Theo tôi thì DDoS cũng có 1 giá trị nào đó của nó. Nếu không có DDoS thì chúng ta không biết hết (có thể là chưa hết) những điểm yếu hiện đang có trong TCP hay HTTP hiện tại. 

Theo tôi thì DDoS cũng có 1 giá trị nào đó của nó. Nếu không có DDoS thì chúng ta không biết hết (có thể là chưa hết) những điểm yếu hiện đang có trong TCP hay HTTP hiện tại. 

Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS . 

Cái này thì em không hiểu lắm: ISP, một tổ chức quản lý Internet hay là chủ của website bị DDoS sẽ thực hiện ban?  

Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.

Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS . 

conmale wrote:

Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.

Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS . 

Chán nhỉ, cứ càng ngày càng tiến bộ thế này thì không biết có lúc nào nghề security thất nghiệp không . Không biết anh conmale có bao giờ sợ điều đó không ?  

Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.

Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS . 

conmale wrote:

Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.

Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS . 

Anh có thể cho một số ví dụ về kẽ hở của IPv4 mà sau khi được khắc phục bởi IPv6 thì DDoS sẽ bị hạn chế?
 

Còn câu sau của anh thì em không đồng ý, có 3 lí do:
- một IP được sử dụng để DDoS không phải là do chủ nhân IP đó muốn, mà là do thiết bị sử dụng IP đó đã trở thành zombie. Nếu IP đó bị ban, thì lại nảy sinh một vấn đề DoS mới, mà anh tưởng tượng giả sử một botnet khoảng 100000 máy bị dùng làm DDoS, mà nếu ban IP của 100000 máy đó thì không phải là DoS trên diện rộng sao.
- nếu IP spoofing vẫn còn tồn tại, làm sao tìm ra chính xác 100000 máy trong botnet để ban IP
- kể cả tìm ra được, ai sẽ thực hiện việc ban IP? ISP chăng? Tier 3, tier 2, hay tier 1 chăng? Họ được lợi gì trong việc đó? 

- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.
 

- IP Spoofing không tồn tại với IPv6 được.
 

- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.
 

conmale wrote:

- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.
 

À như vậy thì hậu quả DoS so với IPv4 được giảm đi 10 hoặc 100 lần. Nhưng mà như vậy liệu đã phải là cái đích cuối cùng của cuộc chiến chống DDoS?

conmale wrote:

- IP Spoofing không tồn tại với IPv6 được.
 

Ở đây theo em hiểu ý của anh là receiver hoàn toàn có thể xác định IP address của sender trước khi tiến hành communicate ở các layer cao hơn. Điều này thì em đồng ý. Tuy nhiên IPv6 với IPSec căn bản không có chống được ai đó spoof (hoặc nói đúng hơn là fake) IP address và gửi packet khi bắt đầu IKE. Dù IKE có khả năng chịu đựng DDoS tốt hơn các protocol ở layer cao như TCP, nhưng hoàn toàn khác với việc chỉ cần nhìn IP address sau đó drop và drop.

conmale wrote:

- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.
 

Vậy còn vấn đề bandwidth DDoS thì sao anh? Nếu bandwidth của anh bị bão hoà thì dù anh có cấu hình firewall kiểu gì cũng vô ích.
 

StarGhost wrote:

conmale wrote:

Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.

Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS . 

Anh có thể cho một số ví dụ về kẽ hở của IPv4 mà sau khi được khắc phục bởi IPv6 thì DDoS sẽ bị hạn chế?
 

Một trong những tính năng quan trọng của IPv6 là IPSec hoàn toàn được hỗ trợ (natively). Vì tính năng này, những dạng DDoS sử dụng reflection không thể thực hiện được vì các packets refection không có giá trị. Những dạng DDoS sử dụng spoof addresses như với IPv4 sẽ không thực hiện được với IPv6. Các dạng DDoS sử dụng biện pháp spoofing và reflection chiếm tỉ lệ rất lớn ở IPv4.

Không may, với IPv6, dạng flood bằng TCP, UDP và ICMP vẫn không thể triệt tiêu vì cơ chế "bắt tay" vẫn không thay đổi. Tuy nhiên, vì IPv6 có thừa IP để assign cho mỗi device một static IP riêng biệt cho nên nếu sử dụng biện pháp ban IP vi phạm thì chỉ ảnh hưởng có 1 người thay vì ban 1 IPv4 IP như hiện nay có thể ban hàng chục, hàng trăm hay hàng ngàn người (vì sử dụng proxy, nat....).

StarGhost wrote:

Còn câu sau của anh thì em không đồng ý, có 3 lí do:
- một IP được sử dụng để DDoS không phải là do chủ nhân IP đó muốn, mà là do thiết bị sử dụng IP đó đã trở thành zombie. Nếu IP đó bị ban, thì lại nảy sinh một vấn đề DoS mới, mà anh tưởng tượng giả sử một botnet khoảng 100000 máy bị dùng làm DDoS, mà nếu ban IP của 100000 máy đó thì không phải là DoS trên diện rộng sao.
- nếu IP spoofing vẫn còn tồn tại, làm sao tìm ra chính xác 100000 máy trong botnet để ban IP
- kể cả tìm ra được, ai sẽ thực hiện việc ban IP? ISP chăng? Tier 3, tier 2, hay tier 1 chăng? Họ được lợi gì trong việc đó? 

- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.

- IP Spoofing không tồn tại với IPv6 được.

- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.

Hãy xét ở góc độ "adaptive firewall" có khả năng tiếp tục ban một IP cho đến khi nào IP đó không còn tấn công với tính chất là một zombie. Như HVA hiện tại chẳng hạn, nếu một IP nào đó liên tục và dồn dập gởi quá giới hạn số requests trong vòng một khoảng thời gian (ngắn) thì nó bị ban. Quy chế ban có nhiều cấp độ khác nhau.

