Компания CloudFlare зафиксировала (http://gigaom.com/2014/02/11/record-breaking-ddos-attack-str.../) одну из самых крупных DDoS-атак, поток трафика на систему жертвы при которой превысил отметку в 400 Гбит/с, что на 100 Гбит/с больше, чем в результате прошлогодней атаки (http://www.opennet.me/opennews/art.shtml?num=36525) на Spamhaus.org. Почти в тоже время c атакой с интенсивностью в 350 Гбит/с столкнулся (https://twitter.com/olesovhcom/status/433036769924116481) французский хостинг-оператор OVH.Атаки были организованы с использованием техники (http://www.opennet.me/opennews/art.shtml?num=38855) усиления трафика через необновлённые NTP-серверы. Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.
URL: http://threatpost.com/ntp-amplification-blamed-for-400-gbps-...
Новость: http://www.opennet.me/opennews/art.shtml?num=39075
> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.Одни ленивые админы делают проблемы другим админам.
> ленивыеа как же известное "работает - не трожь"?
>> ленивые
> а как же известное "работает - не трожь"?Простите, но «уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими» — сообщают, что как раз НЕ работает! :)
> сообщают, что как раз НЕ работает!у вас очень идеализированное представление о бизнесе
К сожалению, в умах многих одминов отношение "не тронь - не воняет" обладает свойством транзитивности, так что из него следует "не воняет - не тронь".
> К сожалению, в умах многих одминов отношение "не тронь - не воняет"
> обладает свойством транзитивности, так что из него следует "не воняет -
> не тронь".такое отношение называется "симметричность", а не "транзитивность".
> такое отношение называется "симметричность", а не "транзитивность".Скорее, коммутативность.
>а как же известное "работает - не трожь"?по прежнему актуально. но кроме здравомыслящих админов ещё существуют админы-истерички, которые как раз и обновляют-переобновляют-патчат-исправляют-то-что-потом-отвалилось в бесконечном цикле. пожалейте их, убогих
>>а как же известное "работает - не трожь"?
> по прежнему актуально. но кроме здравомыслящих админов ещё существуют админы-истерички,
> которые как раз и обновляют-переобновляют-патчат-исправляют-то-что-потом-отвалилось
> в бесконечном цикле. пожалейте их, убогихЭто лет 20 назад называлось "Синдром чрезмерного администрирования". И лечилось переводом в хелпдеск на пару месяцев.
Здесь чуть более, чем половина им страдает.
> а как же известное "работает - не трожь"?Если это приводит к проблемам у других людей - гнать таких админов взашей, с волчьим билетом.
>> ленивые
> а как же известное "работает - не трожь"?Здесь достаточно правильно указать смысл для слова "работает".
А вообще, тут хорошо подходит английский вариант, if it's not broken, don't fix it.
>> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.
> Одни ленивые админы делают проблемы другим админам.На работе — да, можно и обновить, и то, после нагоняя от начальства за нереагирование на абузы. А дома — лениво. Хотя дома у меня OpenNTPd. Он не затронут этой фичей (не могу назвать ни багом, ни уязвимостью, ибо бай дизайн).
А вот пример админов которых надо гнать с волчьим билетов. Так, чтобы сеть была чище и абузы не прилетали.
Кричали те кого даже в админы не пустили
Дистрибутивы поставляют стабильные версии ntpd:
Tarballs Stable: 4.2.6p5 2011/12/24
Dev.: 4.2.7p421 2014/02/10
(с сайта http://www.ntp.org/)
Т.е.пока они сами не выпустят 4.2.8 Tarballs Stable ничего не изменится!
это не лень, а недостаток сути
Давно пора спамхаус уничтожить
Чего ради?
А зачем нужны рэкетиры?
И кого они рэкети?
> А не всех, у кого чуют гнильцу?Методы работы спамхауса метко описываются фразой "ядерный взрыв уничтожает вредителей сельского хозяйства на значительной территории". А потом еще и бабла выцыганивают за деактивацию территорий от радиоактивного заражения, заметьте.
Да вам, спамерам, ваще зубы плоскогубцами выдергивать нужно :)
А выкалывать глаза — шилом :)
дык не спамьте :)
все кто-то заставляет ? )
> И кого они рэкети?А всех, кого угораздило туда попасть, с поводом и без. Обычное такое вымогательство.
>> И кого они рэкети?
> А всех, кого угораздило туда попасть, с поводом и без. Обычное такое
> вымогательство.Не лги, грязный преступный спамер.
Растоптать бы сапогом твою харю....
