Open Fiber lancia il profilo FTTH 10 Gigabit in XGS-PON

[cancellato] A monte. Così come li mitighi a monte anche se hai 100G o 300G, perché al mondo c'è sempre qualcuno che ce l'ha più grosso di te

Eh??? E sentiamo, come mitigheresti un DDoS da botnet, o un DDoS da sorgenti spoofate, "a monte"? Un attacco fatto bene che non sia un banale volumetrico, magari invece anche in L7 e specifico per il target, non lo mitighi certo con i filtri statici dei transiti, quindi ti chiederei di spiegarti meglio perche' non capisco che intendi con "a monte" all'atto pratico per gli attacchi reali... Mica puoi andare casa per casa a sanificare l'IoT, telecamere, etc hackerate della gente, poi magari ti presenti in Russia e dici "salve, vorrei far chiudere le vostre botnet, posso?"...

[cancellato] Tu hai mai gestito o visto infrastrutture in grado di sostenere traffico egress e ingress da diciamo almeno 200-500Gbps tanto per dar il taglio che disprezzavi di Aruba? Hai presente i costi per fare filtraggi, shaping, policy, analisi IPS e Anti DDoS su tali ordini di grandezze? MI sa di no, altrimenti cambieresti rapidamente idea.

E invece si'. Non ho detto certo che costa molto poco o che sia molto semplice eh, ma non e' certamente nemmeno cosi' impossibile come credi e/o sembra vorresti far credere tu, a meno che tu non voglia affidarti a servizi o prodotti chiavi in mano e/o esternalizzati, allora li' piu' che grosse competenze serve un portafogli infinito...

[cancellato] Gli esempi dei datacenter che fai tu sono quelli del "cloud"

Assolutamente NO, gli esempi che faccio io sono di datacenter "fisici" che vendono principalmente server dedicati, e poi anche server virtuali tariffati al mese o ad ore*: tanto per fare dei nomi, che sono solo i primi che mi vengono in mente ora, Hetzner in Germania, Iliad in Francia, LeaseWeb in Olanda, e cosi' via.

* oggi va di moda chiamare le VPS ad ore "cloud", anche se il "cloud" vero e proprio include un sacco di servizi costosissimi "chiavi in mano" a corollario o addirittura in alternativa delle VPS vere e proprie. Solo chi ha soldi da buttare OPPURE progetti microscopici puo' permettersi di esternalizzare sul "cloud" vero senza andare in profondo rosso (altrimenti tocca spolpare a propria volta i propri clienti per poter sopravvivere, ed ecco li' il circolo vizioso del "ommammamia costa troppo poco pero' i prezzi sono cosi' alti ma sono anche troppo bassi")... Per non parlare poi del vendor lock-in, una volta che "migri" come torni indietro, come cambi fornitore... Cioe' il "cloud" vero e' solo negativo e basta, tranne per chi te lo vuole vendere ovviamente.

[cancellato] In questi ambiti non esiste protezione DDoS

Ma che dici... Tu hai mai gestito o avuto un server dedicato o anche solo virtuale con uno dei provider di cui sopra? Non dico gestito la rete di quei provider eh, dico solo come cliente. Mi sa proprio di no, oppure sei sempre stato fortunato a non essere mai attaccato. Se ti arriva un attacco diretto al tuo IP pubblico lo senti eccome perche' ti satura la porta, e poi dopo un tot entra in funzione (se c'e') la mitigazione del datacenter (i core router routano la /32 sotto attacco a degli scrubber cioe' delle macchine molto potenti e dedicate al filtraggio, che cercano di filtrare dinamicamente il grosso dell'attacco per poi rigirare al resto della rete il traffico "pulito"). Questo pero' puoi farlo ovviamente solo se hai banda adeguata da e verso l'esterno; se non ce l'hai e non vuoi sostenere i costi per adeguarla, sei invece praticamente costretto o a nullroutare la /32 sotto attacco oppure ad esternalizzare la protezione, facendo annunciare le subnet sotto attacco ad altri che invece hanno adeguata banda, e poi ti rigirano il traffico pulito in qualche modo, spesso via tunnel o a volte anche interconnessione fisica diretta, se si e' entrambi presenti in un IXP o altra struttura comune.

Quindi il grosso della banda serve eccome, come standby per mitigare gli attacchi che arriveranno; se non ce l'hai o te la procuri o esternalizzi o chiudi. Ora va di moda esternalizzare, ed e' un male.

iam0day In realtà con la FTTH non ci dovrebbero essere questi problemi

No, ma mi riferivo ai datacenter connessi ad internet con le stradine di campagna, che al primo attacco (o cliente che scarica a 10 Gbps ) vanno giu' del tutto o nel caso migliore si vola con il packet loss

handymenny è relativamente facile se la banda te la pagano gli ISP o è praticamente gratis (peering agli IX) e se devi servire un solo tipo di contenuto

Eh si', e in questo specifico caso non ti devi nemmeno preoccupare dei DDoS, pensa tu Ma non e' certo mica il caso generale, anzi...

handymenny E comunque il problema per me non è la banda, ma non saperli gestire intelligentemente questi aggiornamenti. Ci sono modi e modi per evitare che ciò accada.. C'è ad esempio il P2P, il rilascio graduale

Anche, si'. (P2P meh va bene per cose gratuite, ma se lo usa un servizio a pagamento storco un po' il naso...)

