IPv6 vs IPv4
[cancellato]
QRDG non basta riavviare il modem che prende un altro IP e via,
Neanche adesso è garantito che questa prassi funzioni. Dipende ogni quanto il provider fa ruotare gli indirizzi.
E comunque l'IP dinamico è una rottura di $caldarroste per ogni uso sia un filo più evoluto del consumare contenuti, e non sarebbe diverso se puntassero al tuo IP interno o a quello di WAN, sempre il canale andrebbero a saturarti.
QRDG la mia domanda se gli ipv6 sono statici, se ti dossano che puoi fare?
L'ho già scritto in un altro thread, prendere chi si "diverte" a far 'ste stronzate e DDoSsarli di frustate con cavi di rete (se intestati è ancora meglio) finché non si rompono (i cavi, non le persone). Vedrai che poi la smettono.
Fossi il provider gli staccherei la linea a vita.
- Modificato
Confidi che il tuo ISP sia in grado di bloccare gli attacchi.
Dipende sempre dal tipo di attacco in corso.
Da parte tua, puoi impostare sul router una regola di DROP e non di REJECT (in questa maniera, non saturi anche la tua banda in upload per rispondere alle richieste TCP syn). Puoi bloccare gli ICMP reply, ma se l'attacco è troppo voluminoso, l'unico che può far qualcosa è l'ISP.
[cancellato] Fossi il provider gli staccherei la linea a vita.
Una cosa che non ho mai capito è perché alcuni provider permettano l'IP spoofing.
Se sai che il tuo ASN ha ip nella forma X.Y.., perché permettere di inoltrare pacchetti con indirizzo sorgente che non ti appartiene e non bloccarli al bordo? È solo per una questione di performance o ci sono utilizzi "leciti" di IP spoofing nelle reti pubbliche?
[cancellato] Neanche adesso è garantito che questa prassi funzioni. Dipende ogni quanto il provider fa ruotare gli indirizzi
Infatti, però sinceramente alcune case produttrici a fare ancora giochi P2P... non che siano male perooo sai com'è, ad un certo punto un server in mezzo lo potresti mettere.
[cancellato] E comunque l'IP dinamico è una rottura di $caldarroste per ogni uso sia un filo più evoluto del consumare contenuti,
Se devi accede alla rete interna basta una VPN no?
[cancellato] e non sarebbe diverso se puntassero al tuo IP interno o a quello di WAN, sempre il canale andrebbero a saturarti.
Quindi mi dici che la soluzione è limitare la banda a quel dispositivo, per non far impallare la linea del tutto? e poi con quel device come fai?
[cancellato] L'ho già scritto in un altro thread, prendere chi si "diverte" a far 'ste stronzate e DDoSsarli di frustate con cavi di rete (se intestati è ancora meglio) finché non si rompono (i cavi, non le persone). Vedrai che poi la smettono.
Fossi il provider gli staccherei la linea a vita.
Ahahah sicuramente, poi sbaglio è un reato penale qui in Italia? Sicuramente la tua soluzione funzionerebbe perfettamente, però c'è un modo meno peggio? per liberarsi da queste cose? poi come detto il problema è del malcapitato che becca quell'IP dopo...
Quale sarebbe la soluzione un firewall che blocca le richieste? un cliente a cui abbiamo fatto le grafiche del sito come filtro anti attacco ha messo che:
se dall'ip x.x.x.x.x arrivano più di X richieste in Y tempo il server "rifiuta le richieste" per 600 secondi da quell'IP, ha fatto bene? io non mi sono impicciato poiché dovevo solo fare le grafiche del sito.
[cancellato]
- Modificato
Con IPv6 l'ISP ti assegna un intero prefisso, non singoli indirizzi IP. Poi ai dispositivi nella LAN viene assegnato un indirizzo all'interno di quel prefisso, e questo significa che possono minimo prendere un IP fra 264 disponibili. Se fanno il DDoS su un singolo IP di un singolo dispositivo ci vuole un attimo a prenderne un altro (se non è un server che deve essere raggiungibile ad un dato indirizzo). Questo vale anche per l'attaccante, però. Ti possano attaccare il router comunque, però.
