Blokování IP adres a bezpečnost

Blokování IP adres a bezpečnost
« kdy: 13. 05. 2013, 09:54:16 »
Články týkající se bezpečnosti, videa na stránce Mirka Prýmka ale hlavně diskuze hned po DOS a DDOS na některých fórech mne vedou k následujícímu dotazu. Domnívám se, že pro Vás zde to bude poměrně jasné nikoliv však pro 90 % lidí v zemi.

Prostě klidně budu za blbouna obecného ale zeptám se. Všiml jsem si, že je argumentováno tím, že geografické blokování IP adres na přístupu např. k webovým stránkám by se používat nemělo. Osobně mne napadlo, zda pokud např.budu vyhledávat na google.com tam najdu nějaké webovky službu, prodejnu, podnik a ten link použiji. Jakou potom bude mít v té chvíli můj požadavek IP adresu, právě z hlediska zda by bylo účelné takové blokování používat, či nikoliv.

Při nedávných útocích napadené weby velkých portálů, bank apod. používaly z jisté nouze ke komunikaci s klienty Facebook. Domnívám se doufám správně, že právě proto, že serverová úložiště ( jedná se navíc o cloud, domnívám-li se správně ) Facebooku a dalších jsou v Irsku.

Zřejmě je však více možností důvodů kdy požadavek na ten či onen web má jinou geografickou adresu. Například člověk jenž je v zahraničí komunikuje se svým internetovým bankovnictvím. Dále strýc jenž byl v Thajsku tak od něj mi chodily e-maily, možná něco jiného ale vím jistě, že s koncovkou UK.

Mohli by jste tedy uvést na pravou míru jednak proč se v podstatě nedají nebo nemají jako bezpečnostní řešení např. proti nedávným typům hrozeb používat geografické blokace IP adres?
Případně jaké jsou další možnosti kdy je požadavek webové služby na web server doručen s geograficky jinou IP ?
Do jaké míry tedy lze kontrolovat požadavky na webové služby jenž odcházejí od jednotlivých providerů z hlediska rozsahu IP adres ?
Tím pádem i do jaké míry by měli být jednotlivý provideři případně zodpovědní nebo schopní takové věci ohlídat, pokud vůbec ?

Omlouvám se, že z Vašeho pohledu jistě motám jablka přímo s buldozery, raketovou technikou a rajčatovou omáčkou. Také se omlouvám za nepřesné názvosloví, termíny případně použití nějakých vyvrácených novinářských mýtů, polopravd apod. Zároveň se však domnívám, že podobné téma by mohlo popularizovat tento portál, napomoci osvětě atd. V této oblasti je podle mne totiž ještě větší neinformovanost než v teorii, historii a praxi, vč.platného práva ale i obecně, parlamentní demokracie, fungování právních norem z hlediska jejich schvalování zákonodárci.

Předem děkuji. 
 
     
« Poslední změna: 13. 05. 2013, 10:08:40 od Petr Krčmář »


student

Re:Blokování IP adres jako bezpečnostní řešení.
« Odpověď #1 kdy: 13. 05. 2013, 10:12:36 »
Ked sa pytas na DDoS, tak tam typicky "klasicke blokovanie IP na serveri" nema vyznam preto, lebo server uz ani tak nestiha vybavovat poziadavky. A ked ma este prechadzat vela pravidiel na blokovanie, tak to moze byt uplny zabijak.

Druhy problem je, ze sa casto utoci SYN-floodom - a utocnik moze do hlavicky napisat lubovolnu IP, na ktoru bude napadnuty server odpovedat a tak vlastne aj dalej utocit.

A ak sa jedna o individualne "hacky", tak tam casto nie je velmi jasne, co blokovat. Blokneme zahranicie? Nemame zahranicnych klientov? Nebolo by lepsie sa zamerat na bezpecnost systemu?

