Názory k článku Jak se bránit DDoS útokům? Vždy platí tři základní principy

Tech zdroju je vic i co do pohledu zdrojovych ASN... DDoSia "neopre" vsechny sve zdroje proti jednomu cili, takze se to take hure analyzuje, zvlast na te sitove vrstve. Najit se tam daji i relativne silne zdroje z Ceska, a nektere jsou vytrasovatelne primo do prazskych datacenter...

Zrovna ten typ utoku, co jde od NoName057 se nejlepe resi na aplikacni urovni, na sitove to vzdycky je zdrojem false positive, zatimco na aplikacni toho je minimum. A zde je potreba potreba pochvalit provozovatele narodniho CSIRT (tedy CZ.NIC), ktery sdilel v ramci sirsi komunity nejake informace, ktere jde pro mitigaci pouzit - a jde o opatreni, co jde nasadit driv, nez utok zacne. Narozdil od borcu z NUKIBu, co si stale hrajou na nejake to sve "utajeni" :-) Protoze NUKIB si sice hraje na "vladni CERT", ale nepochopili tam, ze sila je prave v tom sdileni informaci (nikoliv jen ve sbirani dat a publikovani nejakych statistik) a ze vic hlav vic vymysli. Vy to tu ctete, takze si vyndejte hlavu z p*d*le, soudruzi :-) Zrovna vcera jsem mel zajimavou diskusi s nejmenovanym panem ze Slovenska, co i me prinesl novy a zajimavy pohled na data, ktere mame doslova pred ocima...

S Cloudflare/Akamai & spol je jedna past v tom, ze lidi si na ne provoz presmeruji az kdyz se neco deje. Ale to je fakt uz pozde - utocnik uz davno ma zmapovane cile, a to ze clovek v DNS zmeni A/AAAA zaznamy na ty antiddos proxy nepomuze, utocnik se dal opira do drive provaleneho backendu. A samozrejme dost casto je to presmerovani ne zcela dokonale a nejake informace leaknou okolo - at uz z kodu samotne webove aplikace, a treba i diky certificate transparency - kdy se napraskaji veci "okolo" vc. vyvojovych/staging prostredi, ktere nezridkakdy v ramci "uspor" sdili hardwarove zdroje s produkci (proc platit extra hardware, ze?) a kdy treba ta produkce za tim Cloudflare schovana je... ale devel prostredni uz ne... :-) Tech drobnych detailu je spousta... a utocnik taky neni uplnej blbec.

A nekde tomu "napraskani infrastruktury" paradoxne napomaha i zpackana implementace DNSSEC, kdy si sice dana instituce udela carku, ze ma jakoze implementovano a vse je zdanlive bezpecnejsi... ale to ze to nastavi tak, ze de-facto povoli AXFR cele sve DNS zony uz neresi... a ani tohle nezvlada NUKIB resit, upozornoval jsem na to uz pred nekolika roky (a mam to archivovane) a problem stale pretrvava... :-) Holt resit tyhle zdanlive dobne technicke a neviditelne detaily borcum z uradu neprinasi moznost se nekde prezentovat... a pritom prave v tomhle zanedbavani veci, co se nedaji "marketingove" prodat je skryta nejvetsi slabina.

Tak jako dnes každý musí mít elektroměr, brzo nastane doba, kdy vás bez firewallu nepřipojí do veřejné sítě.

Nemusite mit elektromer pokud mate kompletni off-grid sit. Instalace obchodniho mereni je plne v rukou distribucni spolecnosti. Pro odberna mista s malou stabilni predikovatelnou spotrebou stale muzete zazadat o vyjimku z nutnosti instalace obchodniho mereni.

Spise je velmi brzo doba kdy kazdy bude mit prubehove mereni s dalkovym odectem.

neodebírej proud ze sítě, nepotřebuješ elektroměr. Firewall na koncových stanicích prakticky nic neřeší, stejně dneska ISP aplikují poměrně dost filtrů už sami