Skocz do zawartości

Polecane posty

Gość Kamikadze

Przeczytaj do końca. W kolejnym zdaniu napisałem że nie twierdze że nie jest pod DDoS'em.

 

Chodzi o sugestię a nie wskazanie wprost ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W takim razie źle mnie zrozumiałeś. Ja niczego nie sugerowałem ani nie miałem zamiaru stworzyć wrażenia jakbym sugerował.

 

Lepper też tylko pytał

W którym miejscu o coś pytam?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

nie tylko ta firma boryka się z ciągłymi atakami,

 

swojego czasu firma unixstorm miała ataki codziennie, a nawet kilka razy dziennie i wszystko leżało ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

:lol::D:lol::D

 

Nie mamy się co oszukiwać - takich ataków nie da się zablokować podpięciem magicznego urządzonka.

 

Oczywiście, że się da ale pod warunkiem, że ostatnia mila nie jest wąskim gardłem (czyt. wolumen ataku jest mniejszy niż dostępna przepustowość linku).

Takie zabezpieczenia wdrażamy i są to na przykład produkty takich firm jak checkpoint czy sourcefire, z tym że są to tak drogie zabawki, że nawet mało który operator je posiada.

 

Można oczywiście też walczyć software'owo wykorzystując szczegółowe filtry iptables + snort (de facto zrobionego w 1998 roku przez Martina Roesch - założyciela sourcefire).

Oczywiście istnieją jeszcze inne metody ochrony jak uRPF czy Blackholing.

Można napisać prace na ten temat.

 

 

Z poważaniem,

Zespół BLUE LEAF Sp. z o.o.

http://www.blueleaf.pl

http://www.globalnetwork.pl

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Oczywiście, że się da ale pod warunkiem, że ostatnia mila nie jest wąskim gardłem (czyt. wolumen ataku jest mniejszy niż dostępna przepustowość linku).

Celem ataków DDoS o których tu rozmawiamy jest wysycenie pasma i przeciążenie urządzeń pośredniczących.

Czyli właśnie sytuacja idealnie opisana w twoim "pod warunkiem, że nie".

W przypadku, gdy będziesz miał atak 20Gbit/s (a to przy botnetach nie jest jakiś wyczyn) przy posiadanej rurze nawet i 1Gbit to nawet najlepszy Checkpoint ci nie pomoże... co z resztą sam stwierdziłeś ;)

A co do urpf czy bgpbl... To ciężko je wykonać mając typowe klienckie łącze z klasą PA ;)

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Celem ataków DDoS o których tu rozmawiamy jest wysycenie pasma i przeciążenie urządzeń pośredniczących.

Czyli właśnie sytuacja idealnie opisana w twoim "pod warunkiem, że nie".

W przypadku, gdy będziesz miał atak 20Gbit/s (a to przy botnetach nie jest jakiś wyczyn) przy posiadanej rurze nawet i 1Gbit to nawet najlepszy Checkpoint ci nie pomoże... co z resztą sam stwierdziłeś ;)

A co do urpf czy bgpbl... To ciężko je wykonać mając typowe klienckie łącze z klasą PA ;)

 

Kafi - widziałeś kiedyś atak DoS 20Gb? ;) Największy jaki nasz klient posiadał to 8Gb a np. OVH daje już serwery na porcie 10Gb, a rura 1Gb to nie jest "nawet" ale robi się to obecnie standard.

 

Z poważaniem,

Zespół BLUE LEAF Sp. z o.o.

http://www.blueleaf.pl

http://www.globalnetwork.pl

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Kafi - widziałeś kiedyś atak DoS 20Gb? ;)Największy jaki nasz klient posiadał to 8Gb a np. OVH daje już serwery na porcie 10Gb, a rura 1Gb to nie jest "nawet" ale robi się to obecnie standard.

 

 

ehh, to że nie widziałeś dużego ataku nie znaczy że ich nie ma ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale to nie o to chodzi, że ich nie ma ;)

Po prostu standardy sieci idą w górę i ataki też.