Sten

Re:Blokování IP adres a bezpečnost
« Odpověď #2 kdy: 13. 05. 2013, 10:40:00 »
Koncovka .uk nemá se zdrojovou IP adresou mnoho společného, klidně můžu mít danou doménu namířenou na IP v Severní Koreji, a obzvlášť u e-mailu, který věří druhé straně prakticky všechno.

Geografické blokace IP adres používat samozřejmě lze, ale není dobré je nasazovat pořád a naplno (můžete nasadit třeba různá omezení počtu připojení nebo záměrné zpomalování a plnou blokaci jen při útoku), protože potom váš (český) zákazník na služební či jiné cestě v dané lokaci se k vaší službě nedostane. Příkladem budiž blokace Seznam E-mailu z Číny: pokud někdo chcete cestovat do Číny, raději si zařiďte e-mail jinde.

Problém nedávného DDoS útoku byl ale jiný: požadavky ve skutečnosti nepocházely z IP adres, které uváděly, takže se zdálo, že DDoS přichází z ČR a přitom bylo z Ruska. ČR si ale žádný český poskytovatel služeb nemůže dovolit blokovat :) Jako řešení by se nabízelo blokovat v NIXu požadavky s českou IP adresou, které přicházejí ze zahraničí, jenže to by odřízlo některé poskytovatele připojení, kteří mají vlastní trasy do zahraničí a například výpadek přímého spojení do NIXu (ať už kvůli údržbě nebo nešikovnému bagristovi) způsobí právě to, že všechny pakety chodí přes zahraničí. Samozřejmě správné řešení je, aby daný ruský ISP blokoval pakety s cizími adresami původu (nevím jak v Rusku, ale v ČR podle smlouvy s koncovými zákazníky u nich k žádnému přeroutování cizích rozsahů docházet nesmí), ale donutit jej k tomu bude obtížné.

Ked sa pytas na DDoS, tak tam typicky "klasicke blokovanie IP na serveri" nema vyznam preto, lebo server uz ani tak nestiha vybavovat poziadavky. A ked ma este prechadzat vela pravidiel na blokovanie, tak to moze byt uplny zabijak.

Smysl to mít může, záleží, jak masivní ten útok je. Firewall je velmi rychlý a nachází se přímo v jádře, takže rychlé zahazování pomocí dobře napsaného firewallu zvládne řádově větší lambdu (počet příchozích paketů za sekundu), než když to dojde až do dané aplikace , která se to navíc bude snažit blokovat až na aplikační vrstvě, například pomocí HTTP 503. Samozřejmě proti útoku ucpáním pásma to nepomůže a specializovaný síťový hardware si s tím poradí lépe (už proto, že se zabývá jen tím firewallem a neběží tam ještě aplikace).

Re:Blokování IP adres a bezpečnost
« Odpověď #3 kdy: 13. 05. 2013, 11:24:16 »
Omlouvám se za jeden úplně debilní dotaz co jsem položil. Nedávno jsem totiž zařizoval pro firmu doménu s koncovkou de u poskytovatele webhostingu v Česku. O podvržení adres SYN-floodingu jsem již četl, také o tom že to celé může chodit přes bootnetovou síť. Také zde na root cz o typu útoku jenž má také způsobit nefunkčnost služby, pojmenované podle zvířátka Outloň váhavý. I to, že pro to aby uživatel byl ( většinou nevědomou ) součástí nějaké bootnet sítě stačí ovládnout jen jeho router.

Ovšem firewall je až za routerem, myslím tím v ČR používaná řešení běžných domácích uživatelů tedy bezplatné nebo i placené balíčky typu AVG, Avast, Esset a další. Do jaké míry je to řekněme díra právě co se týká routerů běžných uživatelů ? Viděl jsem HW firewal tuším ZyXEL ( ale značek bude mraky ) a ten byl na schématické vyobrazení, pokud se nepletu, před routerem.