не было бы спаммеров - не было бы спамхауза.
не было бы спамхауза - не было бы рекета, ими.
мораль: не рассылайте спам. и другим - не давайте это делать.
Причем тут спам? Они банят целиком подсети Дата-Центров (AS) со всеми CIDR подсетями
И ссылка есть? Брехня ведь?
То что здесь не пойдёт? http://stophaus.com/forum.php
> И ссылка есть? Брехня ведь?К сожалению не брехня. Лично сталкивался.
Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера, которая развёрнута в одном из крупных датацентров Москвы. И это при том, что комплейны были всего на пару десятков адресов.
>> И ссылка есть? Брехня ведь?
> К сожалению не брехня. Лично сталкивался.
> Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера,
> которая развёрнута в одном из крупных датацентров Москвы. И это при
> том, что комплейны были всего на пару десятков адресов.И очень правильно сделали.
> И ссылка есть? Брехня ведь?Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма мерзкая контора, которым хочется дать в бубен не меньше чем самим спамерам. Блеклистят все подряд по желанию левой пятки, а потом еще и деньги вымогают.
>> И ссылка есть? Брехня ведь?
> Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма
> мерзкая контора, которым хочется дать в бубен не меньше чем самим
> спамерам. Блеклистят все подряд по желанию левой пятки, а потом еще
> и деньги вымогают.Блеклистит НЕ спамхауз.
Блеклистят АДМИНЫ ЛОКАЛЬНЫХ СИСТЕМ, которые не желают получать спам.
Недоступно пониманию?
Блеклистят как раз пару человек из спамхаус-а.
Они уроды последние.Кто не знает - спамхаус оффшорная контора из кучке старых пердунов которые отмывают деньги на американских спамерах. А всем вешают на уши информацию что они non-profit и т.д. и честно делают вид что занимаются благим делом.
Это единственная которая которая успешно всем промывает мозг до сих пор, т.к. получает бабки (вымогает) с американских провайдеров которым навязала свой сервис.
В европе ее по факту никто не использует. Только глупые юзеры.
Все крупные почтовики ее не используют.читайте больше про ее методы на сайте http://stophaus.com
и еще какой-то блог был в сети http://stopspamhaus.com и на хабре статься.
ссылки есть на сайтах.
Цитирую Товарищ Капитан:Спамхаус не имеет отношения ни к закону, ни к здравому смыслу. Именно поэтому его судят и поделом ему.
Прежде чем ему аплодировать или скидываться по рублю для "выживания бедной компании", хорошо бы ясно представлять, чем она занимается.
Так вот, чёрные списки IP бывают двух основных видов:
а) технические. Это когда хозяева списка ведут учёт рассылок: в чёрный список добавляются источники спама. Разослали с данного IP спам - включаем в список. Такие списки полезны, хотя тоже не без проблем - ибо сейчас есть ботнеты из сотен тысяч зомби-машин, хозяева которых не знают, что с них идёт спам.
б) политические. Это когда хозяева списка отважно "борются со спамом" своим лазерным мечом. Тогда в чёрный список добавляются не только источники, но и те сайты, которые якобы рекламируются спамом, а также часто - те сайты, где высказываются одобрительно о спаме ИЛИ - внимание - неодобрительно о данных борцах со спамом.
В результате создаётся широкое поле для подстав или просто нелепых блокировок целых регионов или больших провайдеров. Иногда спамеры для убедительности ссылаются на какую-нибудь новость в теле письма - и пожалуйста, чёрный список блокирует СМИ, на которое сослались.
А вынуть свои IP из списка обычно крайне непросто. Хозяева списков часто просто одержимы своим мессианством и крайне надменны.Так вот Спамхаус - политический список, и от этого все его проблемы. Политика определяется розой втров в голове владельцев, и она в основном такая: "убивай всех, Бог разберётся, кто праведник, а кто грешник".
Они неоднократно высказывались в том смысле, что заблеклистить чего лишнего - не страшно, ибо в любом случае привлекает внимание к проблеме спама и понижает толерантность к спаму. То есть ложные тревоги их не пугают.
Это из-за Спамхауса, и из-за таких как он, в России теряется много легитимной почты, потому что неопытные, глупые или ленивые сисадмины подписывают свои почтовые сервера на этот политический чёрный список. А есть более разумные провайдеры чёрных списков и хорошие спам-фильтры со своими чёрными списками.
Спамхаус регулярно блеклистит Россиию тысячами и десятками тысяч адресов. Бывали случаи, когда такие "политические" чёрные списки блокировали всю Россию целиком. А что - варварская страна, по-английски даже не говорит, ясно, что там одни спамеры.