Ví dụ, nếu IP gởi cùng 5 requests đến /hvaonline/forums/list.html mà có User-Agent y hệt nhau trong vòng 10 giây thì drop request thứ 6 nhưng không block IP đó. Nếu tình trạng này tiếp tục thì tiếp tục drop requests. Nếu sau một khoảng thời gian hoặc sau một số lượng đếm nhất định nào đó thì ra lệnh cho firewall block IP này. Tuy nhiên, việc block IP sẽ không phải là block vĩnh viễn mà cứ sau bao nhiêu giây hoặc bao nhiêu phút kiểm tra và thấy IP ấy vẫn tiếp tục "dội bom" thì tiếp tục block nhưng nếu nó quay về tầng số truy cập như một người bình thường thì không block nó nữa. Nếu cũng cùng 1 IP nhưng có nhiều User-Agents khác nhau thì nới rộng giới hạn drop và block ra vì xem đó là 1 IP (proxy hoặc nat) có nhiều người dùng nhưng đến một lúc nào đó vẫn phải block vì nó đi quá giới hạn cho phép.

Bởi vậy, với IPv6 và với hoàn toàn static IP thì block một IP (theo cơ chế đã giải thích ở trên) vẫn tốt hơn là block 1 IPv4 IP.

 

Mình đang nói đến điểm mạnh và yếu của giao thức mà. Mình chưa bàn đến băng thông.
 

Chuyện DDoS thì không bao giờ có thể triệt tiêu hoàn toàn được. Chỉ có thể giảm thiểu. 

Hi anh conmale,

Anh cho em hỏi theo anh thì cơ chế "bắt tay" phải thay đổi như thế nào thì các dạng flood bằng TCP, UDP và ICMP mới có thể được ngăn chặn được ? Thanks anh

-rickb
 

conmale wrote:

Mình đang nói đến điểm mạnh và yếu của giao thức mà. Mình chưa bàn đến băng thông.
 

Nói về khả năng chống DDoS của IPv6, hay nói đúng hơn là của IPSec, nhận định của em là như sau:
- Giống như TCP SYN flood, IKEv2 hoàn toàn có thể bị DDoS bằng cách tương tự với các kết nối half-open từ fake(forged) IP.
- Cả TCP và IKEv2 đều hỗ trợ cookie, chỉ riêng điểm này đã nói lên vấn đề với IKEv2
- IKEv2 tệ hơn TCP ở chỗ, khi không hỗ trợ cookie, IKEv2 cần nhiều computing power hơn để xử lý half-open connections, vì nó phải giải mã packet.
- Cả TCP và IPSec đều chống được IP spoofing/forging cho các layer cao hơn nó.
- IPSec có lợi thế hơn TCP ở chỗ nó hoạt động ở IP layer, còn TCP ở tầng cao hơn, và vì thế quá trình bóc tách headers cho mỗi packet cũng ít hơn 1 lần.
- Tuy nhiên, với các kiểu DDoS giả dạng flash crowds, TCP chắc là "sống khoẻ" hơn IPSec nhiều vì nó không đòi hỏi encryption và integrity check.

Từ đó, em nghi ngờ về nhận định rằng với việc IPv6 được sử dụng đại trà, tình trạng và hậu quả của DDoS sẽ được cải thiện.
 

conmale wrote:

Chuyện DDoS thì không bao giờ có thể triệt tiêu hoàn toàn được. Chỉ có thể giảm thiểu. 

Đây là vì anh chỉ đứng dưới góc độ của end systems nên mới có nhận định như thế. Cái em muốn thảo luận là về các đặc điểm của một mô hình lí tưởng mà ở đó có thể (chỉ là ví dụ) botnets vẫn tồn tại, nhưng mà dùng nó đi tấn công bất cứ hệ thống nào, dù nhỏ dù lớn, dùng bất cứ phương pháp gì (kể cả bandwidth DDoS) cũng không còn nhiều tác dụng (ví dụ: bị dập tắt chỉ sau 5-10 phút). Bối cảnh đó khác hoàn toàn với tình trạng "sống chung với lũ" và "mạnh ai nấy lo" hiện nay. 

Mình chỉ cần tạo 1 nhóm VPS, không cần nhiều CPU, RAM, chỉ cần nhiều băng thông và mỗi cái làm một reverse proxy. Reverse proxy này được iptables bảo vệ ở tầng IP và chính nó được áp dụng mod_security để giới hạn inbound requests. Cái chính là để chẻ nhỏ các requests đi vào (nhằm tránh quá nhiều traffic dồn vào một server).
 

So, at the very least your DoS defense responsibility is shared with your Internet Service Provider (ISP). In other cases, it is shared with your cloud provider. Or, it can me shared with a Content Delivery Network (CDN) or other entity. In essence, these are the scenarios of DoS protection sharing:

Your organization + your ISP (they can mitigate the attack when a network pipe from you to them is full; in most cases you’d need to detect it first though)
Your organization + your cloud provider (do you realize that if you use SaaS to achieve a particular business function, such function can be denied by a) DoS’ing your network, b) DoS’ing your provider [or: DoS’ing them enough so that they drop you as a customer…] or c)DoS’ing your link to them)
Your organization + your CDN (if you accelerate your web presence by using a CDN, they become an inherent part of your DoS defense arsenal)
Your organization + specialty anti-DoS provider (and, yes, if your anti-DoS provider is itself DoS’d, you are ..ahem…”denied your anti-DoS service” … ironic,isn’t it?)

Thus, DoS defense requires sharing. As I pointed out, it is likely that we will be sharing more than just bandwidth for doing many security things in the coming years…