Do jaké míry tedy může internetový provider ručit za to co od něj, skrze něj prochází za IP ( viz.například dotaz Anonymous, propůjčily by jste svůj počítač k DOS útoku ? ) 
Celkově ohledně bezpečnosti se mi jeví jako velmi důležité zda se podaří státu, CZIRT a jiným, donutit větev sítě v Rusku či konkrétního providera ( tuším RETN nebo RENT, tak nějak ) k nějaké spolupráci. Tedy k tomu aby s té strany nic nepřišlo ze stejných počítačů, případně stejného objednavatele "služeb" stejné bootnetové  ?? lokální ?? sítě.

Jak postupovat pokud to nebude možné. Četl jsem, že právě jedna z koordinujících bezpečnostních institucí v ČR spouští jakýsi počítač či síť schopnou vyrobit takový útok na ověřování a výzkum právě různých bezpečnostních řešení podobných útoků na weby.
Je to to podle vás možný účinnější  postup než zřejmě nejisté dohledání útočníků v cizině, navíc na východě ?
 
   

Rhinox

Re:Blokování IP adres a bezpečnost
« Odpověď #4 kdy: 13. 05. 2013, 12:37:27 »
Internetovy provajdr by mel predevsim rucit za to, ze trafik kterej z jeho site vychazi dal nema spoofovane zdrojove adresy. Kdyby to delal kazdej ISP, botnet by musel komunikoval jenom z vlastnich IP, a pak by bylo mnohem lehci ddos utok odfiltrovat, nalezt infikovane stroje, pripadne udrzovat blacklist s infikovanymi stroji. Jenze vetsinou ISP na to dlabou (vcetne myho ISP). Taky nechapu, proc na tom icann (plus prislusne instituce na kontinentalni a narodni urovni) netrva, ze kdyz nekomu prideli nakej ip-segment, dotycnej musi garantovat ze z jeho site nevyleze paket se source-address mimo jeho rozsahu...


DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #5 kdy: 13. 05. 2013, 12:41:29 »
Taky nechapu, proc na tom icann (plus prislusne instituce na kontinentalni a narodni urovni) netrva, ze kdyz nekomu prideli nakej ip-segment, dotycnej musi garantovat ze z jeho site nevyleze paket se source-address mimo jeho rozsahu...

Protože tranzitní provideři.

Re:Blokování IP adres a bezpečnost
« Odpověď #6 kdy: 13. 05. 2013, 13:14:32 »
Rozumím tomu co píší  BgBd a Rhinox správně, že by podle Rhinoxe vlastně provider ručil za to, že klienti jím poskytovaného připojení nepodsouvají adresy nebo nepoužívají nějaký jiný soft. třeba na změnu IP adresy. A co v takovém případě anonymizace ?
A jak je to s obranou routerů u běžných lidí, je nějaká šance jak to účinně bránit aby se člověk nestal součástí bootnetu ?

Poznámce BgBd přiznám se ne zcela rozumím. Rozklikl jsem si tohle :  http://www.earchiv.cz/b00/b1101001.php3

Mám tomu rozumět tak, že velké společnosti případně ty jenž mají centrálu v cizině ( jsou např. dceřinnými spol. ) z důvodu kvalitního rychlého připojení infrastruktury služeb v rámci koncernu používají právě proto tranzitní providery?

Nebo si to pro názornost mohu představit jako dálnici a zahraniční kamion jenž naší zemí pouze projíždí a občas u nějakého města či benzínky použije to či ono. V případě internetu, webových služeb ( chápu že jsou i jiné ) tedy používá služeb tranzitního providera ?
( Právě proto se mi líbilo to o tom útoku slowloris    http://www.root.cz/clanky/utok-slowloris-aneb-plizive-nebezpeci-pro-web-servery/   a to obrazné vysvětlení přirovnání k tomu obchodu a pokladně, že je to pochopitelné i pro laika. )

Mohu-li tedy požádat BgDb nebo někoho jiného, použil jsem alespoň zhruba správný příměr s tou kamionovou dopravou ?

student

Re:Blokování IP adres a bezpečnost
« Odpověď #7 kdy: 13. 05. 2013, 14:10:39 »
Rozumím tomu co píší  BgBd a Rhinox správně, že by podle Rhinoxe vlastně provider ručil za to, že klienti jím poskytovaného připojení nepodsouvají adresy nebo nepoužívají nějaký jiný soft. třeba na změnu IP adresy.

