URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 94024
[ Назад ]

Исходное сообщение
"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."

Отправлено opennews , 12-Фев-14 23:50 
Компания CloudFlare  зафиксировала (http://gigaom.com/2014/02/11/record-breaking-ddos-attack-str.../) одну из самых крупных DDoS-атак, поток трафика на систему жертвы при которой превысил отметку в 400 Гбит/с, что на 100  Гбит/с больше, чем в результате прошлогодней атаки (http://www.opennet.me/opennews/art.shtml?num=36525) на Spamhaus.org. Почти в тоже время c атакой с интенсивностью в 350 Гбит/с столкнулся (https://twitter.com/olesovhcom/status/433036769924116481) французский хостинг-оператор OVH.

Атаки были организованы с использованием техники (http://www.opennet.me/opennews/art.shtml?num=38855) усиления трафика через необновлённые NTP-серверы. Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и  уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.

URL: http://threatpost.com/ntp-amplification-blamed-for-400-gbps-...
Новость: http://www.opennet.me/opennews/art.shtml?num=39075


Содержание

Сообщения в этом обсуждении
"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено EuPhobos , 12-Фев-14 23:50 
> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.

Одни ленивые админы делают проблемы другим админам.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено pv47 , 12-Фев-14 23:55 
> ленивые

а как же известное "работает - не трожь"?


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 13-Фев-14 00:19 
>> ленивые
> а как же известное "работает - не трожь"?

Простите, но «уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими» — сообщают, что как раз НЕ работает! :)


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено ваноним , 13-Фев-14 01:13 
> сообщают, что как раз НЕ работает!

у вас очень идеализированное представление о бизнесе


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 10:02 
К сожалению, в умах многих одминов отношение "не тронь - не воняет" обладает свойством транзитивности, так что из него следует "не воняет - не тронь".

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Нанобот , 13-Фев-14 11:15 
> К сожалению, в умах многих одминов отношение "не тронь - не воняет"
> обладает свойством транзитивности, так что из него следует "не воняет -
> не тронь".

такое отношение называется "симметричность", а не "транзитивность".


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Demo , 13-Фев-14 14:05 

> такое отношение называется "симметричность", а не "транзитивность".

Скорее, коммутативность.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Нанобот , 13-Фев-14 11:14 
>а как же известное "работает - не трожь"?

по прежнему актуально. но кроме здравомыслящих админов ещё существуют админы-истерички, которые как раз и обновляют-переобновляют-патчат-исправляют-то-что-потом-отвалилось в бесконечном цикле. пожалейте их, убогих


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 13:40 
>>а как же известное "работает - не трожь"?
> по прежнему актуально. но кроме здравомыслящих админов ещё существуют админы-истерички,
> которые как раз и обновляют-переобновляют-патчат-исправляют-то-что-потом-отвалилось
> в бесконечном цикле. пожалейте их, убогих

Это лет 20 назад называлось "Синдром чрезмерного администрирования". И лечилось переводом в хелпдеск на пару месяцев.

Здесь чуть более, чем половина им страдает.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 15:47 
> а как же известное "работает - не трожь"?

Если это приводит к проблемам у других людей - гнать таких админов взашей, с волчьим билетом.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено XoRe , 15-Фев-14 20:33 
>> ленивые
> а как же известное "работает - не трожь"?

Здесь достаточно правильно указать смысл для слова "работает".
А вообще, тут хорошо подходит английский вариант, if it's not broken, don't fix it.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Demo , 13-Фев-14 14:11 
>> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.
> Одни ленивые админы делают проблемы другим админам.

На работе — да, можно и обновить, и то, после нагоняя от начальства за нереагирование на абузы. А дома — лениво. Хотя дома у меня OpenNTPd. Он не затронут этой фичей (не могу назвать ни багом, ни уязвимостью, ибо бай дизайн).


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 20:15 
А вот пример админов которых надо гнать с волчьим билетов. Так, чтобы сеть была чище и абузы не прилетали.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 21:25 
Кричали те кого даже в админы не пустили

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено svd , 14-Фев-14 04:43 
Дистрибутивы поставляют стабильные версии ntpd:
Tarballs Stable: 4.2.6p5 2011/12/24
Dev.: 4.2.7p421 2014/02/10
(с сайта http://www.ntp.org/)
Т.е.пока они сами не выпустят 4.2.8 Tarballs Stable ничего не изменится!

