Ataki DDoS, itp

[BlueMan 69]

Po tym co Hetzner w sprawie Insane pisze i ogólnie nasunęło mi się takie pytanie:

 

1. Po co w ogóle atakować? BrutalForce, aby złamać hasło i przejąć kontrole nad serwerem, aby potem wykorzystać go jako kolejny punkt ataku i do rozsyłania spamu? Opłaca im się to w ogóle?

 

2. Co z tego, że hetzner wytnie IP, czy coś, skoro takie sprawy nie są chyba nigdzie zgłaszane i ścigane... .

To tak jakby pogrozić małemu dziecku "nie rób tak więcej", dziecko przytakuje, odwraca się i znowu coś niszczy, czy coś w tym stylu... .

[MasterNETpl 100]

Zapomniałeś dodać szeroko pojętą kwestię "konkurencji" pod każdym względem...

[moron 0]

nie jedna firma musiala zwinac kramik przez ataki

poczytaj sobie np (ze nawiaze do twojego nicka ) o blue frogu http://en.wikipedia.org/wiki/Blue_Frog

b. dobry pomysl i du**...

[Gość patrick]

1. Czemu popełniane są przestępstwa ?

Nie spam i ddos głównie wychodzi z sieci botnet, a te są oparte na setkach komputerów z zainfekowanym Windowsem.

2. Muszą w jakiś sposób "ogarnąć" atak z reguły powinni wyciąć go na routerach by zachować stabilność sieci. Po ewentualnym wycięciu ataku można dopiero zebrać logi i zgłosić. W sumie, rzadko z tego co wiem zgłaszane są takie ataki, ale to zależy od celu i wielkości.

[michalt 0]

Po ewentualnym wycięciu ataku można dopiero zebrać logi i zgłosić. W sumie, rzadko z tego co wiem zgłaszane są takie ataki, ale to zależy od celu i wielkości.

 

Tak, jak mecza sie z atakiem troche dlugo to moze im sie nie chciec juz tego robic. Po prostu maja juz dosc

 

Tak na marginesie, kazdy atak powinno sie zglaszac moim zdaniem. Tylko przy DDOS jednoznacznie okreslenia atakujacego nie jest proste, w takim ataku najczesniej bierze udzial duza ilosc serwerow, ktore moga byc zainfekowane, a nie musza byc koniecznie serwerem atakujacego. Tacy atakujacy potrafia sie niestety dobrze zabezpieczyc :/

[pleple 0]

Z botnetami da się walczyć raczej tylko od tej drugiej strony - analizując trojany na komputerach zainfekowanych. Następnie trzeba przeanalizować ścieżki napływu poleceń bądź sposób infekcji. Jest to jednak bardzo utrudnione bo każda próba choćby zapukania do serwerów rozsyłających polecenia kończy się atakiem DDoS na komputer "pukający". Ponadto te ścieżki również są wielopoziomowe - zaatakowany komputer oceniany jest pod względem przydatności - te bardziej wydajne i stabilne (głownie serwery a nie komputery domowe) stają się "przekaźnikami" rozkazów. Jednak nawet one za zwyczaj nie dostają rozkazów bezpośrednio z jednego źródła - najczęściej jest to spora pula komputerów o zmiennym adresie IP (używa się najczęściej stałej nazwy DNS) w różnych krajach. Właśnie DNS, swoją drogą, jest w tej chwili najskuteczniejszym sposobem walczenia z botnetami. Istnieje na świecie kilka projektów (w tym jeden znany mi w Polsce), które zajmują się tak zawanym DNS-blackholing. Polega to na analizie zachowań botnetów i wycinaniu odpowiednich domen na serwerach DNS uniemożliwiając w ten sposób komunikację z serwerami wydającymi polecenia oraz pobieranie aktualizacji. Niestety z takich rozwiązań korzysta tylko niewielka część średniej wielkości ISP więc na globalną skalę nic to nie zmienia.

