Bei "shutdown -h now" wird je nach Angriff der Traffic aber weiter durch das Provider-Netz fließen, was schon ein Unterschied zum Blackholing ist. Dabei wird der Traffic normalerweise am PE weggeschmissen.Lord_Pinhead wrote:Es sollte nicht nur das Ziel geblockt werden, das wäre schwachsinn und du kannst da ja gleich shutdown -h now eintippen ;)
Der Nachteil dabei ist, daß der Traffic doppelt fließt, und das Sinkhole sehr performant ausgelegt sein sollte. Denn wenn das Ziel ist den Traffic trotzdem zum Endkunden weiterzutransportieren, dann sollte nichts verloren gehen. Ein einfacherer Weg das zu erreichen, der auch jetzt schon eingesetzt wird, ist RSPAN.A better alternative would be to use a sinkhole tunnel. A sinkhole tunnel is implemented at all possible entry points from which attacks can pass into the destination/attacked AS.
...
This IP address belongs to the /30 subnet assigned to the tunnel connecting the border router to the sinkhole router.
Desweiteren ist das ungefähr das, was diese Traffic-Filter machen. Nur, daß dabei der gesamte Kunden-Traffic zum Filter umgeleitet wird, aber nur der als "normal" klassifizierte Traffic zurückfließt.
Ein Blackhole (!) *muß* aufgesetzt sein bevor der Angriff startet. Dafür müssen die Router umkonfiguriert werden. *Genutzt* werden sollte das Blackhole nur nach der Analyse, daß wirklich ein Angriff vorliegt. Auch das von Dir zitierte *Sinkhole* muß natürlich vorher schon konfiguriert sein wenn man es nutzen will um den Traffic zu analysieren.Ein solches Blackhole sollte erst aufgesetzt werden, wenn der Traffic analysiert wurde. Das sind allerdings sachen die der ISP macht.
Solange Du das in Deinem eigenen Netz machst ist das ja ok. Aber wenn jeder ISP-Kunde automatisch beim Provider seine Mitbewerber blocken könnte fände ich das - naja, sagen wir mal "problematisch". Denn darauf zielt dasroute add 207.46.250.119 tunnel0 ;)Ein Glück aber auch ... Wink
ja ab. Und man würde bei einem Source-based-Blackholing auch nicht nur den Traffic zu dem angegriffenen Server sperren, sondern auch zu allen anderen Kunden des Providers. Bei einem echten Angriff wäre das evtl. sogar wünschenswert, aber manche würde garantiert auch versuchen sowas auszunutzen. Davon abgesehen: *Wenn* der Provider Sachen wie Blackholing/Sinkholing etc. schon eingerichtet hat, dann bemerkt er den Angriff ganz sicher auch bevor es der Kunde macht.Sprich, du sagst deinem ISP das dein Server unter einem DDoS leidet und bittest sie (vielleicht mit einer Tabelle der IP Adressen) diese zu blockieren, dann werden sie nicht mehr zu Server durchgestellt,