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено re , 15-Фев-14 01:40 
это не лень, а недостаток сути

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Perain , 12-Фев-14 23:57 
Давно пора спамхаус уничтожить

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 13-Фев-14 00:17 
Чего ради?

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено imprtat , 13-Фев-14 00:36 
А зачем нужны рэкетиры?

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 13-Фев-14 01:39 
И кого они рэкети?

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 15:59 
> А не всех, у кого чуют гнильцу?

Методы работы спамхауса метко описываются фразой "ядерный взрыв уничтожает вредителей сельского хозяйства на значительной территории". А потом еще и бабла выцыганивают за деактивацию территорий от радиоактивного заражения, заметьте.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 14-Фев-14 11:12 
Да вам, спамерам, ваще зубы плоскогубцами выдергивать нужно :)
А выкалывать глаза — шилом :)

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 16-Фев-14 06:48 
дык не спамьте :)
все кто-то заставляет ? )

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 15:48 
> И кого они рэкети?

А всех, кого угораздило туда попасть, с поводом и без. Обычное такое вымогательство.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 14-Фев-14 11:13 
>> И кого они рэкети?
> А всех, кого угораздило туда попасть, с поводом и без. Обычное такое
> вымогательство.

Не лги, грязный преступный спамер.
Растоптать бы сапогом твою харю....


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 03:28 
не было бы спаммеров - не было бы спамхауза.
не было бы спамхауза - не было бы рекета, ими.
мораль: не рассылайте спам. и другим - не давайте это делать.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Perain , 13-Фев-14 05:55 
Причем тут спам? Они банят целиком подсети Дата-Центров (AS) со всеми CIDR подсетями

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 13-Фев-14 06:04 
И ссылка есть? Брехня ведь?

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 07:17 
То что здесь не пойдёт? http://stophaus.com/forum.php

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено vvi , 13-Фев-14 13:49 
> И ссылка есть? Брехня ведь?

К сожалению не брехня. Лично сталкивался.
Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера, которая развёрнута в одном из крупных датацентров Москвы. И это при том, что комплейны были всего на пару десятков адресов.



"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 14-Фев-14 11:14 
>> И ссылка есть? Брехня ведь?
> К сожалению не брехня. Лично сталкивался.
> Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера,
> которая развёрнута в одном из крупных датацентров Москвы. И это при
> том, что комплейны были всего на пару десятков адресов.

И очень правильно сделали.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 15:54 
> И ссылка есть? Брехня ведь?

Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма мерзкая контора, которым хочется дать в бубен не меньше чем самим спамерам. Блеклистят все подряд по желанию левой пятки, а потом еще и деньги вымогают.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 14-Фев-14 11:16 
>> И ссылка есть? Брехня ведь?
> Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма
> мерзкая контора, которым хочется дать в бубен не меньше чем самим
> спамерам. Блеклистят все подряд по желанию левой пятки, а потом еще
> и деньги вымогают.

Блеклистит НЕ спамхауз.

Блеклистят АДМИНЫ ЛОКАЛЬНЫХ СИСТЕМ, которые не желают получать спам.

Недоступно пониманию?


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Юрий , 04-Мрт-14 02:02 
Блеклистят как раз пару человек из спамхаус-а.
Они уроды последние.

Кто не знает - спамхаус оффшорная контора из кучке старых пердунов которые отмывают деньги на американских спамерах. А всем вешают на уши информацию что они non-profit и т.д. и честно делают вид что занимаются благим делом.

Это единственная которая которая успешно всем промывает мозг до сих пор, т.к. получает бабки (вымогает) с американских провайдеров которым навязала свой сервис.

В европе ее по факту никто не использует. Только глупые юзеры.
Все крупные почтовики ее не используют.

читайте больше про ее методы на сайте http://stophaus.com
и еще какой-то блог был в сети http://stopspamhaus.com и на хабре статься.
ссылки есть на сайтах.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Perain , 13-Фев-14 20:07 
Цитирую Товарищ Капитан:

Спамхаус не имеет отношения ни к закону, ни к здравому смыслу. Именно поэтому его судят и поделом ему.

Прежде чем ему аплодировать или скидываться по рублю для "выживания бедной компании", хорошо бы ясно представлять, чем она занимается.