 

Co do pytań BlueMan:

1. Opłaca się i to cholernie bardzo! Zarabia się na rozsyłaniu SPAM-u, na wykonywaniu DDoS na zlecenie, na sprzedaży wykradzionych numerów kart kredytowych itd. Musisz jednak zauważyć, że DDoS i łamanie haseł przez bruteforce to dwie zupełnie inne sprawy. Ten drugi jest sposobem na powiększenie botnetu by móc (między innymi) lepiej wykonywać ten pierwszy.

 

2. Hetzner płaci za ruch wykonywany przez komputery w jego serwerowni. Jeśli ktoś jest atakowany to ruch jest spory a to generuje koszty dla serwerowni (szczególne, że akurat Hetzner nie może za to obciążyć klienta bo masz nielimitowaną ilość ruchu). Wyłączenie serwera to najprostszy i najtańszy sposób na pozbycie się tego ruchu. Jeśli wycieli by go na routerach brzegowych to i tak ten ruch by do nich docierał a więc generowałby koszta.

 

I jeszcze komentarz do tego co napisał michalt:

W DDoS określenie atakującego NIGDY nie jest proste bo ZAWSZE bierze w tym udział duża liczba serwerów, które NIGDY nie należą do atakującego (wynika to z definicji DDoS). Zgłaszanie czegoś takiego jest IMO zupełnie bez sensu - to walka z wiatrakami. Co innego jeśli chodzi o sam atak DoS (ale nie Distributed).

[michalt 0]

I jeszcze komentarz do tego co napisał michalt:

W DDoS określenie atakującego NIGDY nie jest proste bo ZAWSZE bierze w tym udział duża liczba serwerów, które NIGDY nie należą do atakującego (wynika to z definicji DDoS). Zgłaszanie czegoś takiego jest IMO zupełnie bez sensu - to walka z wiatrakami. Co innego jeśli chodzi o sam atak DoS (ale nie Distributed).

 

Czyli mowiac w skrocie, rzecz prawie nie wykonalna - taka, ktorej nikt sie nie podejmie. Pewnie kiedys beda takie systemy zarzadzania czy wykrywania i prostego wyszukiwania atakujacych w prosty i szybki sposob - sie rozmarzylem...

[Info-Cal 0]

W gruncie rzeczy jakby zgłaszać nawet małe ataki DDoS, to z czem powstała by niezła pula adresów IP, które są serwerami atakującymi... pewnie większość z nich się powtarza, więc można było by je dodać do czarnej listy, i tak w kołko - walka z wiatrakami.

[michalt 0]

W gruncie rzeczy jakby zgłaszać nawet małe ataki DDoS, to z czem powstała by niezła pula adresów IP, które są serwerami atakującymi... pewnie większość z nich się powtarza, więc można było by je dodać do czarnej listy, i tak w kołko - walka z wiatrakami.

 

Wiesz co, chyba cos o tym czytalem na forum webhostingtalk.com, ze padl pomysl i jest wlasnie jakas taka lista. Trzeba przyznac pomysl ciekawy, ale tych serwerow jest za duzo - i zadko kiedy sie powtarzaja... Ale idea jak najbardziej OK

[Hekko.pl 239]

Info-cal & michalt : w pierwszej chwili pomyślałem, że sam do siebie gadasz.. dopiero później zauważyłem, że Was jest dwóch - zmyliły mnie identyczne avatary

 

Co do listy takich adresów, na dłuższą metę to nie ma sensu.. Bo przecież z czasem adresy ip się zmienią - ktoś zmieni serwer, stary pójdzie do kogoś innego itd...

