Dyskusja nt. DDOS

[kaczy 0]

Co do ataków DDOS to naprawdę w obecnych czasach nie trzeba nikomu podpadać. A wykonanie takiego ataku nie jest problemem. Za to blokada bez współpracy z serwerownia nie jest taka prosta. O czym sam się przekonałem miesiąc temu.

Oj tam.... wystarczy tylko troszkę poczytać "O zabezpieczeniach sieciowych" a później jeszcze troszeczkę "O obrotach sfer niebieskich" i co się nie da się?!

 

@Baernash - wybacz, po prostu Twój post mnie rozbawił. Jak już wczoraj napomknąłem, za dużo pracuję i się czepliwy robie niczym Sponsi Idę na piwo.

[Baernash 0]

Oj tam.... wystarczy tylko troszkę poczytać "O zabezpieczeniach sieciowych" a później jeszcze troszeczkę "O obrotach sfer niebieskich" i co się nie da się?!

 

@Baernash - wybacz, po prostu Twój post mnie rozbawił. Jak już wczoraj napomknąłem, za dużo pracuję i się czepliwy robie niczym Sponsi Idę na piwo.

Mnie z kolei bawią posty "expertów" wyedukowanych jednym artykułem z Wikipedii (nie mówię o Tobie ale widziałam takie posty). Nie jestem ekspertem od zabezpieczeń aczkolwiek czytałam publikacje na ten temat i wiem że (przynajmniej teoretycznie) można zapobiec ataką zarówno DoS jak i DDoS poprzez prawidłową ochronę sieci. Specyfika tych ataków może i nie jest w stanie całkowicie przed nimi ochronić ale może to zrobić częsciowo co w razie ataku zneutralizuje jego skutki i ułatwi położenie mu szybkiego kresu.

 

Moje pytanie o zabezpieczenia było więc jak najbardziej logiczne i uzasadnione. Prawda jest bowiem taka że wiele firm praktycznie wcale się nie zabezpiecza a potem ponosi tego konsekwencje (choć chyba nikt nie przyznaje się do tego że nie był zabezpieczony). Najłatwiej jest powiedzieć że się nie da. Wszystko się da tylko trzeba chcieć

[beliq 442]

Wszystko się da tylko trzeba chcieć

Jasne...

[Sebak 298]

Wszystko się da tylko trzeba chcieć

 

Ja chcę wygrać w totka i jakoś nie mogę

[cyberluk 0]

Jasne...

 

Jasne - ma rację. Czasy kiedy się nie dało dawno minęły... A przynamniej można minimalizować skutki takiego ataku... Do DoS'a czy DDoS'a można zaliczyć zarówno flood jak i atak typu SYN, RST, czy fragmentami pakietów. Z tego co pisali inni użytkownicy, flooda można wykluczyć, bo pingi były w miarę OK. Skoro flooda można wykluczyć (czy to na ilość pakietów, czy pasmo), to pozostaje cała reszta. Zaznaczam tutaj, że przed DoSem lub DDoSem typu flood nie ma możliwości obrony, dopóki nie współpracujemy z operatorem sieci.

W przypadku pozostałych ataków, które nie wysycają w 100% pasma można wykorzystać sprzęt np. Junipera, który ma SYN proxy, analizuje błędne pakiety i odrzuca je na styku Internet<>Nasz sieć. Ba, nawet OpenBSD i jego PF ma Syn Proxy i normalizację pakietów. Od tygodnia wiem, że FreeBSD też (btw p, podoba mi się )

Jeżeli chodzi o atak, który symuluje setki tysięcy klientów faktycznie i poprawnie pobierających stronę z naszego serwera, to można na przykład wykorzystać moduł do Apache, który robi hash listę i dla połączeń, gdzie ilość req/sec przekracza 100/sec, zawsze odeśle 404. W przypadku kiedy jeden klient wykona tylko jedno pobranie strony, ta metoda jest jednak mało skuteczna...

Chociaż i tutaj jest pewien sposób - load balancer z obsługą Vhostów na którym kierujemy ruch na osobną maszynkę z odpalonym HoneyPotem czy lewym serwerem WWW. Taki load balancer poradzi sobie z 10k czy 50k połączeń, a usługi pozostałych klientów będą działały poprawnie...

Oczywiście zawsze są wyjątki od reguły (np. ja ostatnio taki miałem). Nie oznacza to jednak, że mamy siedzieć z założonymi rękami i czekać, aż nam zwnou dowalą.

Żeby nie było - kilka lat temu dzięki atakowi na moje serwery wyleciała większość sieci POL34. Wszystkie routery pogubiły sesje BGP, a ruch wchodzący do polski wynosił około 27Gb/sec Dzięki tym rozwalonym sesjom, lokalni użytkownicy mieli dostęp do serwera To też jest sposób...