Так вот, чёрные списки IP бывают двух основных видов:

а) технические. Это когда хозяева списка ведут учёт рассылок: в чёрный список добавляются источники спама. Разослали с данного IP спам - включаем в список. Такие списки полезны, хотя тоже не без проблем - ибо сейчас есть ботнеты из сотен тысяч зомби-машин, хозяева которых не знают, что с них идёт спам.

б) политические. Это когда хозяева списка отважно "борются со спамом" своим лазерным мечом. Тогда в чёрный список добавляются не только источники, но и те сайты, которые якобы рекламируются спамом, а также часто - те сайты, где высказываются одобрительно о спаме ИЛИ - внимание - неодобрительно о данных борцах со спамом.

В результате создаётся широкое поле для подстав или просто нелепых блокировок целых регионов или больших провайдеров. Иногда спамеры для убедительности ссылаются на какую-нибудь новость в теле письма - и пожалуйста, чёрный список блокирует СМИ, на которое сослались.
А вынуть свои IP из списка обычно крайне непросто. Хозяева списков часто просто одержимы своим мессианством и крайне надменны.

Так вот Спамхаус - политический список, и от этого все его проблемы. Политика определяется розой втров в голове владельцев, и она в основном такая: "убивай всех, Бог разберётся, кто праведник, а кто грешник".

Они неоднократно высказывались в том смысле, что заблеклистить чего лишнего - не страшно, ибо в любом случае привлекает внимание к проблеме спама и понижает толерантность к спаму. То есть ложные тревоги их не пугают.

Это из-за Спамхауса, и из-за таких как он, в России теряется много легитимной почты, потому что неопытные, глупые или ленивые сисадмины подписывают свои почтовые сервера на этот политический чёрный список. А есть более разумные провайдеры чёрных списков и хорошие спам-фильтры со своими чёрными списками.

Спамхаус регулярно блеклистит Россиию тысячами и десятками тысяч адресов. Бывали случаи, когда такие "политические" чёрные списки блокировали всю Россию целиком. А что - варварская страна, по-английски даже не говорит, ясно, что там одни спамеры.

РТКОММ (Ростелеком) сидел в Спамхаусе годами, поскольку клиент клиента его клиента якобы что-то там разослал ИЛИ якобы был отрекламирован спамом. А РТКОММ, видите ли, не снёс сайт немедленно, без разбору, по свистку из Спамхауса, наплевав на договор и т.п. Бывало, что блокировали целыми блоками, по 65 тысяч адресов. Сейчас в РТКОММе вроде научились их уговаривать.

Но точно такие же проблемы у кучи более мелких провайдеров. Просто за невежливое письмо могут никогда не вынуть из списка.
Наша компания также постоянно попадает под раздачу. Нас спамеры нарочно подставляли несколько раз, рассылая спам от нашего имени, перед нашей антиспам-конференцией. Технический список в таких случаях никогда не добавит IP в базу, а спамхаусы - с дорогой душой.

В общем, Спамхаус давно пора закрыть, а сисадминам перестать на него подписываться. Всем честным людям мира станет легче, поскольку Спамхаус не сильно лучше спама.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 22:41 
про РТК- да не, Ростелекому - проще дропать таких "клиентов" научиться.
чем вестись на их попытки - заставить плясать под их дудку, других, против спамхауза.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено mailadmin , 04-Мрт-14 02:13 
> про РТК- да не, Ростелекому - проще дропать таких "клиентов" научиться.
> чем вестись на их попытки - заставить плясать под их дудку, других,
> против спамхауза.

Есть порядок утвержденный МИНСВЯЗью.
все остальное в топку.

это как бандитам дань платить - это то что делают провайдеры сейчас теряя клиентов из за требований старого параноика-идиота http://stophaus.com/forumdisplay.php?20-SR01-Stephen-Linford

удивяюсь как его еще не убили американские спамщики.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено nuclearcat , 14-Фев-14 16:11 
Кого колышат контракты РТКомм и российское законодательство вообще?
Так можно до пришествия отмазываться контрактами, законами и прочими "ну вы понимаете".
А спам будет идти.
Поэтому сейчас хостеры боятся спамхауса как огня, и пишут в контракте - не делайте ничего, что внесет нас в спамхаус, отключим мгновенно. И правильно, ибо эти уродцы будут отмазываться до последнего, им копейка своего клиента ближе, чем проблемы со спамом у других людей.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено mailadmin , 04-Мрт-14 02:18 
> Кого колышат контракты РТКомм и российское законодательство вообще?
> Так можно до пришествия отмазываться контрактами, законами и прочими "ну вы понимаете".
> А спам будет идти.
> Поэтому сейчас хостеры боятся спамхауса как огня, и пишут в контракте -
> не делайте ничего, что внесет нас в спамхаус, отключим мгновенно. И
> правильно, ибо эти уродцы будут отмазываться до последнего, им копейка своего
> клиента ближе, чем проблемы со спамом у других людей.