Il prefisso in IPv6 dovrebbe essere assegnato staticamente - perché quando cambia tutti i dispositivi devono passare ad usare il nuovo prefisso (renumbering), compresi quelli che hanno un IP impostato manualmente - e questo può rendere non semplice cambiare prefisso per sfuggire al DDoS. Se il router ha una minima capacità di difesa contro attacchi DDoS semplici puoi cavartela, se il traffico però è veramente elevato è un problema. Passa a giocare con gente migliore.
QRDG Quale sarebbe la soluzione un firewall che blocca le richieste?
Di solito gli attacchi DDoS hanno dei pattern riconoscibili. Un buon firewall può riconoscerli e droppare i pacchetti direttamente, finché il traffico non supera la capacità di gestione.
QRDG Infatti, però sinceramente alcune case produttrici a fare ancora giochi P2P... non che siano male perooo sai com'è, ad un certo punto un server in mezzo lo potresti mettere.
I giochi P2P riducono i costi di mantenimento dei server e lasciano la palla in mano agli utenti.
QRDG Se devi accede alla rete interna basta una VPN no?
Per una VPN self-hosted serve un IP pubblico, il problema è uguale. Se statico puoi evitare il dynamic dns, ma sei comunque un possibile bersaglio come per chi ha ip statico.
QRDG Quindi mi dici che la soluzione è limitare la banda a quel dispositivo, per non far impallare la linea del tutto? e poi con quel device come fai?
QRDG se dall'ip x.x.x.x.x arrivano più di X richieste in Y tempo il server "rifiuta le richieste" per 600 secondi da quell'IP, ha fatto bene? io non mi sono impicciato poiché dovevo solo fare le grafiche del sito.
Non è detto che sia sufficiente, se l'attacco è troppo voluminoso si satura il canale di accesso e quindi deve essere l'ISP a bloccare alla frontiera.
Domanda forse stupida.
Se il prefisso dato dal provider è /56, come è stato detto in precedenza, dovrei avere massimo 256 dispositivi connessi, giusto?
[cancellato]
- Modificato
stemax97 Una cosa che non ho mai capito è perché alcuni provider permettano l'IP spoofing.
Se sai che il tuo ASN ha ip nella forma X.Y.., perché permettere di inoltrare pacchetti con indirizzo sorgente che non ti appartiene e non bloccarli al bordo? È solo per una questione di performance o ci sono utilizzi "leciti" di IP spoofing nelle reti pubbliche?
Non l'ho mai capito nemmeno io. Penso sia pigrizia, o timore di toccare qualcosa che "finora ha sempre funzionato". L'intero "castello" di accordi BGP è tenuto su più o meno sulla fiducia reciproca, e infatti non sono rari gli annunci "strambi" in cui un provider asiatico dice di essere un transit o owner di una serie di prefissi di Google ad esempio...
Usi leciti di IP spoofing proprio non me ne vengono in mente, ma proprio manco uno...
QRDG Infatti, però sinceramente alcune case produttrici a fare ancora giochi P2P... non che siano male perooo sai com'è, ad un certo punto un server in mezzo lo potresti mettere.
E chi paga il server, la banda e la potenza di calcolo? Solito discorso... Poi l'azienda fa puff! e chi ha pagato il gioco si trova con un bel fermacarte (virtuale ormai...) quando AWS o chi per esso stacca la spina perché non pagano le fatture.
QRDG Se devi accede alla rete interna basta una VPN no?
La VPN non serve per questo, ma avere l'IP statico aiuta a "farti riconoscere" dai server cui ti colleghi per esempio, puoi predisporre aperture più ampie su una tua VPS per il traffico che arriva da casa tua.
QRDG Quindi mi dici che la soluzione è limitare la banda a quel dispositivo, per non far impallare la linea del tutto? e poi con quel device come fai?
No, dico che il collo di bottiglia è sempre la linea tra te e il provider, che puntino al router (IPv4 di WAN) o client interno, sempre da lì devono passare.
QRDG se dall'ip x.x.x.x.x arrivano più di X richieste in Y tempo il server "rifiuta le richieste" per 600 secondi da quell'IP, ha fatto bene? io non mi sono impicciato poiché dovevo solo fare le grafiche del sito.
Agire a livello applicativo vuol dire che sei già in "braghe di tela", non da alcuna protezione contro attacchi volumetrici verso il suo IP (che potrebbero anche riguardare tentativi di connessione su porte chiuse, non necessariamente al server WEB).
La soluzione la può dare solo chi è più grosso di te, ovvero il provider a monte.