 A co v takovém případě anonymizace ?
To je ina zmena - ty sa tvaris ako niekto iny - ale kedze sa tak tvaris, tak ti "normalna" komunikacia nefunguje (druha strana odpovie tomu spravnemu vlastnikovi). Preto toto nemoze sluzit na anonymizaciu.

Anonymizacia robi vacsinou to, ze sa prevadzka preposiela cez nejake dalsie uzly. Nikto tam potom nic nefalsuje - akurat ciel vidi len IP posledneho uzlu.

A jak je to s obranou routerů u běžných lidí, je nějaká šance jak to účinně bránit aby se člověk nestal součástí bootnetu ?
Typicky nejde len o routery (tam je treba tiez mat zaplatovany firmware), ale aj o samotny system. Na systeme treba mat zaplatovane programy a nechovat sa ako blbec - tj. neotvarat nieco ako nakedbabe.jpg.exe (pripadne na Linuxe nespustat nezname binarky).

Nebo si to pro názornost mohu představit jako dálnici a zahraniční kamion jenž naší zemí pouze projíždí a občas u nějakého města či benzínky použije to či ono. V případě internetu, webových služeb ( chápu že jsou i jiné ) tedy používá služeb tranzitního providera ?
Skor by som to prirovnal ku kamionom, ktore by vozili potraviny a chceli by sme byt schopni rychlo zablokovat napriklad potraviny s cestnou solou.
Ako mozno vidis, riesenie nie je dovolit z Ceska len ceske kamiony a z Polska len polske. Dokonca ani blokovanie ceskych kamionov z Polska nemusi davat zmysel - oni tak mohli ist, lebo je tak vyhodnejsie.
Jednoducho je tam tolko moznosti, ze sa to takto riesit neda.

Smysl to [blokovani DDoS cez iptables]  mít může, záleží, jak masivní ten útok je. Firewall je velmi rychlý a nachází se přímo v jádře, takže rychlé zahazování pomocí dobře napsaného firewallu zvládne řádově větší lambdu (počet příchozích paketů za sekundu), než když to dojde až do dané aplikace , která se to navíc bude snažit blokovat až na aplikační vrstvě, například pomocí HTTP 503.
Suhlasim s tym, ze filtrovanie na aplikacnej urovni je pomalsie. Zazil som sice len par DDoS utokov (reflected UDP), ale tam "odstranenie" iptables dost vyrazne pomohlo. Na druhu stranu, mohol to byt problem so zle napisanym firewallom a aj tak velkym regulernym trafficom.

j

Re:Blokování IP adres a bezpečnost
« Odpověď #8 kdy: 13. 05. 2013, 14:18:55 »
v ČR podle smlouvy s koncovými zákazníky u nich k žádnému přeroutování cizích rozsahů docházet nesmí

Tak takovou smlouvu bych chtel videt ... Dovolim si tvrdit, ze to v 99% pripadu (posilani trafficu s cizi drojovou IP) uplne vpohode projde i po technicky strance. A to nemluvim o strance politicky - ISP mi poskytuje trubku a je mu sumak, jestli po ty trubce transferuju vodu nebo pasuju chlast.


2Tom: ISP ti nikdy za nic rucit nebude, jemu je uplne jedno co tece od tebe i co tece k tobe. Samo, u nekterych si muzes zacalovat navrch provoz nejakyho firewallu - se vsema dusledkama. Stat zajisti leda tak kulovy, uvedom si laskave, ze net = soustava zcela soukromych siti. Co kdo propousti nebo nepropousti je jeho soukroma vec, ale protze je v zajmu tech majitelu, aby to fungovalo, tak propousti vse. Prave proto, ze neexistuje zadny zpusob, jak odlisit provoz.

