Выбрать язык


Выбрать язык | Show only


Русский | English


вторник, 7 июня 2016 г.

ENOG 11. Доклады по защите от DDoS и моя статья в журнале

Сегодня был на конференции ENOG 11, организованной RIPE NCC.
Логично, что меня как инженера по защите информации в большей части интересовала часть программы, посвященная защите от DDoS. На мероприятии, организованном RIPE, я был в первый раз, поэтому у меня были на счет содержимого докладов определенные ожидания. Но я нашёл, в том числе, и свою ошибку.

Первым, как и видно из программы, по этой теме выступил Алексей Семеняка из QRator Labs. Презентация оказалась довольно интересной технически, самой интересной из цикла по DDoS этой конференции, хотя особых инноваций не содержала. При этом не покидало чувство, что я где-то уже это видел. Дата 13/10/15, проставленная в левом нижнем углу, подсказала где искать. Оказалась полная копия презентации с ENOG10, который проводился в 2015 году в Одессе. Я, конечно, понимаю, что BCP38 - вещь фундаментальная и с 2000 года своей актуальности не потеряла, а презентация была всерьез основана на его постулатах, но осознание того, что смотришь секонд-хенд, в котором даже дату не изменили, слегка омрачало. Как уже упоминалось, ожидания, все-таки, были повыше. Да и сквозившее периодически "используйте облачное" тоже как бы намекало...

Одно очень важное понимание ко мне пришло именно во время этой презентации. Наверное, стоит отдельно поблагодарить Алексея Семеняку за формулировку, натолкнувшую меня на мысль... 

https://upload.wikimedia.org/wikipedia/commons/3/3b/Paris_Tuileries_Garden_Facepalm_statue.jpg

В майском выпуске журнала "Системный администратор" опубликована моя статья "Защита от DDoS подручными средствами. Часть 1. DNS Amplification". Как видите, я тоже не прочь использовать BCP38 как базу для своей публикации, но писал я ее в свободное от работы и украденное у семьи время, поздно ночью, поэтому допустил довольно грубую обшибку подачи материала. 
Это касается расширения EDNS0. Данный механизм предназначен для защиты сервера DNS от исчерпания ресурсов при частых легитимных запросах, ответы на которые имеют размер более 512 байт, чтобы принудительный переход на TCP (описано тут) не истощил сервер. В том варианте, который преподнес я, возможна постановка знака равенства между EDNS0 (RFC6891) и принудительным переходом на TCP (RFC5966), за что я сильно извиняюсь перед читателями журнала. Хотел написать "перед своими читателями", но, думаю, тогда пришлось бы вставить "всеми четырьмя" :)
Естественно, EDNS0 помогает защитить от DDoS сам DNS-сервер, но непосредственно инструмент, который сможет противодействовать IP-спуфингу - конечно же, переход на TCP. Поэтому еще раз извиняюсь.

http://wordru.ru/wp-content/uploads/2013/06/izvinite.jpg

Из серии, посвященной DDoS (первая половина дня 7 июня) доклад Ильи Сухова из IPTP Networks носил откровенно коммерческий характер и был посвящен некому чудо-фаерволлу, технические детали которого он описывать не стал.

Презентация Максима Белоенко из того же Qrator'а явно была ориентирована не на ту аудиторию, которая собралась на конференции. Рассказывать сетевым инженерам, что DDoS - это не страшно, с ним можно бороться, если подойти с головой - наверное, не самое удачное решение. Но, учитывая то, что его презентация не была включена в программу, думаю, он экспромтом решил заполнить образовавшийся перерыв, при этом осознавая некотрое несоответствие контента собравшейся аудитории, за что, наверное, стоит выразить отдельный респект.


2 комментария:

  1. Анонимный9 июня 2016 г., 00:47

    О, мне прислали ссылку на отзыв на мое выступление :) Два важных замечания, и оба - как реакция на вашу невнимательность.

    1. Посмотрите программу или первый слайд презентации. Это не была пленарная презентация, и это важно. Это был tutorial в секции tutorials, то есть учебный материал, представленный достаточно полно и системно, чтобы ввести аудиторию в тему с нуля. Ровно поэтому материалы для tutorials почти не меняются от мероприятия к мероприятию (можно убедиться, посмотрев стандартные tutorials от RIPE NCC, они тоже почти не меняются). Если есть запрос на _пленарный_ доклад по DDoS с каким-то новым материалом на эту тему - про это стоит известить программный коммитет, мы будем более целенаправленно искать докладчиков на востребованные сообществом темы. Кстати, я вполне серьезно, отклик аудитории и запросы на что-либо нам правда интересны.

    2. Про "облачные сервисы" я упоминал там, где им нет разумной альтернативы - в случае атаки на канал. В остальных случаях я говорил, что можно использовать и коммерческие аппаратные решения или облачные сервисы. Я внимательно отношусь к тому, чтобы материал моего tutorialа был максимально коммерчески-нейтральным, и мог бы быть прочитан не только мной, но любым человеком "в теме".

    ОтветитьУдалить
    Ответы
    1. Прислали ссылку непосредственно на мой блог, а не его RSS-трансляцию на гораздо более популярный ресурс - уже неплохо. Скорее всего, из заполненной анкеты взяли.

      Учитывая то, что я не постоянно верчусь в публичной части ИТ/ИБ, а мероприятие RIPE посетил вообще впервые, я бы не обратил внимания, даже если бы Tutorial было написано красными буквами.

      Как я и писал, ожидания от конференции у меня были несколько выше, в связи с авторитетом RIPE. Кстати, не у меня одного, мои собеседники по кулуарам высказывали аналогичные замечания. Хотя, наверное, такое разделение бывает на всех конференциях, потому что в зале были и люди, которые прямо фотографировали экран.

      Мне тоже было чего рассказать аудитории. Не на полтора часа, конечно, и не в конкуренцию, а в некоторое дополнение к вашей презентации, но я постеснялся отправить презентацию в оргкомитет, чтобы не рассказывать о приемах рукопашного боя в эру использования авиации. А, оказывается, он все равно до сих пор нужен. Но я помоложе, поэтому могу пока учиться и на своих ошибках, и на ваших.

      Надеюсь, сумею подготовить хороший материал, и после ENOG12 вы сможете написать отзыв о моем выступлении.

      Удалить