Yv@n#25
"A spam meg egy másik dolog - a botnethez ugyan köze van, de nem közvetlen a DDoS-hez, ezt jó lenne külön választani és nem egy zsákba dobálni mindent."
nonme úgy van az. technológiailag a két botnet nem különbözik egymástól semmiben, attól függ hogy mit csinál egy botnet, hogy a "tulajdonosa" mire kívánja felhasználni.
A spam esetében az eredeti származási hely ugyan visszakövethető a mail header adatokból, DE ehhez annak aki megkapta a spam-et kellene továbbítania(mondjuk pl egy erre felkészített levelező klienssel a megadott helyre) a levélből azon adatokat, amelyek lehetővé teszik a forrás behatárolását. Namost ki lesz ez a szervezet aki ezt fogadja? Egész biztos nem kell nagy infrastruktúra a világ összes ISP-jének összefogására, ami ehhez szükséges... :)
Hogyan kötelezed az ISP-ket, hogy vállaljanak ebben szerepet? Ahány ország annyiféle jogrendszer, amíg van egy ai nem csatlakozik semmit sem ér az egész.
És ez csak a spam, ami behatárolható. Egy DDoS támadás gyönyörűen maszkolható. Semmiből nem tart úgy megírni a klienst, hogy látszólag teljesen értelmes HTTP lekédezéseket csináljon, a lényeg, az hogy egyszerre sok kliens tegye ezt egyidőben, és már attól behal a célgép. És nincs aki megmondaná neked, hogy az x kliens közül melyik volt valódi, melyik támadó. Hasraütésszerűen kibanolsz tűzfalból mindenkit? Az sem megoldás, elvesztedaz ügyfeleidet is.
tt a megoldás az lehetne, ha mindne DDoS támadásról készülne egy jegyzőkönyv(_utólag_), és az egyes jegyzőkönyveket kiszűrve lehetne a támadó gépek után kutatva egyezést keresni. Apró szépséghibája a dolognak, hogy bezavarnak a dinamikus ip címek, melyek miatt rövid idő után beazonosíthatatlanok az ügyfeleid(komplett subneteket meg pár balfasz miatt nem illene kizárni...). Itt idővel megoldást hozhatna az ipv6, amennyiben a szolgáltatók nem dinamikus poolból osztják majd a címeket véletlenszerűen, hanem kihasználhatjuk annak igazi előnyét. Más kérdés, hogy ettől még ez a megoldás is tüneti kezelés utólag, megelőzendő a további támadásokat, de attól még ahhoz, hogy pontosan eredményeket kapj kell egy megfelelően nagy minta - ez esetben xdb jegyzőkönyvezett támadás - ammi alapján biztonságosan kopogtathatsz az ügyfelek ajtaján.
Persze akkor megintcsak ott van, hogy ki lesz az a szervezet, aki ezt a feladatot ellátja, és mi a garancia, hogy mindenki csatlakozik hozzá.