2Rhinox: Po 125 ... ISPcku je to jedno. A neni zadny duvod, proc by byt nemelo. Jedna muze zaroven fungovat jako transferujici ISP - a stejne tak muze fungovat ten, od koho mu rtaffic prichazi, druhak existuje milion duvodu, jak zcela regulerne takovy traffic vyuzit. Laskave si uvedom, ze na tom, ze ISP neresi co od koho tece je zalozena cela sitova neutralita a funkcnost internetu. Bez toho to fungovat nebude a ani nemuze. Ostatne, podivej se do czfree, to je takovej internet v mensim meritku. Kdyby kazdej node resil, co mu od koho tece, tak by nakonec neteklo nikam  nic.

2Tom: Pouzils to zcela spravne, jakakoli kontrola je totez, jako kdyz budes na hranicich CR kontrolovat, jestli z nemecka jezdej jen kamiony s nemeckou SPZ ... Kdyz to udelas, tak do par tydnu dosahnes stavu, ze nebudou jezdit kamiony zadne (ani ty nemecke, protoze je to buzerace, musej stat na hranicich a cekat na kontrolu ... coz je zdrzuje). Internet funguje naprosto stejne.

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #9 kdy: 13. 05. 2013, 15:09:02 »
Tranzitní provoz je něco jak popsal j s kamiony. Co jde udělat je to, že ISP by neměli propouštět jiné adresy od koncových zákazníků než jim přidělili. To se samozřejmě netýká peerujícího ISP. Kdyby to tak udělali všichni provideři, tak by zfalšované adresy nikdy nedorazily k cíli útoku. Nicméně někteří provideři na to

a) kašlou
b) mají topologii, která takovou kontrolu neumožňuje
c) nemají hardware, který to umí kontrolovat a bez výkonnostního omezení zahazovat

Re:Blokování IP adres a bezpečnost
« Odpověď #10 kdy: 13. 05. 2013, 16:33:33 »
Takže nikoliv blokovat ale zahazovat požadavky s neúplnými nebo evidentně podvrženými hlavičkami. A to pokud možno s co nejnižší ztrátou výkonu. 

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #11 kdy: 13. 05. 2013, 16:53:19 »
Takže nikoliv blokovat ale zahazovat požadavky s neúplnými nebo evidentně podvrženými hlavičkami. A to pokud možno s co nejnižší ztrátou výkonu.

Co je to neúplná nebo evidentně podvržená hlavička?

Re:Blokování IP adres a bezpečnost
« Odpověď #12 kdy: 13. 05. 2013, 18:42:39 »
Moc hezké téma, díky za něj. Akorát se obávám, že se tady asi nepohybuje dost lidí, kteří by detailně věděli, jak to _reálně_ chodí na úrovni velkých ISP, AS, jak se obvykle reálně konfigurují border routery, jaké jsou nebo nejsou jejich možnosti apod.

videa na stránce Mirka Prýmka
Teď teda úplně nevím, o čem je řeč. Asi o tomhle? http://www.youtube.com/watch?v=-GFAgMqUjew Jo, to je pěkná přednáška a moc pěkná akce, zajeďte se příští rok taky podívat :) Ještě bych doplnil z minulého ročníku na podobné téma: http://www.youtube.com/watch?v=evI22gBKvaw a http://www.youtube.com/watch?v=gY_b7q-fQ8A (to druhý zvlášť doporučuju pro představu, co útoky znamenají v praxi)

2Rhinox: Po 125 ... ISPcku je to jedno. A neni zadny duvod, proc by byt nemelo.
To je imho dost hloupý argument. Podobně jako bych řekl "mně je jedno, jestli moje PC po večerech rozesílá spam - a není žádný důvod, proč by mi to jedno být nemělo". Pokud mám ten důvod trochu pateticky nazvat, řekl bych, že tím důvodem je "obecné blaho" :) Pokud chceme používat nějaký společný (i když virtuální) prostor, je fajn se v něm chovat s nějakou ohleduplností a spoluzodpovědností za tenhle "společný majetek".

