Pokud jde o redundanci kritickejch prvku, o to by se mel snazit kazdej seriozni ISP (nemluvim o nakym Frantovi z vesnice co ma mikrotik a pres wifi sdili konektivitu se sousedy). A samotne filtrovani se na cene cele infrastruktury ISP projevi mozna procentem, nebo dvema...
Jiste, fitr stanice je kritickej prvek v siti ... kterej nikdo nanic nepotrebuje, takze proc by ho tam vubec daval? A proc vytahuju DDOS? Protoze nekteri, jako trebas ty, nedokazou pochopit, ze to filtrovani je naprosto knicemu. Nic jako "malej" dos neexistuje. Co myslis, jak asi tak velkej problem je najit rekneme 1 000 stroju v sitich 10ti nejvetsich ceskych provideru, ktere budou generovat takovy zcela trivialni utok, jako ze budou proste a jednoduse neustale refreshovat mainpage webu? A co myslis, kolik % webu i takto trivialni a velmy slaby utok, bez jakehokoli podvrhovani IPcek ustoji? 10%? A co myslis, jak velky problem je, takovy utok realizovat s 10 000 nebo 100 000 stroji? A ne, nepotrebuju na to ani budovat zadny botnet ... staci kdyz hodim na web trivialni script a reknu lidem "proste si to pustte". K cemu ze ti bude to, ze ISP utrati v globalu miliardy za filtrovani IPcek? ... voiala ... naprosto knicemu, jen se na tom pak vyrobcu tech krabek slusne napakuje. Presne totez, jako akce "nove lekarnicky do aut".
2Peti: Ty si vazne myslis, ze tux nebo widle ti jek tak pro plezir poslou pakety s podvrzenejam IPckama ? lol Jenze jaksi je to SW, a SW se da modifikovat. Navic i ty widle (kupodivu) umi routovat => musel bys z nich (a samo z tuxe a nakonec uplne ze vseho) vykuchat prave to routovani. On totiz paket se zmenenou IP umi odeslat i kazdy krabkorouter za pak stovaku.
...
Presne tak, stejne jako kazdy podnikatel - potrebuju to? Prinese mi to neco? Vydela mi to neco? ... vzdy je odpoved NE. Mimochodem, pro pobaveni, jedno z mnoha RFC kuprikladu rika, ze IP adresa, by mela mit reverz. Tim spis, pokud na ni bezi nejaky server ... mno a tak si vezmenez nejvetsi ceske vydavatelstvi IT literatury ... (kde se mimo jine podobnyma vecma jen hmezi) a ... prdlajs. Jejich mail srv (jeste nedavno) reverz nemel, a predstavoval se asi nejak "#$asdhaio3298cas" ... coz je taky popsano v RFC - ze v helo ma byt dnslike jmeno.
A ano, ja jim ty jejich maily sklidem poslu do /dev/null, ale je to moje rozhodnuti na mem serveru. Nemuzu po nikom dalsim chtit, aby delal totez - a to ani proto, ze by pak "internet byl lepsi".
Ok, tak mám asi zkreslené představy. Měl jsem za to, že ("morální") povinností ISP je dělat trochu víc než jenom vzít jeden drát, píchnout ho do routeru, vedle píchnout druhý drát a vyinkasovat prachy.
1) funguje to
2) trebas si predstav, ze ISP vyuziva privatni rozsahy jako management sit. Ten fitrbazmek by tudiz musel bejt nekde na hranici ... a jelikoz tech hranic je vic (v mem pripade pokud vim 3-4), tak by musel ty krabice mit 4(a dle vyse uvedeneho nazoru samo min 8, aby jeji vypadek neohrozil provoz). A ted si predstav, ze ten "pidiISP" ma pripojku "smesny" Gbit ... filtrovat Gbit uz neni uplne zadek a rozhodne to neni krabicka za par tisicovek. Uroutovat Gbit bych si troufnul se svym PC, ale s filtrovanim by to myslis slo do pekny zadele. Rekneme, ze ten ISP ma +- 1k klientu. A rekneme ze ta jedna "krabka" bude stat 200k (podotykam, ze tolik stoji lepsejsi "blbej" switch). 4 krabky za 800k (nebo 8 krabek za 1M6) ... to vychazi na kazdyho zakose +- litr az dva. To se nezda jako moc .. jenze pri marzi rekneme 200Kc/zakaznik .... je to jeho rocni net ... a to uz je zcela mimo realitu. Pokud pujdem na desetinu, tak se dostaneme na cenu HW nekde kolem 80k ... deleno 4ma ... a za to se neda poridit vpostatne nic, co by zvladlo Gbit filtrovat.