LATIITAY Assolutamente NO, gli esempi che faccio io sono di datacenter "fisici" che vendono principalmente server dedicati, e poi anche server virtuali tariffati al mese o ad ore*: tanto per fare dei nomi, che sono solo i primi che mi vengono in mente ora, Hetzner in Germania, Iliad in Francia, LeaseWeb in Olanda, e cosi' via.

Appunto, "cloud" per l'accezione del termine, aka affitto risorse a $pigs+dogs per due lire al mese, spesso in oversubscription pesantissime (non faccio nomi, altri li hanno già fatti in passato).

Io ti parlo di datacenter di enterprise che erogano servizi, che è diverso.

LATIITAY Eh??? E sentiamo, come mitigheresti un DDoS da botnet, o un DDoS da sorgenti spoofate, "a monte"?

Devo dirtelo? Ma se poi mi scrivi che

LATIITAY E invece si'

'ste robe le dovresti sapere, quindi no, non mi presto al gioco. Google is your friend.

LATIITAY Ma che dici... Tu hai mai gestito o avuto un server dedicato o anche solo virtuale con uno dei provider di cui sopra?

Più d'uno.

LATIITAY Se ti arriva un attacco diretto al tuo IP pubblico lo senti eccome perche' ti satura la porta, e poi dopo un tot entra in funzione (se c'e') la mitigazione del datacenter

Appunto. Se paghi poco, come nei casi citati sopra, la mitigazione non c'è. Ti filtrano qualcosa, finché riescono, se gli rompi troppo le balle di fieno, nullroute dell'IP sui router di frontiera e maillina al wannabe-sysadmin dove lo avvertono che se gli ricapita gli spengono tutto e buonanotte al secchio.

LATIITAY il grosso della banda serve eccome, come standby per mitigare gli attacchi che arriveranno; se non ce l'hai o te la procuri o esternalizzi o chiudi.

No, perché, e te lo riscrivo, sottoscrivo e firmo con il sangue, ci sarà sempre al mondo qualcuno più grosso di te, anche se ti chiami Amazon o Meta. Contro il mondo intero di PC infetti che ti rompe i $attributi alla tua singola macchina, non ci puoi fare niente da solo, NIENTE. Devi solo sperare e pregare che non ti faccia troppo male, o che il transito upstream non gli giri male e ti mandi in shut la sessione BGP (già successo con un tristemente noto ISP un paio d'anni fa di cui non si può parlare in questi lidi).

[cancellato] quindi no, non mi presto al gioco

No, sono io che non mi presto al tuo di gioco dopo che ti ho gia' detto che non considero l'esternalizzazione della protezione come una soluzione economicamente o """moralmente""" (non mi viene una parola migliore ora...) accettabile.

[cancellato] Appunto. Se paghi poco, come nei casi citati sopra, la mitigazione non c'è. Ti filtrano qualcosa, finché riescono, se gli rompi troppo le balle di fieno, nullroute dell'IP sui router di frontiera e maillina al wannabe-sysadmin dove lo avvertono che se gli ricapita gli spengono tutto e buonanotte al secchio.

Se sei soggetto ad attacchi basta pagare di piu' il proprio datacenter per averla, la mitigazione. Ma sempre interna resta, fornita dal DC, che deve avere banda in abbondanza per poterla fornire in maniera "seria". Questo ovviamente all'estero in DC che io considero "seri"... Oppure se ti fai te la tua rete andando in housing/colocation e comprando banda direttamente dai transiti. Invece in Italia (non considerando chi e' stato appena acquisito se la sua rete smettera' di esistere... ), o cmq ovunque un DC non abbia investito nella protezione della propria rete, e' ovvio che ti accompagnano alla porta virtuale col nullroute, cioe' ma se tutto un gruppo a livello mondiale si vanta di avere ben solo 250 Gbps di banda esterna (e quindi chissa' quanta poca a livello locale del singolo DC, brrr) di cosa stiamo parlando, dai...

Non a caso tutti i "grossi clienti", dalle banche a boh, Messagenet, usano protezioni anti-DDoS estere, nessuno escluso, proprio perche' come dicevo prima, in Italia ad oggi non c'e' nessun datacenter che possa offrire mitigazione "seria" di attacchi DDoS e/o L7, e quindi tutti esternalizzano alla bell'e meglio su scrubbing center esteri... E, ripeto, questo e' un grosso male per l'Italia.

Ora scusami che c'e' un guasto di e-distribuzione con la corrente che arriva a 110 V, devo pensare a questo

andreagdipaolo beh la stessa domanda ce la si può porre anche in area nera, non è che chi è in aria bianca è un troglodita che non ha bisogno di internet mentre chi vive in area nera sta nel 2050 dove ha bisogno di più Gbps... Che poi non lo facciano perché in area bianca il PCN è rilegato con poca banda è un altro paio di maniche.
Son curioso di vedere l'offerta di qualche operatore in Open Internet quando ci sarà per vedere quanto sarà pessima a confronto di qualche operatore infrastrutturato.

DerAdler e' certo che lo sia ormai (a livello societario, Aruba ora e' socia di SeFlow, ma SeFlow resta pur sempre una societa' a parte per ora. Prima dicendo che non si sa ancora intendevo che non si sa ancora a livello di reti cosa accadra' nel concreto)