Jedna muze zaroven fungovat jako transferujici ISP - a stejne tak muze fungovat ten, od koho mu rtaffic prichazi,
Spousta ISPs bude mít minimálně části sítě, kde prostě "cizí" zdrojové adresy nemají z principu co dělat. Nevidím nic špatného na tom, chtít po nich, aby aspoň tuhle část sítě kontrolovali.

druhak existuje milion duvodu, jak zcela regulerne takovy traffic vyuzit.
Otázka definice slova "regulérně". Pokud se patřičné orgány domluví na tom, že určitý typ provozu regulerní není, tak prostě nebude. Že by někdo takový typ provozu chtěl a chyběl by mu, to je jiná otázka.

Laskave si uvedom, ze na tom, ze ISP neresi co od koho tece je zalozena cela sitova neutralita a funkcnost internetu. Bez toho to fungovat nebude a ani nemuze.
Tomu teda nerozumím. Z praktického hlediska je velká část (většina?) internetu tvořena sítěmi, které prostě mají přidělený určitý IP rozsah a ten mají využívat. Pokud od nich budou chodit pakety s jiným zdrojem, bude to považováno za chybu.

Jasně, na úrovni peeringů je to trochu složitější, ale to je taky hodně jiný svět. Když to pojmu hodně filosoficky, tak když chci s někým kooperovat (peering je kooperace), tak mu prostě musím aspoň elementárně důvěřovat a musím věřit v to, že se s ním dá aspoň trochu domluvit na nějakých pravidlech. Předpoklad, že nějaká autonomní část internetu si může zbytku posílat co chce, je nesmysl. Viz kauzy s chybně nakonfigurovanými border routery.

Re:Blokování IP adres a bezpečnost
« Odpověď #13 kdy: 13. 05. 2013, 18:48:04 »
Ještě jedno malý doplnění:

Pokud vím, docela vážně se diskutuje o tom, že by se mohlo v budoucnu stát nutností zavést nějaký "nový bezpečnější internet". Třeba právě s vlastností jednoznačné dohledatelnosti původce každé komunikace. "Starý internet" by se pak nechal vyhnít pro ty, kdo ho budou chtít. S důležitým dodatkem - propojení "starého" a "nového" internetu je z principu dost těžko možné.

Pokud někdo tvrdí, že na ("současném") internetu se nikdo nemusí o nic starat a všechno mu může být jedno bez ohledu na ostatní, tak jenom nahrává tomu, aby se taková budoucnost fakt naplnila. A dám ruku do ohně, že bude v první řadě lidí, kteří budou kňučet cosi o Vlkém Bratrovi...

j

Re:Blokování IP adres a bezpečnost
« Odpověď #14 kdy: 13. 05. 2013, 19:51:59 »
To je imho dost hloupý argument. Podobně jako bych řekl "mně je jedno, jestli moje PC po večerech rozesílá spam - a není žádný důvod, proč by mi to jedno být nemělo". Pokud mám ten důvod trochu pateticky nazvat, řekl bych, že tím důvodem je "obecné blaho" :) Pokud chceme používat nějaký společný (i když virtuální) prostor, je fajn se v něm chovat s nějakou ohleduplností a spoluzodpovědností za tenhle "společný majetek".
To neni hloupy argument to je realita. Pokud zjednodusim a reknu ze silnice jsou statni, tak nasemu statu je taky zcela jedno, ze vozite v aute ... co javim ... hambate castopisy, presto ze to v emiratech je trebas nelegalni. Stejne tak by statu bylo uplne jedno, kdyby se 158 lidi sebralo s tim, ze vsichni najednou dorazi na barandak, a tim ho ucpou. Mozna zacne resit, kdyz se to bude stava denne, ze za 20, 30 let ten most rozsiri (= natahne se tlustci draty).

Citace
Spousta ISPs bude mít minimálně části sítě, kde prostě "cizí" zdrojové adresy nemají z principu co dělat. Nevidím nic špatného na tom, chtít po nich, aby aspoň tuhle část sítě kontrolovali.
Spousta ISP pripojuje spoustu zakazniku, kteri maji trebas konektivitu sami do vice siti ... proc by jako meli utracet penize za reseni neexistujiciho problemu nekoho jineho?