[pleple 0]

Jest z tym wiele problemów. Przede wszystkim DDoS-y lecą ze zwykłych komputerów w domach, które bardzo często mają zmienny adres IP. Cyrkulacja wśród tych komputerów jest również ogromna (dziś ktoś ma trojana a jutro przeinstaluje system lub zainstaluje antywirusa..). Kolejnym problemem jest to, że przeważnie podczas DDoS nie da się odróżnić tych "złych" komputerów od zwykłych użytkowników (pomijając to że jest możliwe iż to właśnie najważniejsi klienci (bez swojej wiedzy) atakują nasz serwer. Jedyne co można zrobić po stronie DC to przeczekanie ataku.

Dużo więcej można natomiast zrobić po stronie ISP dostarczających połączenie do domów. Znam takie sieci w których wykrywa się iż dany komputer jest zainfekowany (to nie jest takie trudne i da się zautomatyzować) i odcina mu się dostęp do Internetu przekierowując wszystkie (lub część) zapytania WWW na stronę z informacją jak pozbyć się trojana, z linkami do stron z antywirusem online i poprawkami do Windows (które oczywiście są odblokowane) czy gotowe do ściągnięcia programy usuwające trojany. Co ważne, zyskuje na tym klient (nie ma co prawda dostępu do Internetu przez chwilę ale za to np jego dane nie zostaną wykradzione) oraz sam ISP (oszczędza na ruchu jaki generują zainfekowane komputery). Moim zdaniem wprowadzenie zabezpieczeń po tej stronie jest dużo bardziej realne i skuteczne (choć wymaga trochę pracy).

[michalt 0]

Info-cal & michalt : w pierwszej chwili pomyślałem, że sam do siebie gadasz.. dopiero później zauważyłem, że Was jest dwóch - zmyliły mnie identyczne avatary

 

Musimy poprawcowac nad avatarami, bo rzeczywiscie sa takie same

 

 

Tak, jasnym i dobrym wyjsciem moga byc wieksze zabezpieczenia po stronach dostawcow uslug dostepu do internetu, wieksze filtrowanie pakietow itp, jak rowniez bardziej surowe przepisy karne...

[pleple 0]

Zaostrzyć przepisy karne? Hmm.. tego to jakoś nie widzę... co masz konkretnie na myśli? Kogo karać?

[michalt 0]

Moze nie chodzi mi konkretnie o ataki DDOS bo jak juz powiedzielismy wczesniej, w chwili obecnej jest wrecz rzecza niemozliwa wykrycie sprawcy ataku. Mam bardziej namysli przepisy karne dla innych przestepstw internetowych, a glownie spamowania - idealnym dla wielu bylby dozywotni zakaz dostepu do klawiatury dla takich ludzi

 

Nie chce schodzic z tematu DDOS, bo na niego nie mam pomyslu jezeli chodzi o kwestie prawne - ale na pewno kiedys sie takowy pojawi

[bold 0]

Duża część ataków DDoS teraz jest robiona przez dziurawe stare galerie, fora etc. Ot - remote-include jest robiony i napieprzają. Najgorsze jest to ze allow_url_fopen w php.ini domyslnie jest on i pozwala na takie akcje.

[Emil 0]

Ja miałem atak DDOS i mam serwer w Hetnzner oczywiście mi go zablokowali/odłączyli od sieci. Musiałem zlecić administratorowi zabezpieczenie serwera i teraz juz wszystko dziala dobrze.

[moron 0]

Zaostrzyć przepisy karne? Hmm.. tego to jakoś nie widzę... co masz konkretnie na myśli? Kogo karać?

byly projekty niestety sluch po nich zagina...

http://spam.jogger.pl/2006/10/02/projekt-n...a-walka-ze-spa/

 

ja sie nie moge doczekac az studia skoncze (prawo)

wtedy kazdy bruteforce z polski (a mialem nawet z sieci iplusa xD) bedzie sie konczyl w sadzie

tak samo kazda niezamowiona oferta handlowa (i inny spam z polski) na mailu

 

mozecie sadzic ze nienawisc czy cos tam przezemnie przemawia ale ja uwazam ze glupote trzeba tepic mlotkiem zeby zdusic ja w zarodku

[Tomi 0]

Trzeba zacząć czyścić własne podwórko potem patrzyć na Rosję czy Ukrainę Ja na przykład niedawno dostałem spam od klienta Cal.pl (http://info2008.cal.pl/) wiec daleko nie ma co szukać.