Хостеры бояться. им деваться некуда.
Только на очень больше компании они редко наежают.

Например их не любит Телия. у них смелости хватило послать их в жопу, но у них и колибр такой, что они сами кого угодно отключат.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 15:49 
> мораль: не рассылайте спам. и другим - не давайте это делать.

Мораль: спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том чтобы спама было как можно больше - так больше народа на рэкет поведется.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 22:42 
так в ЭТОМ и был смысл написанного, внезапно.
не хотите поддерживать спамхауз - не спамьте.
а то и рыбку сесть и на хер сесть, извините мой французский.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено mailadmin , 04-Мрт-14 02:20 
> так в ЭТОМ и был смысл написанного, внезапно.
> не хотите поддерживать спамхауз - не спамьте.
> а то и рыбку сесть и на хер сесть, извините мой французский.

это верно! НО. есть одно НО.
российский рынок спама это НИОЧЕМ.

в АМЕРИКЕ это миллиарды $$$. Поэтому вся движуха там. Там же бизнас на спаме и бизнес на борьбе со спамом.

(также как бизнес вирусописателей и антивирусных компаний... кто на вирусах больше зарабатывает - большой вопрос)


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено mailadmin , 04-Мрт-14 02:17 
>> мораль: не рассылайте спам. и другим - не давайте это делать.
> Мораль: спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том чтобы
> спама было как можно больше - так больше народа на рэкет
> поведется.

это точно.

Но о том как спамхаус пытался закрыть стопхаус ходя легенды
http://stophaus.com/showthread.php?2663-STOPHAUS-against-SPA...


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 14-Фев-14 11:22 
А к Apache претензий нет?
Они Spamassasin хостят!!! :) :) :) :) :) :) :) :)


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Этот самый Анонимус , 13-Фев-14 04:18 
спамхаус должен быть разрушен как Вавилон

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 06:50 
> должен быть разрушен как Вавилон

Назад, не туда! Разворачивай оглобли! На Карфаген -- во-о-о-он туда.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 14-Фев-14 11:24 
> спамхаус должен быть разрушен как Вавилон

Для тупых? И еще тупее?
Спамхаус не прописывается сам в конфигах МТА?
Его туда самостоятельно вносят МИЛЛИОНЫ ПОЛЬЗОВАТЕЛЕЙ ?

Разбить бы спамерам щи кирпичом.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Юрий , 04-Мрт-14 02:07 
>> спамхаус должен быть разрушен как Вавилон

для этого надо свергнуть или подкосить то на чем они делают свой бизнес.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 00:56 
Без картинок как-то неубедительно…

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено xex , 13-Фев-14 01:29 
нарисовать 16 болванок, падающих каждую секунду? :)))

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 16:17 
> нарисовать 16 болванок, падающих каждую секунду? :)))

Или два камаза болванок в день. Если не очень понятно - разгрузить их неудачнику в огород, так уж точно дойдет :)


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 01:22 
В Ъ-стабильных системах не обновляются не только фичи, но и баги. Старый баг - лучше новых двух! Так победим!

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Добрый доктор , 13-Фев-14 01:42 
>> В Ъ-стабильных системах не обновляются не только фичи, но и баги.

Такими словами вы иллюстрируете сообщение «проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году»?


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено SAF0001 , 13-Фев-14 03:01 
"Автоматическое обновление" - реальное зло. Достаточно большой шанс, после очередного обновления, превратить критичный работающий сервер в кирпич. Да, конечно, можно что-нить где-нить откатить, тока это время, которое клиенты будут курить бамбук, а для бизнеса это плохо. Поэтому, если все работает ровно - да и хай с ним.
А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с помощью фаера, ширину канала резать или еще как. Мало какой сервис будет нормально жить при таком Досе, и поэтому я думаю что виноватых нужно искать в первую очередь у себя, а то получилось что всему виной оказался какие-то Васи, не обновившие у себя систему. Звучит как кривое оправдание. Если так судить, то тогда, если представить, что это были не боты, а реальные клиенты - тогда получается что клиенты виноваты в том что сервисы загнулись. Сервис не должен падать от нагрузки, а если он у вас такой широкий канал не тянет - мля, сделайте его уже, либо выдавайте какую-нить статику типа "извнините, сервер перегружен" и не будет проблем. Каждый сам кузнец своего счастья и нечего показывать пальцем на других.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Eugene Ryabtsev , 13-Фев-14 08:34 
> А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с помощью фаера