[cancellato] Con IPv6 l'ISP ti assegna un intero prefisso, non singoli indirizzi IP. Poi ai dispositivi nella LAN viene assegnato un indirizzo all'interno di quel prefisso, e questo significa che possono minimo prendere un IP fra 264 disponibili. Se fanno il DDoS su un singolo IP di un singolo dispositivo ci vuole un attimo a prenderne un altro
Ma il routing lato provider avviene sempre e solo sui prefix, quindi la mole di traffico alla tua interfaccia di WAN arriva lo stesso.
matteoc No, hai 264-56 = 256 subnet disponibili, ognuna con 264 (-3) device al massimo. Gli indirizzi IPv6 sono da 128bit.
[cancellato] hai 264-56 = 64k subnet disponibili
256 subnet diponbili, ne hai 65k con una /48 
edit: hai modificato prima di me haha
[cancellato]
edofullo Sì mi è andato un attimo in crisi il cervello con le potenze.. onestamente ero andato a memoria perché ero pigro per far il conto. Mi ha tradito.
[cancellato]
[cancellato] Ma il routing lato provider avviene sempre e solo sui prefix, quindi la mole di traffico alla tua interfaccia di WAN arriva lo stesso.
Questo è vero, bisogna vedere però quale dispositivo sbrocca prima. Dipende dal tipo di DoS. Un attacco applicativo può far esaurire le risorse sulla macchina target ben prima che il router sia sovraccarico di richieste.
[cancellato] E chi paga il server, la banda e la potenza di calcolo? Solito discorso... Poi l'azienda fa puff! e chi ha pagato il gioco si trova con un bel fermacarte (virtuale ormai...) quando AWS o chi per esso stacca la spina perché non pagano le fatture.
Conta però che anche i giochi P2P hanno un server, precisamente quello dedicato al matchmaking. Se quello non risponde oppure cessa di esistere (vedasi la Nintendo WiFi Connection di DS e Wii) l'online non funzionerà su tutti quei titoli che facevano uso di quel server.
Certo, se uno si mette le mani in pasta può tirare su un server alternativo (Wiimmfi) e riportare l'online su quei titoli, opportunamente da patchare per indirizzare a quel server invece di quello ufficiale, però è più l'eccezione che la regola...
Che chimera, probabile arrivi prima Godot che IPv6. Secondo me IPv4 regnerà ancora lungo, sono tutti super concentrati solo su ciò che riguarda il livello applicativo e il livello fisico (tranne la Cina forse, ma vabbè), una scommessa rischiosa mettere le mani sugli strati intermedi. Se mi concedete il paragone, la vedo un po' come telegram e whatsapp: il primo bello, tante funzionalità, sicuro; il secondo, semplicemente, lo usano tutti
- Modificato
Goku96 A me sembra un problema di alcuni paesi sinceramente, spesso quando ci sono grandi ISP in regime di (quasi) monopolio che hanno una quantità sterminata di IP che ti possono vendere (affittare, di fatto) a prezzi inumani.
Nuovi ISP (vedi Sky) avranno difficoltà ad accedere a nuovi indirizzi IPv4.
IMHO se qualche big (TIM, VF, W3) si muovesse ad implementarlo anche sul mobile gli altri seguirebbero a ruota.
[cancellato]
Goku96 No, non è così, negli Stati Uniti mi pare i primi due carrier mobile lo hanno implementato da un po', ed assegnano un IPv6 ruotabile ad ogni terminale. Gli over the top da tempo vedono percentuali rilevanti del traffico loro diretto provenire da origini V6.
È in Europa e soprattutto in Italia che siamo pigri e non ne approfittiamo.
Vero anche che il concetto di end2end visibility non è più così necessario visto che ormai tutto fa "perno" sul Cloud e quindi basta che abbia un SNAT "e tutto va bene", ma è un limite molto forte a ciò che si può sviluppare sulla rete. Pensate solo alle videoconferenze vis-a-vis: bisogna giocoforza ci sia un server intermedio altrimenti i flussi audio video non posso arrivare diretti da un peer all'altro...
[cancellato] Pensate solo alle videoconferenze vis-a-vis: bisogna giocoforza ci sia un server intermedio altrimenti i flussi audio video non posso arrivare diretti da un peer all'altro...
Se non sbaglio è uno dei motivi per cui jitsi funziona male, no?
