アカウント名:
パスワード:
ACKが返るまで再送信ができないとか再送タイムアウトが伸びていくとか、DENYが返ったら再送タイムアウトがめちゃくちゃな長時間に設定されるとか。DDoSを防衛するのはほぼ不可能だから、攻撃手段を奪うしかないと思うのだけど。
TCP だけだと思ってる?
無理やりな垂れ流しができないよう、UDPにも必要なプロトコル入れればいいでしょ。
それはもはやUDPではないのでは
UDP単体だからたれ流せるのであって、TCP+UDPでもいいじゃないですか。UDPクライアントがTCPで経路のルータにコネクション張って、フロー制御要求すればいい。
なんでトランスポート層とアプリケーション層の話が混ざって議論されてるんだよw
UDPをきちんとコネクションを貼って垂れ流しができないようにパケット制御するようにしたら、それはもうTCPじゃないかw
フロー制御専用のプロトコル作ればいいんじゃねというつもりで話してるんだが。アプリの中でやるんじゃなくて、経路間でTCP張って、ストリームのフロー制御情報はTCP側でやりとりすればいいじゃない。なんでUDPの中だけで完結させる必要があるのよ。
「フロー制御できないプロトコルを使った攻撃(今回ならDNSリフレクション)にどう対処するか」って話なのになんで「フロー制御できるプロトコル作ればいい」になるんだよ……
今は経路を構成する機器同士で帯域保護を行うプロトコルが存在しないから、帯域を食いつぶす攻撃が可能になってる。なら、機器間でフロー制御を行うためのプロトコルを作ればいい。大量のパケットを送り付けられた機器が経路の上流に対して抑制要求を行い、それをさらに上流へリレーすれば根元を止められる。
そこまで言うなら、IETF にドラフト上げて。で、全 UDP アプリケーションに対して実装するよう関連 RFC を更新させるべくロビー活動してよ。それでも古い UDP アプリケーションは残り続けるだろう。せいぜい絵に描いた餅にならないようにな。
アプリケーションは関係ないよ。ルータで処理される想定だから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
DDoS攻撃ができないようにできないのか (スコア:0)
ACKが返るまで再送信ができないとか再送タイムアウトが伸びていくとか、
DENYが返ったら再送タイムアウトがめちゃくちゃな長時間に設定されるとか。
DDoSを防衛するのはほぼ不可能だから、攻撃手段を奪うしかないと思うのだけど。
Re: (スコア:0)
TCP だけだと思ってる?
Re: (スコア:0)
無理やりな垂れ流しができないよう、UDPにも必要なプロトコル入れればいいでしょ。
Re: (スコア:0)
それはもはやUDPではないのでは
Re: (スコア:0)
UDP単体だからたれ流せるのであって、TCP+UDPでもいいじゃないですか。
UDPクライアントがTCPで経路のルータにコネクション張って、フロー制御要求すればいい。
Re:DDoS攻撃ができないようにできないのか (スコア:1)
なんでトランスポート層とアプリケーション層の話が混ざって議論されてるんだよw
UDPをきちんとコネクションを貼って垂れ流しができないようにパケット制御するようにしたら、それはもうTCPじゃないかw
Re: (スコア:0)
フロー制御専用のプロトコル作ればいいんじゃねというつもりで話してるんだが。
アプリの中でやるんじゃなくて、経路間でTCP張って、ストリームのフロー制御情報はTCP側でやりとりすればいいじゃない。
なんでUDPの中だけで完結させる必要があるのよ。
Re:DDoS攻撃ができないようにできないのか (スコア:1)
「フロー制御できないプロトコルを使った攻撃(今回ならDNSリフレクション)にどう対処するか」って話なのになんで「フロー制御できるプロトコル作ればいい」になるんだよ……
Re: (スコア:0)
今は経路を構成する機器同士で帯域保護を行うプロトコルが存在しないから、帯域を食いつぶす攻撃が可能になってる。
なら、機器間でフロー制御を行うためのプロトコルを作ればいい。
大量のパケットを送り付けられた機器が経路の上流に対して抑制要求を行い、それをさらに上流へリレーすれば根元を止められる。
Re: (スコア:0)
そこまで言うなら、IETF にドラフト上げて。
で、全 UDP アプリケーションに対して実装するよう関連 RFC を更新させるべくロビー活動してよ。
それでも古い UDP アプリケーションは残り続けるだろう。せいぜい絵に描いた餅にならないようにな。
Re: (スコア:0)
アプリケーションは関係ないよ。ルータで処理される想定だから。