РТКОММ (Ростелеком) сидел в Спамхаусе годами, поскольку клиент клиента его клиента якобы что-то там разослал ИЛИ якобы был отрекламирован спамом. А РТКОММ, видите ли, не снёс сайт немедленно, без разбору, по свистку из Спамхауса, наплевав на договор и т.п. Бывало, что блокировали целыми блоками, по 65 тысяч адресов. Сейчас в РТКОММе вроде научились их уговаривать.
Но точно такие же проблемы у кучи более мелких провайдеров. Просто за невежливое письмо могут никогда не вынуть из списка.
Наша компания также постоянно попадает под раздачу. Нас спамеры нарочно подставляли несколько раз, рассылая спам от нашего имени, перед нашей антиспам-конференцией. Технический список в таких случаях никогда не добавит IP в базу, а спамхаусы - с дорогой душой.В общем, Спамхаус давно пора закрыть, а сисадминам перестать на него подписываться. Всем честным людям мира станет легче, поскольку Спамхаус не сильно лучше спама.
про РТК- да не, Ростелекому - проще дропать таких "клиентов" научиться.
чем вестись на их попытки - заставить плясать под их дудку, других, против спамхауза.
> про РТК- да не, Ростелекому - проще дропать таких "клиентов" научиться.
> чем вестись на их попытки - заставить плясать под их дудку, других,
> против спамхауза.Есть порядок утвержденный МИНСВЯЗью.
все остальное в топку.это как бандитам дань платить - это то что делают провайдеры сейчас теряя клиентов из за требований старого параноика-идиота http://stophaus.com/forumdisplay.php?20-SR01-Stephen-Linford
удивяюсь как его еще не убили американские спамщики.
Кого колышат контракты РТКомм и российское законодательство вообще?
Так можно до пришествия отмазываться контрактами, законами и прочими "ну вы понимаете".
А спам будет идти.
Поэтому сейчас хостеры боятся спамхауса как огня, и пишут в контракте - не делайте ничего, что внесет нас в спамхаус, отключим мгновенно. И правильно, ибо эти уродцы будут отмазываться до последнего, им копейка своего клиента ближе, чем проблемы со спамом у других людей.
> Кого колышат контракты РТКомм и российское законодательство вообще?
> Так можно до пришествия отмазываться контрактами, законами и прочими "ну вы понимаете".
> А спам будет идти.
> Поэтому сейчас хостеры боятся спамхауса как огня, и пишут в контракте -
> не делайте ничего, что внесет нас в спамхаус, отключим мгновенно. И
> правильно, ибо эти уродцы будут отмазываться до последнего, им копейка своего
> клиента ближе, чем проблемы со спамом у других людей.Хостеры бояться. им деваться некуда.
Только на очень больше компании они редко наежают.Например их не любит Телия. у них смелости хватило послать их в жопу, но у них и колибр такой, что они сами кого угодно отключат.
> мораль: не рассылайте спам. и другим - не давайте это делать.Мораль: спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том чтобы спама было как можно больше - так больше народа на рэкет поведется.
так в ЭТОМ и был смысл написанного, внезапно.
не хотите поддерживать спамхауз - не спамьте.
а то и рыбку сесть и на хер сесть, извините мой французский.
> так в ЭТОМ и был смысл написанного, внезапно.
> не хотите поддерживать спамхауз - не спамьте.
> а то и рыбку сесть и на хер сесть, извините мой французский.это верно! НО. есть одно НО.
российский рынок спама это НИОЧЕМ.в АМЕРИКЕ это миллиарды $$$. Поэтому вся движуха там. Там же бизнас на спаме и бизнес на борьбе со спамом.
(также как бизнес вирусописателей и антивирусных компаний... кто на вирусах больше зарабатывает - большой вопрос)
>> мораль: не рассылайте спам. и другим - не давайте это делать.
> Мораль: спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том чтобы
> спама было как можно больше - так больше народа на рэкет
> поведется.это точно.
Но о том как спамхаус пытался закрыть стопхаус ходя легенды
http://stophaus.com/showthread.php?2663-STOPHAUS-against-SPA...
А к Apache претензий нет?
Они Spamassasin хостят!!! :) :) :) :) :) :) :) :)
спамхаус должен быть разрушен как Вавилон
> должен быть разрушен как ВавилонНазад, не туда! Разворачивай оглобли! На Карфаген -- во-о-о-он туда.
> спамхаус должен быть разрушен как ВавилонДля тупых? И еще тупее?