Ale obecnie jakby był atak DoS 20Gb to jest to problem nie tylko end-usera ale także OPa, zwłaszcza w PL, więc sam OP starałby się zapobiegnąć atakowi. Zatem należy patrzeć także na inne aspekty a nie tylko ochrony end-usera przez siebie.

 

zresztą jest to OT, więc można założyć osobną dyskusję na temat DoS, które każdego prędzej czy później dotknął.

 

Z poważaniem,

Zespół BLUE LEAF Sp. z o.o.

http://www.blueleaf.pl

http://www.globalnetwork.pl

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z siecią od wczoraj nic się nie dzieje, jedynie błąd MySQL na stronie spowodowany atakiem bezpośrednio na nią, ale na inne usługi to nie wpływa.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

a np. OVH daje już serwery na porcie 10Gb

No właśnie... więc wystarczy dwóch takich, którzy będą chcieli "przetestować" ten dziesięciogigabitowy port dawany przez OVH...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No właśnie... więc wystarczy dwóch takich, którzy będą chcieli "przetestować" ten dziesięciogigabitowy port dawany przez OVH...

Nie sądzę bo do polski nie mają fizycznej możliwości wysycenia tego. OVH daje może i 10G ale do .pl gwarantowane jest 100 Mbit/s

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Niedawno mieli do Polski chyba dwa linki 40G.

 

http://www.ovh.pl/se...ekty.xml?gm=pop

 

Pytanie ile mają zapasu - to jest ważna informacja. Nawet gdyby to było 80 Gb w sumie to wątpię aby trzymali 10G zapasu bo to po prostu się nie opłaca.

 

Z poważaniem,

Zespół BLUE LEAF Sp. z o.o.

http://www.blueleaf.pl

http://www.globalnetwork.pl

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie ma szans na więcej niż 3-4Gbps z serwera w OVH do PL. Puszczałem z 2 takich maszynek ruch napierw up potem down i razem doszło do 6.5Gbps i po chwili już miałem stałe 2-3 w sumie, bo coś cięło po drodze.

 

EDIT: Nawet te 3Gbps położyło by u nas wiele firm. Szkoda, że nie mam takich maszyn :D

Edytowano przez Misiek08 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

@globalnetwork.pl:

Czyli jeżeli OVH daje kartę i wpina fibre to znaczy, że można tego użyć ?

Tu nie ma sensu patrzeć na wyjście z sieci, jak na szkielecie są już ustawione reguły ;)

To dość skomplikowana sieć i zabezpieczona przed atakami/przeciążeniami.

Nie ma jakieś sztywnej blokady na 100Mb/s do Polski, ruch do Polski wlatuje głównie pl-ix'em plus tpsa przez Frankfurt.

W pl-ix jest 4x10G, miało być to rozbudowywane jeszcze, z resztą graf: http://weathermap.ovh.net/warszawa

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy tylko mi nie działa serwer? Od samego rana 0 kontaktu z supportem, dzwonić kolejny raz nie zamierzam gdyż opłaty za połączenia z automatyczną sekretarką wyjdą mi więcej niż płace za serwer.

 