Эээ... вы можете фаерить как угодно, а у людей попроще коннект со скоростью 1 Тбит есть не всегда и когда им на вход летит 400 Гбит UDP трафика, до фаера оно всё даже не доходит.

Или имеется в виду, что фаерить в ваших интересах должен магистральный провайдер, у которого видимо есть какой-то договор с провайдером вашего провайдера? Good luck.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено uk , 13-Фев-14 08:42 
Вы не совсем понимаете суть процесса=)
Это не атака на исчерпание ресурсов серверов, с которой можно бороться файрволами. Сотни Гбод --- это атака на каналы. В дц может вообще не быть открыто нужных портов, но udp-трафик все равно идет, дропается и зафлуживает. Единственное, что поможет --- иметь внешний канал порядка Тбод.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 09:04 
Ну, тут некоторые любят говорить, что линух типа не венда, "поставил и забыл". Вот так вот оно потом и бывает. Причем я еще не видел ни одного гентушника, бздуна, слакварщика или хоть даже убунтуя, который бы считал западло обновляться, а вот среди поклонников шляпы или бебиана очень много дятлов, считающих, что чем тухлее, тем стабильнее и что обновления накатывать необязательно.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено milkman , 13-Фев-14 10:31 
> Вот так вот оно потом и бывает.

Если эти "специалисты" годами не закрывают известные дыры. Представьте какое раздолье малолетним хакерам. Странно что их только для DDOSa попользовали


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 14:26 
>Странно что их только для DDOSa попользовали

Почему - "только"? Ах да, в новостях на опеннете не написали. Негодяи, фу такими быть.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 15:51 
> бебиана очень много дятлов, считающих, что чем тухлее, тем стабильнее и
> что обновления накатывать необязательно.

Бывает, увы. Потом оказывается что т.к. это не дыра в собственной безопасности - незай флудит других, стабилизец важнее.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 16:22 
> А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с
> помощью фаера, ширину канала резать или еще как.

Проблема в том что это не слишком большое число конектов а слишком дофига траффика в вашем канале. Вы его не просили, но он вам летит, потому что сети так работают.

> либо выдавайте какую-нить статику типа "извнините, сервер перегружен"

Вот только если некто добрый перегрузил вам канал - с отдачей статики тоже будут проблемы. Хотя-бы потому что пакеты от клиентов с запросом странички будут жестоко теряться наравне с пакетами флудерасов. В зависимости от соотношения толщины канала и мощности атаки качество сервиса может просесть вплоть до состояния "страница за 5 минут так и не загрузилась вообще". При том не важно статичная она там или где.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 01:52 
Тренируются пока

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 03:31 
настолько жопа на корпоративных и даже федеральных онлайн-ресурса в NA, была, что и CERT и Европейские коллеги - начали ПРЕВЕНТИВНО расслать уведомление и настояние, с просьбой переконфигурировать NTP и DNS, причем нередко - по Abuse-каналам а то и через и-копов(если ресурс социальный/значимый был). что в общем-то - беспрецендентно. как и ущерб, потенциальный(о фактическом - пока отмалчиваются. но судя по суммам в поспешно(примерно в 8х разы быстрее обычного заключенных ИБ-контрактах, сразу после-неслабо тряхнуло их)

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 16:23 
> заключенных ИБ-контрактах, сразу после-неслабо тряхнуло их)

А ты посмотри коэффициент усиления атаки - так десяток мобил на ведроиде может нехило флудить целый датацентр.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 22:44 
там крупные контракторы минобороны, госдепа и цру - поотваливались )
и кластеры id и игровые, вместе с катакомбами DARPA )
что как бы намекает, бо они за весьма слоистом и "с запасом", сидели )

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 17-Фев-14 17:10 
ну ты и писака...