Pojdme spekulovat, ano? Kdyz najdu tisicovku (nebo vic) lidi, a budem chodit na vaclavaku pres magistralu tam a zpet ... co se stane? Nj, povede se nam magistralu DDOSnout (DOSovat ji muzu sam, trebas tak, ze si uprostred postavim stan). A, kupodivu, jedine co musim udelat, aby to byla zcela koser akce, je poslat magistratu, ze tam budem. (a ani kdyz to neposlu, tak to neni apriori akce nelegalni).
Kdyz najdu stejnou tisicku (nebo vic) lidi na netu, a pujdem vsichni najednou na root ... tak se slozi (uplne stejne jako ta magistrala). Nikde nikomu sme nic nerozbili ... je to presne totez.

A stejne jako ridici na magisrtale si najdou nejspis jinou cestu a nebo si pockaji, tak si holt bude muset pockat root, nebo si najit jinou cestu (trebas holubi postu ...)


Citace
Otázka definice slova "regulérně". Pokud se patřičné orgány domluví na tom, že určitý typ provozu regulerní není, tak prostě nebude. Že by někdo takový typ provozu chtěl a chyběl by mu, to je jiná otázka.
Kdo ze to sou "prislusne organy" pro ty miliony soukromych siti po svete? A jejich majitele kupodivu takovy traffic za neregulerni nepovazuji. Ano, prislusny majitel si jiste muze se svou siti delat co chce, muze ji klidne celou zrusit ... nebo trebas jako telecum vracet povrzene DNS odpovedi, nebo jako telco operatori blokovat VoIP provoz ...
Kupodivu, vetsina majitelu siti to bere tak, ze podobne zasahy rozhodne nejsou jejich zajmem, protoze jejich zajmem jsou predevsim spokojeni zakaznici.

Citace
Tomu teda nerozumím. Z praktického hlediska je velká část (většina?) internetu tvořena sítěmi, které prostě mají přidělený určitý IP rozsah a ten mají využívat. Pokud od nich budou chodit pakety s jiným zdrojem, bude to považováno za chybu.

Jasně, na úrovni peeringů je to trochu složitější, ale to je taky hodně jiný svět. Když to pojmu hodně filosoficky, tak když chci s někým kooperovat (peering je kooperace), tak mu prostě musím aspoň elementárně důvěřovat a musím věřit v to, že se s ním dá aspoň trochu domluvit na nějakých pravidlech. Předpoklad, že nějaká autonomní část internetu si může zbytku posílat co chce, je nesmysl. Viz kauzy s chybně nakonfigurovanými border routery.
Z praktickeho hlediska ma kazda trochu vetsi sit konektivitu s vice nez jednou dalsi siti ... a to plati zcela rekurzivne, s tim, ze prevazna cast ISP jednoduse nezna (a ani nepotrebuje znat) topologii svych sousedu, natoz jejich sousedu. Tudiz nevi a ani vedet nemuze, jaka komunikace potece prave pres jeho sit.
Pokud se dva subjekty dohodnou na nejakyme tom propoji, pak se prevazne resi predevsim kapacity, nikoli to, jake IP kde potecou, proste proto, ze to nikoho nezajima - je to totiz naprosto nezajimavy problem.
Z ciste praktickych zkusenosti pak plati, ze pres velmi vysoke % routeru vpohode projdou privatni rozsahy (ac by nemely), takze resit nejake "povrzene" IP ... lol (zcela konkretne, pres nejakych 8 hopu, ktere to mam z domova do prace mi bez problemu prijde odpoved se src 192.168 ...mimo jine pres sit GTS)

A to nemluvim o tom, ze kdyz budu chtit nekoho DDOSnout, tak na to rozhodne potvrzeny IPcka nepotrebuju. Resi se tu problem typu "lidi maj doma kulomety, zakazeme jim pistole".