[beliq 442]

Ludzie kochani... litości... ta, można kupić dobry router, stawiać honeypoty, loadbalancery i inne cuda przemysłu IT,

ale... co taki klient budżetowej serwerowni ma zrobić? no nic...

to co sobie ustawi via iptables/pf to ma... reszta należy już tylko do opatrzności

z tego co pamiętam to przykładowo w Netdirekt to odrazu odcinają IP i taka pomoc ze strony ich działu NOC

[cyberluk 0]

Ludzie kochani... litości... ta, można kupić dobry router, stawiać honeypoty, loadbalancery i inne cuda przemysłu IT,

ale... co taki klient budżetowej serwerowni ma zrobić? no nic...

to co sobie ustawi via iptables/pf to ma... reszta należy już tylko do opatrzności

z tego co pamiętam to przykładowo w Netdirekt to odrazu odcinają IP i taka pomoc ze strony ich działu NOC

 

Ok, tylko z postów wynikało, że globalnie się nie da. W przypadku budżetowej serwerowni - "no się nie da", ale nie oznacza to, że w innych przypadkach nie można...

[r.s 0]

A korzystał z was ktoś z takiego narzędzia jak ossec + snort etc? Naprawde polecam...

[Baernash 0]

Do tego co powiedział cyberluk dodam tylko że można też np. umieścić filtry na zewnętrznych routerach aby obniżyć ilość pakietów przesyłanych w atakach tego typu oraz ustawić filtr odżucający ruch zapoczątkowany wewnątrz sieci z zewnętrznego adresu ip. Co prawda powoduje to utratę pingów ale jest to chyba niewielka cena za zwiększenie bezpieczeństwa w sieci w razie ewentualnych ataków zarówno DDoS jak i DoS. Można też (jeżeli pozwala na to os) zmniejszyć czas przed resetem niedokończonych połączeń TCP co ułatwi dłuższe utrzymanie zasobów niedostępnymi (choć co do tego nie mam pewności).

[p 3]

Ok, tylko z postów wynikało, że globalnie się nie da. W przypadku budżetowej serwerowni - "no się nie da", ale nie oznacza to, że w innych przypadkach nie można...

Bo generalnie sie nie da Sa przypadki, w ktorych to jest mozliwe ale w ogolnosci przed DDoS'em sie nie obronisz

 

Jasne, jest sprzet, ktory radzi sobie z naprawde poteznymi atakami... Sa nawet serwerownie, ktore pomagaja w zwalczaniu prostych atakow (a nawet tych wiekszych - oczywiscie w tym przypadku dochodza oplaty rozpoczynajace sie od 1000$). Ale jak juz zauwazyl bellerofont to nie sa rozwiazania, na ktore moze pozwolic sobie ktos posiadajacy kilka serwerow w budzetowej serwerowni (i nie posiadajacy pf'a ).

Z drugiej strony zastanawia mnie co to za atak, skoro Hetzner jeszcze nie zastosowal blackholingu wobec atakowanego IP. Zarowno SoftLayer (przy ataku >20mbps) jak i LeaseWeb (przy ataku >35k pps) od razu null-routuja atakowane IP, a sa to serwerownie z o wiele lepszymi laczami niz Hetzner.

 

Baernash: Z laski swojej zrob traceroute do masternet.pl i powiedz mi, na ktorym routerze ma sobie Adrian te filtry poustawiac?

[MasterNETpl 100]

Najbardziej upierdliwe jest to, iż są to krótkie kilku/kilkudziesięcio minutowe co określony czas ataki w większości za każdym razem z innych źródeł - na prawdę przestaje mnie to już bawić...

W większości sam sobie z nimi radzę (nie są znowu takie duże).

[cyberluk 0]

Bo generalnie sie nie da Sa przypadki, w ktorych to jest mozliwe ale w ogolnosci przed DDoS'em sie nie obronisz

 

Jasne, jest sprzet, ktory radzi sobie z naprawde poteznymi atakami... Sa nawet serwerownie, ktore pomagaja w zwalczaniu prostych atakow (a nawet tych wiekszych - oczywiscie w tym przypadku dochodza oplaty rozpoczynajace sie od 1000$). Ale jak juz zauwazyl bellerofont to nie sa rozwiazania, na ktore moze pozwolic sobie ktos posiadajacy kilka serwerow w budzetowej serwerowni (i nie posiadajacy pf'a ).

Z drugiej strony zastanawia mnie co to za atak, skoro Hetzner jeszcze nie zastosowal blackholingu wobec atakowanego IP. Zarowno SoftLayer (przy ataku >20mbps) jak i LeaseWeb (przy ataku >35k pps) od razu null-routuja atakowane IP, a sa to serwerownie z o wiele lepszymi laczami niz Hetzner.

 

Tak, wiem - wszystkie mądre książki od security mówią, że na tego typu ataki nie ma sposobu... Tak jak napisałem - nie chodzi o całkowite zapobieganie takim atakom. Chodzi o minimalizację ich skutków. Jeżeli nie stać firmy na Junipery, niech postawi kompa z FreeBSD. Nawet najsłabsze zabepieczenie jest lepsze niż brak jakichkolwiek zabezpieczeń...

[p 3]

Tak, wiem - wszystkie mądre książki od security mówią, że na tego typu ataki nie ma sposobu...

