<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<div class="moz-cite-prefix">Τεχνικά μιλώντας, το μπλοκαρίσμα web
sites μέσω DNS blackholing είναι εξαιρετικά αναποτελεσματικό.
IMHO, το μόνο που έχει μειώσει την χρήση των site στοιχημάτων
είναι περιορισμοί στην χρήση πιστωτικών καρτών. Κατά τα άλλα
εκτιμώ πως κάποιος που θα ήθελε σοβαρά να έχει πρόσβαση στα site
αυτά δεν θα είχε ιδιαίτερη δυσκολία στο να παρακάμψει τους
μηχανισμούς αυτούς.<br>
<br>
Παρεπιμπτόντως, η μη ορθές τεχνικές λύσης όχι μόνο παρακάπτονται,
αλλά εντείνουν και το πρόβλημα. Διόχνωντας τους Έλληνες χρήστες
από τους Ελληνικούς DNS χάνουμε και οποιαδήποτε πιθανότητα ελέγχου
στο μέλλον, ενω ταυτόχρονα χαλάμε και την ποιότητα της υπηρεσίας
των χρηστών μας και χάνουμε και το όποιο insight μπορούσε να έχει
ένας πάροχος από την ανάλυση του DNS.<br>
<br>
Η λύση του blackholing με IPs (είτε μιλάμε για το κλασικό bgp
blackholing, ή για flowspec, ή για λίστα που εφαρμόζεται με acls)
είναι πολύ πιο μοντέρνα και αποτελεσματική. Ναι, θα πάρει μαζί όλα
τα sites που φιλοξενούνται στην ίδια IP, αλλά συνδιασμένο με μια
καλά σχεδιασμένη προσέγγιση προειδοποίησης του ιδιοκτήτη του χώρου
(πχ προθεσμία 72 ωρών) θα μπορούσε να δουλέψει καλύτερα.<br>
<br>
Δυστυχώς οι νόμοι στην Ελλάδα γράφονται συνήθως στο πόδι.<br>
<br>
Πάντως πιστεύω πως αν η ΕΕΠΠ ενδιαφερόταν να συζητήσουμε
ρεαλιστικότερους τρόπους αντιμετώπισης του προβλήματος, η ομάδα
μας θα μπορούσε να συνεισφέρει με σημαντικό input. Υπάρχουν ήδη
μέλη του GRNOG που εργάζονται στην ΕΕΠΠ, ίσως να μπορούσαν να
συνεισφέρουν στην διασύνδεση των δύο κόσμων.<br>
<br>
Χαιρετισμούς, <br>
<br>
<br>
On 07/08/2018 08:37 PM, Antonis Chariton wrote:<br>
</div>
<blockquote type="cite"
cite="mid:0D5FB03A-928C-4E2D-94CF-AB7B5F5E814B@enartia.com">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
Θεωρητικά όσον αφορά τους resolvers, θα μπορούσε κανείς να
εφαρμόσει το καλύτερο και πιο χρήσιμο πράγμα ποτέ στην ιστορία των
δικτύων, το NAT :P
<div class="">Με ένα Destination NAT θα μπορούσαν να στέλνουν αυτά
στους δικούς τους resolvers…</div>
<div class="">Αυτό θα δημιουργούσε μικρότερα προβλήματα, αλλά και
πάλι θα υπήρχαν. Στο εξωτερικό μερικοί providers κάνουν redirect
όλη την πόρτα 53, και ελπίζουν επειδή είναι “residential” οι
πελάτες, να μην δημιουργηθεί θέμα.</div>
<div class=""><br class="">
</div>
<div class="">
<div><br class="">
<blockquote type="cite" class="">
<div class="">On 8 Jul 2018, at 20:18, Michalis Bersimis
<<a href="mailto:michael.bersimis@gmail.com" class=""
moz-do-not-send="true">michael.bersimis@gmail.com</a>>
wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<meta http-equiv="Content-Type" content="text/html;
charset=utf-8" class="">
<div style="word-wrap: break-word; -webkit-nbsp-mode:
space; -webkit-line-break: after-white-space;" class="">Ακριβώς
blocking σε επίπεδο IPv4 δεν ειναι η πιο βέλτιστη λύση
γιατι πλεον υπάρχουν πολλά domain δεμένα σε μια IPv4.
<div class=""><br class="">
</div>
<div class="">Εαν δοθεί εντολή να κοπέι η πρόσβαση στις
IPs των well famous resolvers (google,cloud flare) :</div>
<div class="">1ον) δεν πρόκειται να το κάνει κανείς λόγω
οτι θα δημιουργήσει μεγαλύτερο πρόβλημα βλέπε αύξηση
των κλήσεων στα call center, ο κόσμος θα βγει στον
κόσμο να ζητά το 8.8.8.8…. :)</div>
<div class="">2ον) παρόμοια φάση πηγε να κάνει και η
Τουρκία εαν θυμάμαι καλά και έφαγε μεγάλη κατακραυγή
από τον κόσμο.</div>
<div class=""><br class="">
</div>
<div class="">Ακόμα πιο γελοίο ειναι να δοθεί εντολή να
μπει κάποιο “κουτί” να τα κόβει….αλλά ποιος θα
αναλάβει το κόστος ? η κυβέρνηση ? χμ…..δεν νομίζω</div>
<div class=""><br class="">
</div>
<div class="">—</div>
<div class="">Μιχάλης</div>
<div class=""><br class="">
<div class="">
<blockquote type="cite" class="">
<div class="">On 8 Ιουλ 2018, at 19:48, Antonis
Chariton <<a
href="mailto:a.chariton@enartia.com" class=""
moz-do-not-send="true">a.chariton@enartia.com</a>>
wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<meta http-equiv="content-type"
content="text/html; charset=utf-8" class="">
<div dir="auto" class="">Νομίζω είχε ζητηθεί
κάτι τέτοιο στο παρελθόν, και ζητούσαν IPs της
Cloudflare, γιατί τα websites χρησιμοποιούσαν
την υπηρεσία τους.
<div class=""><br class="">
</div>
<div class="">Ειδικά στο IPv4 νομίζω πως πλέον
θα υπάρχει πολύ collateral damage με IP
black list. Το Cloudflare έχει > 7 εκ.
domains, και πολύ λιγότερες IPv4s.. </div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</blockquote>
<p><br>
</p>
<pre class="moz-signature" cols="72">--
-----------------------------------------------------------------------
Andreas Polyrakis - <a class="moz-txt-link-abbreviated" href="mailto:apolyr@noc.grnet.gr">apolyr@noc.grnet.gr</a>
GRNET NOC Technical Manager
Greek Research & Technology Network - <a class="moz-txt-link-freetext" href="http://www.grnet.gr">http://www.grnet.gr</a>
7, Kifisias Av., Ampelokipi, 11523 Athens, Greece
Mobile: +30 6972832445 Office: +30 2107474249 Fax: +30 2107474490
-----------------------------------------------------------------------
</pre>
</body>
</html>