C:\Users\Sławek>tracert 89.231.6.26
Śledzenie trasy do a26.netdc.pl [89.231.6.26]
z maksymalną liczbą 30 przeskoków:
 1	 1 ms	 1 ms	 1 ms  192.168.0.1
 2	36 ms	22 ms	21 ms  89-68-40-1.dynamic.chello.pl [89.68.40.1]
 3	10 ms	15 ms	10 ms  89-75-4-65.infra.chello.pl [89.75.4.65]
 4	14 ms	21 ms	16 ms  84.116.253.70
 5	15 ms	15 ms	15 ms  84.116.252.225
 6	20 ms	14 ms	15 ms  84.116.135.249
 7	20 ms	39 ms	19 ms  213.46.178.50
 8	16 ms	15 ms	15 ms  war-b2-link.telia.net [80.91.253.233]
 9	 *		*		*	 Upłynął limit czasu żądania.
10	 *		*		*	 Upłynął limit czasu żądania.
11	16 ms	41 ms	21 ms  host-89-228-40-154.warszawa.mm.pl [89.228.4.154]
12	27 ms	28 ms	24 ms  host-89-228-40-62.warszawa.mm.pl [89.228.4.62]
13	 *		*		*	 Upłynął limit czasu żądania.
14	 *		*		*	 Upłynął limit czasu żądania.
15	 *		*		*	 Upłynął limit czasu żądania.
16	 *		*		*	 Upłynął limit czasu żądania.
17	 *		*		*	 Upłynął limit czasu żądania.
18	 *		*		*	 Upłynął limit czasu żądania.
19	 *		*		*	 Upłynął limit czasu żądania.
20	 *		*		*	 Upłynął limit czasu żądania.
21	 *		*		*	 Upłynął limit czasu żądania.
22	 *		*		*	 Upłynął limit czasu żądania.
23	 *		*		*	 Upłynął limit czasu żądania.
24	 *		*		*	 Upłynął limit czasu żądania.
25	 *		*		*	 Upłynął limit czasu żądania.
26	 *		*		*	 Upłynął limit czasu żądania.
27	 *		*		*	 Upłynął limit czasu żądania.
28	 *		*		*	 Upłynął limit czasu żądania.
29	 *		*		*	 Upłynął limit czasu żądania.
30	 *		*		*	 Upłynął limit czasu żądania.
Śledzenie zakończone.

Edytowano przez kajtek (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Twój nie działa, samo netdc.pl działa:

 

root@marek:~# traceroute 89.231.6.26

traceroute to 89.231.6.26 (89.231.6.26), 30 hops max, 60 byte packets

1 201.seven.greendata.pl (91.228.196.201) 0.088 ms 0.033 ms 0.028 ms

2 biznes-host-gw-pri.horyzont.net (164.40.240.1) 0.472 ms 0.467 ms 0.471 ms

3 jBR2-int.hti.pl (164.40.240.10) 0.533 ms 0.500 ms *

4 * * *

5 host-44-226.backup-core.virtuaoperator.pl (109.196.44.226) 8.245 ms 8.291 ms 8.209 ms

6 ae48-48.r5.poland-rs.thinx.atman.pl (212.91.0.15) 8.270 ms 20.651 ms 20.595 ms

7 * * *

8 * * host-89-228-40-5.warszawa.mm.pl (89.228.4.5) 46.719 ms

9 host-89-228-40-14.warszawa.mm.pl (89.228.4.14) 8.885 ms 8.787 ms host-89-228-40-154.warszawa.mm.pl (89.228.4.154) 8.970 ms

10 * host-89-228-40-62.warszawa.mm.pl (89.228.4.62) 17.981 ms 17.934 ms

11 * * *

12 * * *

13 * * *

14 * * *

15 * * *

16 * * *

17 * * *

18 * * *

19 * * *

20 * * *

21 * * *

22 * * *

23 * * *

24 * * *

25 * * *

26 * * *

27 * * *

28 * * *

29 * * *

30 * * *

root@marek:~# traceroute netdc.pl

traceroute to netdc.pl (89.231.6.66), 30 hops max, 60 byte packets

1 201.seven.greendata.pl (91.228.196.201) 0.079 ms 0.031 ms 0.027 ms

2 biznes-host-gw-pri.horyzont.net (164.40.240.1) 0.519 ms 0.647 ms 0.598 ms

3 jBR2-int.hti.pl (164.40.240.10) 0.564 ms 0.514 ms 0.534 ms

4 host-44-177.backup-core.virtuaoperator.pl (109.196.44.177) 8.198 ms 8.256 ms 8.182 ms

5 host-44-226.backup-core.virtuaoperator.pl (109.196.44.226) 42.905 ms * *

6 * ae48-48.r5.poland-rs.thinx.atman.pl (212.91.0.15) 8.689 ms 8.598 ms

7 * * *

8 * * *

9 * host-89-228-40-110.warszawa.mm.pl (89.228.4.110) 8.838 ms host-89-228-40-14.warszawa.mm.pl (89.228.4.14) 8.735 ms

10 host-89-228-40-62.warszawa.mm.pl (89.228.4.62) 18.054 ms 18.253 ms 18.182 ms

11 * * *

12 * * *

13 mail.netdc.pl (89.231.6.66) 17.839 ms 17.858 ms 18.222 ms

root@marek:~#

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Odziwo kilka min po napisaniu postu dostałem odpowiedź ze mój serwer (bez poinformowania) został wczoraj przeniesiony do innej szafy, po czym go odpalono i nie sprawdzono czy działa.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Odziwo kilka min po napisaniu postu dostałem odpowiedź ze mój serwer (bez poinformowania) został wczoraj przeniesiony do innej szafy, po czym go odpalono i nie sprawdzono czy działa.