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено DwarfPool , 13-Фев-14 03:47 
Мой майнинг- Dwarfpool оказался в самом эпицентре атаки, как вебморда под клоудфларе, так и один из серверов пула у ovh.
Надо отдать обоим должное - траблы были недолго, а у клоудфларе задеты были только некоторые европейские регионы из его эникаста.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено undead , 13-Фев-14 05:01 
+ за cloudflare

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 11:45 
Рекомендую посмотреть:

http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-t...

DDoS-ить можно и при помощи Cisco, и Juniper...


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено anonymous , 13-Фев-14 12:00 
и через ipmi модули supermicro:

http://www.supermicro.com/support/faqs/faq.cfm?faq=17908


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Michael Shigorin , 13-Фев-14 20:01 
> и через ipmi модули supermicro:

Если IPMI наружу торчит, то потенциал участия в DDoS -- как бы не наименьшая из проблем владельца...


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 22:45 
дык "наружу торчит" главная и неотключаемая(полностью, увы) "фича" IPMI :P
как и SMI, вэтраст, вэпро и всякие расширения перфакунтеров с кремнии )

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Michael Shigorin , 15-Фев-14 21:54 
> дык "наружу торчит" главная и неотключаемая(полностью, увы) "фича" IPMI :P

Я о том, что нечего dedicated IPMI LAN port тыкать в общий сегмент...


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Forth , 16-Фев-14 00:30 
>> и через ipmi модули supermicro:
> Если IPMI наружу торчит, то потенциал участия в DDoS -- как бы
> не наименьшая из проблем владельца...

Михаил, часто на дешевых машинах порт совмещен с первым контроллером, а хостинг провайдер не готов почему-то подать тегированный трафик на порт, или пользователь не готов его принять.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Michael Shigorin , 17-Фев-14 01:56 
> Михаил, часто на дешевых машинах порт совмещен с первым контроллером

Можно переконфигурить на второй, если только это не что-то совсем кривое без нужных дорожек.  Ну и если это не настолько дешёвая машинка, что речь об администрировании просто не идёт...


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 14:06 
Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще в таком количестве?

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 16:16 
> Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще
> в таком количестве?

Затем что телепаты в отпуске и поэтому они не знают - запрошенный это траффик или не запрошенный.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 13-Фев-14 22:46 
"нетелепаты" обычно используют НОРМАЛЬНЫЕ файровыл для этого, не conntrack.
которые, сюрприз - МОГУТ это =)

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Forth , 14-Фев-14 11:53 
Когда с магистрали льется трафик во всю ширину канала, чем тебе поможет "НОРМАЛЬНЫЕ файровыл", объясни?

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено AS , 14-Фев-14 14:40 
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP

не ??


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Forth , 14-Фев-14 15:09 
> iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -j DROP
> не ??

Вот с магистрали сыпется 400 гигабит мусора со всего мира, с кучи разных сетей. Сколько пролезло нужного трафика? А сколько не пролезло? Какой толк от файрвола, если до него нужный трафик не дошел?


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Аноним , 16-Фев-14 06:51 
ну да, передернуть тему обсуждения, когда "слились" остатки аргументов - так типично для Вас, мистер.
а по-существу - тем и поможет, что фарвол, Видящий ЧТО через него льется, на котором соотв можно и должно реализовать консистентное полиси на эту тему.

"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Forth , 17-Фев-14 09:16 
> а по-существу - тем и поможет, что фарвол, Видящий ЧТО через него
> льется, на котором соотв можно и должно реализовать консистентное полиси на
> эту тему.

Файрволл конечно будет резать нежелательный трафик, но это никак не поможет, поскольку желательный трафик попросту не пришел из-за забитого канала провайдера, что непонятного?
Дано:
У пользователя порт 10 гигабит, и на порт 10 гигабит адресовано трафика на 400 гигабит, 95% которого мусор.
Задача: определить кол-во полезного трафика, который поступил на порт, если у провайдера best-effort.
:)


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Anton , 14-Фев-14 21:27 
ntpdc -n -c monlist ntp.mipt.ru
до сих пор не добавили одну строчку в конфиг, даже после этой DDoS атаки...

Подозреваю что если просканировать весб интернет таких найдется много.


"Зафиксирована рекордная DDoS-атака с интенсивностью трафика ..."
Отправлено Perain , 16-Фев-14 16:51 
> ntpdc -n -c monlist ntp.mipt.ru
> до сих пор не добавили одну строчку в конфиг, даже после этой
> DDoS атаки...
> Подозреваю что если просканировать весб интернет таких найдется много.

включая ipv6 сегмент