[michalt 0]

Trzeba zacząć czyścić własne podwórko potem patrzyć na Rosję czy Ukrainę Ja na przykład niedawno dostałem spam od klienta Cal.pl (http://info2008.cal.pl/) wiec daleko nie ma co szukać.

 

Tak, wiemy o tym i dlatego napisalem swojego posta na ten temat. Uzytkownik ten raz na 2/3 miesiace sie rejestruje w paru firmach hostingowych na test ( wiem, ze w paru bo dostalep spam rowniez o tej samej tresci z innego serwera ). Klient podaje rozne dane, na szczescie ma stale ip ( zostalo juz zablokowane ) oraz w mailach podaje prawidlowe dane firmy. Dzwonilem tam i wiem, co i jak.

 

Zrobilismy backup jego konta, zebralismy i wydrukowalismy logi. Teraz tylko czekamy na opinie e-prawnika co dokladnie powinnismy napisac w wniosku na policje. Sprawa zostanie zalatwiona, prosze sie nie martwic - kwestia czasu

 

Uzytkownik jest juz zablokowany, wprowadzilismy takze pewne ograniczenia w poczcie na serwerze z kontami testowymi.

 

Mam nadzieje, ze ta wypowiedz uspokoji Cie troche Tomi, prawda?

 

PS. Jak macie jakies sugestie, pisma jakie mozemy wystosowac na policje to chetnie je poczytam. Po prostu nie chce napisac czegos, po czym po tygodniach bede musial dowozic jakies dokumenty czy uzupelnienia.

 

Pzdr,

Michał

[MasterNETpl 100]

@michalt proponuje pierw ustawić odpowiednie kodowanie w meta tagach strony blokowej (jak na info2008.cal.pl) gdyż takowego nie ma i widać krzaczki

[michalt 0]

@michalt proponuje pierw ustawić odpowiednie kodowanie w meta tagach strony blokowej (jak na info2008.cal.pl) gdyż takowego nie ma i widać krzaczki

 

Powiem Ci szczerze, ze widze polskie znaczki

Posprawdzam to, aczkolwiek to nie jest najwazniejsze w tej sprawie- mamy problem z userem i musimy podjac dzialania. Wazne, zeby przestal zabawiac sie w spamowanie - nie tylko z naszych serwerow tylko wogole.

[Hekko.pl 239]

Powiem Ci szczerze, ze widze polskie znaczki

 

http://img229.imageshack.us/my.php?image=callf4.jpg

[michalt 0]

U mnie nadal ok: http://www.zalacznik.cal.pl/files/fsXuNpE9PULPIT01.gif

 

Juz poprawione. Dzieki

[zrio 6]

Ja miałem atak DDOS i mam serwer w Hetnzner oczywiście mi go zablokowali/odłączyli od sieci. Musiałem zlecić administratorowi zabezpieczenie serwera i teraz juz wszystko dziala dobrze.

 

Co mają zabezpieczenia serwera (po jego stronie) z atakami DDOS?

http://pl.wikipedia.org/wiki/DDoS

[michalt 0]

Zawsze cos maja, mozna automatycznie blokowac polaczenia jak ich nie jest duzo na tyle, ze na serwer nie mozna sie zalogowac. Narzedzie DDOSDeflate m.in. do tego sluzy - tak jak powiedzialem dla takich "malych", "symbolicznych" ataczkow. Dla prawdziwego DDOSa to trzeba wiecej rzeczy robic i na pewno takze dzialania poza serwerem.

 

Pzdr,

Michał