Довольно интересная статья по теме использования middleboxes
https://www.usenix.org/system/files/sec21fall-bock.pdf
Статья большая и насыщенная техническими тонкостями, которые так вот с порога не осилить. Но попробую описать, что я понял:
Middleboxes, в данном случае, это всеми нами нежно любимые DPI. Они же ТСПУ.
Лирическое отступление: давно, еще в мирное время, был весьма жаркий холивор на тему применимости DPI вообще. Как-бы технология-то крутая и кажется, что там много всего интересного можно запилить, но практическая применимость на сетях обычного интернет-провайдера была весьма спорной. Мобильные операторы при этом, нашли применение — с помощью DPI отделяли пакеты реального времени и давали им приоритет по отношению к асинхронным. Тем самым казалось, что сеть работает несколько быстрее. Но у фиксированных операторов такой задачи не стоит — полосы хватало с перекрытием.
Ситуация изменилась, когда для DPI нашли применение военное — блокировки. Больше DPI ни для чего не нужно.
Так вот, исследовательская группа из университетов Мериленда и Колорадо, просканировали весь интернет IPv4 (это не сложно, на самом деле) и провели анализ данных с помощью специально сгенерированного алгоритма. Пишут, что алгоритм был получен машин-лёрнингом с генетическим отбором, но это отдельная статья должна быть.
В итоге исследователи обнаружили, что есть аномалии с усилением трафика для DDoS-атак.
Грубо: по определенным адресам вы шлете специально сгенерированные UDP-пакеты, а эти адреса начинают "многократно обращаться" по целевым интернет-ресурсам с коэффициентом в несколько порядков. В сто-двести-пятьсот раз больше пакетов. Причем, уже TCP. Атаку так и называют TCP-based Reflection Attacks. (тут я мог напортачить, нужно больше времени для осмысления и понимания)
При дальнейшем рассмотрении, выяснилось, что атакующий трафик получается сильнее, если обращаться к "заблокированным ресурсам" а амплификаторами DDoS-а оказались... системы блокировок в разных странах.
В статье достоверно указаны системы блокировок из Китая, Южной Кореи (да, там тоже блокировки есть), Ирана, Египта, Бангладеша, Саудовской Аравии, Омана, Катара, Узбекистана, Кувейта и ОАЭ.
И РОССИИ
We also discover hundreds of IP addresses in routing loops in Russia that contain censoring middleboxes with 250.9× amplification. The highest amplifying nation-state censors are two censoring ISPs located in Russia that seem to have infinite routing loops in their network, that sent us packets for weeks after our scans.
Код экспериментов, накопленная база и алгоритмы — открыты для изучения. И использования. Вопрос появления петабитного паразитного трафика в сетях и массовых атак на что угодно — это вопрос времени.
И, в общем-то, идея о том, что ТСПУ от кого-то там смогут защитить превращается в тыкву теперь уже в практическом плане. И то, о чем я писал еще когда "сувенирный рунет" только обсуждался. Централизация управления сетями приводит только к снижению надежности. Вплоть до полного отказа.
https://www.usenix.org/system/files/sec21fall-bock.pdf
Статья большая и насыщенная техническими тонкостями, которые так вот с порога не осилить. Но попробую описать, что я понял:
Middleboxes, в данном случае, это всеми нами нежно любимые DPI. Они же ТСПУ.
Лирическое отступление: давно, еще в мирное время, был весьма жаркий холивор на тему применимости DPI вообще. Как-бы технология-то крутая и кажется, что там много всего интересного можно запилить, но практическая применимость на сетях обычного интернет-провайдера была весьма спорной. Мобильные операторы при этом, нашли применение — с помощью DPI отделяли пакеты реального времени и давали им приоритет по отношению к асинхронным. Тем самым казалось, что сеть работает несколько быстрее. Но у фиксированных операторов такой задачи не стоит — полосы хватало с перекрытием.
Ситуация изменилась, когда для DPI нашли применение военное — блокировки. Больше DPI ни для чего не нужно.
Так вот, исследовательская группа из университетов Мериленда и Колорадо, просканировали весь интернет IPv4 (это не сложно, на самом деле) и провели анализ данных с помощью специально сгенерированного алгоритма. Пишут, что алгоритм был получен машин-лёрнингом с генетическим отбором, но это отдельная статья должна быть.
В итоге исследователи обнаружили, что есть аномалии с усилением трафика для DDoS-атак.
Грубо: по определенным адресам вы шлете специально сгенерированные UDP-пакеты, а эти адреса начинают "многократно обращаться" по целевым интернет-ресурсам с коэффициентом в несколько порядков. В сто-двести-пятьсот раз больше пакетов. Причем, уже TCP. Атаку так и называют TCP-based Reflection Attacks. (тут я мог напортачить, нужно больше времени для осмысления и понимания)
При дальнейшем рассмотрении, выяснилось, что атакующий трафик получается сильнее, если обращаться к "заблокированным ресурсам" а амплификаторами DDoS-а оказались... системы блокировок в разных странах.
В статье достоверно указаны системы блокировок из Китая, Южной Кореи (да, там тоже блокировки есть), Ирана, Египта, Бангладеша, Саудовской Аравии, Омана, Катара, Узбекистана, Кувейта и ОАЭ.
И РОССИИ
We also discover hundreds of IP addresses in routing loops in Russia that contain censoring middleboxes with 250.9× amplification. The highest amplifying nation-state censors are two censoring ISPs located in Russia that seem to have infinite routing loops in their network, that sent us packets for weeks after our scans.
Код экспериментов, накопленная база и алгоритмы — открыты для изучения. И использования. Вопрос появления петабитного паразитного трафика в сетях и массовых атак на что угодно — это вопрос времени.
И, в общем-то, идея о том, что ТСПУ от кого-то там смогут защитить превращается в тыкву теперь уже в практическом плане. И то, о чем я писал еще когда "сувенирный рунет" только обсуждался. Централизация управления сетями приводит только к снижению надежности. Вплоть до полного отказа.