Спамхаус не прописывается сам в конфигах МТА?
Его туда самостоятельно вносят МИЛЛИОНЫ ПОЛЬЗОВАТЕЛЕЙ ?Разбить бы спамерам щи кирпичом.
>> спамхаус должен быть разрушен как Вавилондля этого надо свергнуть или подкосить то на чем они делают свой бизнес.
Без картинок как-то неубедительно…
нарисовать 16 болванок, падающих каждую секунду? :)))
> нарисовать 16 болванок, падающих каждую секунду? :)))Или два камаза болванок в день. Если не очень понятно - разгрузить их неудачнику в огород, так уж точно дойдет :)
В Ъ-стабильных системах не обновляются не только фичи, но и баги. Старый баг - лучше новых двух! Так победим!
>> В Ъ-стабильных системах не обновляются не только фичи, но и баги.Такими словами вы иллюстрируете сообщение «проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году»?
"Автоматическое обновление" - реальное зло. Достаточно большой шанс, после очередного обновления, превратить критичный работающий сервер в кирпич. Да, конечно, можно что-нить где-нить откатить, тока это время, которое клиенты будут курить бамбук, а для бизнеса это плохо. Поэтому, если все работает ровно - да и хай с ним.
А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с помощью фаера, ширину канала резать или еще как. Мало какой сервис будет нормально жить при таком Досе, и поэтому я думаю что виноватых нужно искать в первую очередь у себя, а то получилось что всему виной оказался какие-то Васи, не обновившие у себя систему. Звучит как кривое оправдание. Если так судить, то тогда, если представить, что это были не боты, а реальные клиенты - тогда получается что клиенты виноваты в том что сервисы загнулись. Сервис не должен падать от нагрузки, а если он у вас такой широкий канал не тянет - мля, сделайте его уже, либо выдавайте какую-нить статику типа "извнините, сервер перегружен" и не будет проблем. Каждый сам кузнец своего счастья и нечего показывать пальцем на других.
> А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с помощью фаераЭээ... вы можете фаерить как угодно, а у людей попроще коннект со скоростью 1 Тбит есть не всегда и когда им на вход летит 400 Гбит UDP трафика, до фаера оно всё даже не доходит.
Или имеется в виду, что фаерить в ваших интересах должен магистральный провайдер, у которого видимо есть какой-то договор с провайдером вашего провайдера? Good luck.
Вы не совсем понимаете суть процесса=)
Это не атака на исчерпание ресурсов серверов, с которой можно бороться файрволами. Сотни Гбод --- это атака на каналы. В дц может вообще не быть открыто нужных портов, но udp-трафик все равно идет, дропается и зафлуживает. Единственное, что поможет --- иметь внешний канал порядка Тбод.
Ну, тут некоторые любят говорить, что линух типа не венда, "поставил и забыл". Вот так вот оно потом и бывает. Причем я еще не видел ни одного гентушника, бздуна, слакварщика или хоть даже убунтуя, который бы считал западло обновляться, а вот среди поклонников шляпы или бебиана очень много дятлов, считающих, что чем тухлее, тем стабильнее и что обновления накатывать необязательно.
> Вот так вот оно потом и бывает.Если эти "специалисты" годами не закрывают известные дыры. Представьте какое раздолье малолетним хакерам. Странно что их только для DDOSa попользовали
>Странно что их только для DDOSa попользовалиПочему - "только"? Ах да, в новостях на опеннете не написали. Негодяи, фу такими быть.
> бебиана очень много дятлов, считающих, что чем тухлее, тем стабильнее и
> что обновления накатывать необязательно.Бывает, увы. Потом оказывается что т.к. это не дыра в собственной безопасности - незай флудит других, стабилизец важнее.
> А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с
> помощью фаера, ширину канала резать или еще как.Проблема в том что это не слишком большое число конектов а слишком дофига траффика в вашем канале. Вы его не просили, но он вам летит, потому что сети так работают.
> либо выдавайте какую-нить статику типа "извнините, сервер перегружен"
Вот только если некто добрый перегрузил вам канал - с отдачей статики тоже будут проблемы. Хотя-бы потому что пакеты от клиентов с запросом странички будут жестоко теряться наравне с пакетами флудерасов. В зависимости от соотношения толщины канала и мощности атаки качество сервиса может просесть вплоть до состояния "страница за 5 минут так и не загрузилась вообще". При том не важно статичная она там или где.