Ja mam troche inny wyznacznik:

Jezeli Akamai nie potrafi obronic sie przed takim atakiem, to nie potrafie i ja

 

Jeżeli nie stać firmy na Junipery, niech postawi kompa z FreeBSD. Nawet najsłabsze zabepieczenie jest lepsze niż brak jakichkolwiek zabezpieczeń...

Swieta prawda

[Baernash 0]

Baernash: Z laski swojej zrob traceroute do masternet.pl i powiedz mi, na ktorym routerze ma sobie Adrian te filtry poustawiac?

To było tylko teoretyzowanie na temat zabezpieczenia przed takimi atakami, nie było odwołane ściśle do problemu Masternetu. Innych pomysłów jak na razie brak.

[kaczy 0]

To było tylko teoretyzowanie na temat zabezpieczenia przed takimi atakami, nie było odwołane ściśle do problemu Masternetu. Innych pomysłów jak na razie brak.

Problem właśnie w tym, że to NIE było "tylko teoryzowanie" bo napisałaś wyraźnie:

 

Jestem trochę zdziwiona że firma nie była(?) przygotowana na ewentualne ataki i nie zabezpieczyła się przed nimi

Dlatego właśnie napisałem, że Twój post i późniejszy komentach "wystarczy tylko trochę poczytać o zabezpieczeniach sieciowych" mnie zwyczajnie rozbawił. Nadal podtrzymuję swoje zdanie, że przed atakami DDOS zabezpieczyć się w zasadzie nie da, ale tak jak cyberluk napisał można niwelować skutki tych ataków... no i wszystko niby pięknie, fajnie i ładnie, ale... No właśnie "ale" polega na tym, że przy firmach pokroju firmy Adriana większość z wymienionych przez cyberluka sposobów obrony jest po prostu nierealna, a rozchodzi się jak zwykle o pieniądze.

 

Skoro więc napisałaś taką uwagę dotyczącą firmy MasterNet to czy sądzisz w takich razie, że firma NetEasy (którą tak ostatnio strasznie tu zachwalasz i polecasz) jest tak doskonale przygotowana i zabezpieczona, że problem Adriana wywołał u Ciebie aż takie zdziwienie? W zasadzie jest to pytanie retoryczne, więc nie musisz nawet na nie odpowiadać

[Baernash 0]

@kaczy Teoretyzowałam na temat zabezpieczeń przed DDoS - bo dyskusja zeszła na ten temat - a nie akurat co Masternet powinien zrobić i jak powinien być zabezpieczony. Była to tylko wymiana możliwości skoro wszyscy jednym chórem stwierdzili że się nie da a jednak się da (przynajmniej częściowo) - to już inna sprawa że wymaga to nakładów finansowych. Nie znam ani możliwości finansowych ani technicznych firmy Masternet w tym względzie dlatego zadałam proste pytanie a nie np. rzuciłam oskarżenie.

 

Jak wspomniałam wcześniej WIEKSZOŚĆ FIRM nie jest zabezpieczonych i prawie na pewno tyczy się to również NetEasy (ponieważ początki są trudne więc prawdopodobnie zabrakło na to nakładów finansowych) - choć chciałabym się mylić.

 

PS. szkoda że ktoś uwziął się na MasterNet zamiast dla odmiany potestować inne firmy hostingowe

[Tomasz Fiedoruk 98]

PS. szkoda ?e kto? uwzi?? si? na MasterNet zamiast dla odmiany potestowa? inne firmy hostingowe

nie kracz

[sug83 14]

Ogólnie ciekawe, że ddos wywołał uszkodzenie dysków;) Ciekawa teoria.

Zamulanie serwera jakie można było obserwować w Masternet można porównać do ataku ddos, ale to była najzwyczajniejsza awaria dyskow.

Minimalny dostęp do maszyny sugeruje problem z łączami ale w rzeczywistości jest to awaria sprzętowa i dlatego Masternet zakupił nowy serwer. Przenosiny trwały dość długo, ale się udało.

 

Tylko po co historia ddos?

Awarie sprzętu się zdarzają, czemu to az takie wstydliwe?

[MasterNETpl 100]

eh...

O wymianie całego sprzętu głównie zadecydowało to, iż i tak jego wydajnosć pozostawiał on wiele do życzenia, a zwłaszcza po atakach więc postanowiliśmy to zrobić od razu, a nie bawić się znowu za jakiś czas.

[sug83 14]

Nie chce się bawić w detektywa Poirot, ale...

 

Po lekturze całego obszernego tematu już sam nie wiem czy atak spowodował totalną czarną dziurę i zapaść, czy po zakończonym ataku sprzęt był mało wydajny i była konieczność przenosin..?

 

Jeżeli to drugie to nie można było tego zrobić na równolegle postawionej maszynie?

Tak żeby uniknąć kilkudniowej przerwy?

 

Może przedstaw logi z ataku i będzie po sprawie.

Nie ukrywam, nie uważam się za nieomylnego, ale symptomy jakie wystąpiły są mi znajome - jeżeli tylko się mylę to z chęcią się nauczę czegoś nowego.

[sug83 14]

No to chyba jednak niczego nowego się nie nauczę.