 

Proszę Pana informacja o nocnych pracach od tygodnia wisi na stronie głównej. Nie dzwonił Pan do nas dzisiaj ani razu, więc skąd przypuszczenie, że będzie to jakaś sekretarka ? Osobiście dyżuruję przy telefonie.

Pana serwer został zamontowany w nowej szafie i uruchomiony poprawnie, tak jak blisko setka innych, jeżeli nie wstał to nie z naszej winy, a zapewne jest coś nie tak z systemem/hardwarem, ponieważ sam serwer został należycie wyłączony.

Proszę pamiętać, że Pana serwer to jednostka kolokowana, nie robimy przy niej nic bez wyraźnej Pana zgody.

Tak jak informowaliśmy konsola zostanie podpięta i serwer sprawdzony, na przyszłość proszę zadzwonić, a nie pisać na forum, to na pewno nie przyśpieszy usunięcia usterki.

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skoro usilnie twierdzicie, że

Proszę pamiętać, że Pana serwer to jednostka kolokowana, nie robimy przy niej nic bez wyraźnej Pana zgody.

to teraz pytanie (retoryczne raczej): czy klient udzielił wyraźnej zgody na relokację serwera do nowej szafy,

skoro owy klient twierdzi, że

dostałem odpowiedź ze mój serwer (bez poinformowania) został wczoraj przeniesiony do innej szafy

??

 

Widać kolejny raz po tym wasz wielki profesjonalizm. A zwalanie na klienta, że przecież wszystko ok i to on jest dupa, bo źle serwer skonfigurował jest hmm... chyba lekko nie na miejscu. Do tego rodzą się pytania - skoro klient nie wiedział o przerwie, to jak maszyna została wyłączona? Wciśnięcie nawet i Power-Btn nie jest bezpiecznym na niekontrolowanej przez siebie maszynie...

Prawidłowy scenariusz takiego manewru to raczej:

1. Kilka dni przed - telefon do klienta: "musimy przenieść serwer do innej szafy. czy termin 18.08 Panu odpowiada?

Odpowiedź klienta - tak, ok.

2. Tuż przed migracją - telefon do klienta: "zbliża się umówiony termin migracji. czy można prosić o bezpieczne zatrzymanie maszyny?"

Klient coś tam pyka, maszyna staje.

3. Ekipa firmowa zmienia lokalizację maszyny, podłącza w nowej szafie, odpala. Po tym telefon do klienta: "maszyna została zamontowana w nowej lokalizacji i uruchomiona. proszę zweryfikować, czy wszystkie usługi wstały poprawnie, pod adresem w.x.y.z:1234 jest w razie czego konsola KVM". Klient weryfikuje, daje odpowiedź i operacja się kończy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skoro usilnie twierdzicie, że

 

to teraz pytanie (retoryczne raczej): czy klient udzielił wyraźnej zgody na relokację serwera do nowej szafy,

skoro owy klient twierdzi, że

 

??

 

Widać kolejny raz po tym wasz wielki profesjonalizm. A zwalanie na klienta, że przecież wszystko ok i to on jest dupa, bo źle serwer skonfigurował jest hmm... chyba lekko nie na miejscu. Do tego rodzą się pytania - skoro klient nie wiedział o przerwie, to jak maszyna została wyłączona? Wciśnięcie nawet i Power-Btn nie jest bezpiecznym na niekontrolowanej przez siebie maszynie...

Prawidłowy scenariusz takiego manewru to raczej:

 

 

Masz racje, ale wystarczyło by samo powiadomienie drogą mailową.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość
Temat jest zablokowany i nie można w nim pisać.

×