Тренируются пока
настолько жопа на корпоративных и даже федеральных онлайн-ресурса в NA, была, что и CERT и Европейские коллеги - начали ПРЕВЕНТИВНО расслать уведомление и настояние, с просьбой переконфигурировать NTP и DNS, причем нередко - по Abuse-каналам а то и через и-копов(если ресурс социальный/значимый был). что в общем-то - беспрецендентно. как и ущерб, потенциальный(о фактическом - пока отмалчиваются. но судя по суммам в поспешно(примерно в 8х разы быстрее обычного заключенных ИБ-контрактах, сразу после-неслабо тряхнуло их)
> заключенных ИБ-контрактах, сразу после-неслабо тряхнуло их)А ты посмотри коэффициент усиления атаки - так десяток мобил на ведроиде может нехило флудить целый датацентр.
там крупные контракторы минобороны, госдепа и цру - поотваливались )
и кластеры id и игровые, вместе с катакомбами DARPA )
что как бы намекает, бо они за весьма слоистом и "с запасом", сидели )
ну ты и писака...
Мой майнинг- Dwarfpool оказался в самом эпицентре атаки, как вебморда под клоудфларе, так и один из серверов пула у ovh.
Надо отдать обоим должное - траблы были недолго, а у клоудфларе задеты были только некоторые европейские регионы из его эникаста.
+ за cloudflare
Рекомендую посмотреть:http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-t...
DDoS-ить можно и при помощи Cisco, и Juniper...
и через ipmi модули supermicro:
> и через ipmi модули supermicro:Если IPMI наружу торчит, то потенциал участия в DDoS -- как бы не наименьшая из проблем владельца...
дык "наружу торчит" главная и неотключаемая(полностью, увы) "фича" IPMI :P
как и SMI, вэтраст, вэпро и всякие расширения перфакунтеров с кремнии )
> дык "наружу торчит" главная и неотключаемая(полностью, увы) "фича" IPMI :PЯ о том, что нечего dedicated IPMI LAN port тыкать в общий сегмент...
>> и через ipmi модули supermicro:
> Если IPMI наружу торчит, то потенциал участия в DDoS -- как бы
> не наименьшая из проблем владельца...Михаил, часто на дешевых машинах порт совмещен с первым контроллером, а хостинг провайдер не готов почему-то подать тегированный трафик на порт, или пользователь не готов его принять.
> Михаил, часто на дешевых машинах порт совмещен с первым контроллеромМожно переконфигурить на второй, если только это не что-то совсем кривое без нужных дорожек. Ну и если это не настолько дешёвая машинка, что речь об администрировании просто не идёт...
Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще в таком количестве?
> Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще
> в таком количестве?Затем что телепаты в отпуске и поэтому они не знают - запрошенный это траффик или не запрошенный.
"нетелепаты" обычно используют НОРМАЛЬНЫЕ файровыл для этого, не conntrack.
которые, сюрприз - МОГУТ это =)
Когда с магистрали льется трафик во всю ширину канала, чем тебе поможет "НОРМАЛЬНЫЕ файровыл", объясни?
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROPне ??
> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -j DROP
> не ??Вот с магистрали сыпется 400 гигабит мусора со всего мира, с кучи разных сетей. Сколько пролезло нужного трафика? А сколько не пролезло? Какой толк от файрвола, если до него нужный трафик не дошел?
ну да, передернуть тему обсуждения, когда "слились" остатки аргументов - так типично для Вас, мистер.
а по-существу - тем и поможет, что фарвол, Видящий ЧТО через него льется, на котором соотв можно и должно реализовать консистентное полиси на эту тему.
> а по-существу - тем и поможет, что фарвол, Видящий ЧТО через него
> льется, на котором соотв можно и должно реализовать консистентное полиси на
> эту тему.Файрволл конечно будет резать нежелательный трафик, но это никак не поможет, поскольку желательный трафик попросту не пришел из-за забитого канала провайдера, что непонятного?
Дано:
У пользователя порт 10 гигабит, и на порт 10 гигабит адресовано трафика на 400 гигабит, 95% которого мусор.
Задача: определить кол-во полезного трафика, который поступил на порт, если у провайдера best-effort.
:)
ntpdc -n -c monlist ntp.mipt.ru
до сих пор не добавили одну строчку в конфиг, даже после этой DDoS атаки...Подозреваю что если просканировать весб интернет таких найдется много.
> ntpdc -n -c monlist ntp.mipt.ru
> до сих пор не добавили одну строчку в конфиг, даже после этой
> DDoS атаки...
> Подозреваю что если просканировать весб интернет таких найдется много.включая ipv6 сегмент