URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 94088
[ Назад ]

Исходное сообщение
"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."

Отправлено opennews , 14-Фев-14 17:51 
Опубликованы (http://blog.cloudflare.com/technical-details-behind-a-400gbp...) подробности, зафиксированные в процессе блокирования DDoS-атаки (http://www.opennet.me/opennews/art.shtml?num=39075), в результате которой на систему жертвы был направлен поток в 400 Гбит/с.
Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529  уязвимых NTP-серверов, размещённых в 1298 различных сетях (https://docs.google.com/spreadsheet/ccc?key=0AhuvvqAkGlindHF...). В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке (http://www.opennet.me/opennews/art.shtml?num=36525) на Spamhaus было  задействовано 30956  открытых DNS-резолверов.

Примечательно, что теоретически, так как NTP позволяет усилить (http://www.opennet.me/opennews/art.shtml?num=38855) трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающей спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.


URL: http://blog.cloudflare.com/technical-details-behind-a-400gbp...
Новость: http://www.opennet.me/opennews/art.shtml?num=39089


Содержание

Сообщения в этом обсуждении
"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Нанобот , 14-Фев-14 19:00 
по одной ссылке написано, что увеличение в 206 раз, по другой - что в 556.9 раз...

а насчёт snmp вообще непонятно, откуда информация


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено linux must _RIP__ , 14-Фев-14 19:38 
а при помощи dns sec можно получить тоже не слабое усиление.. что-то в районе 2-3кб ответа в ответ на < 100 байт запрос..

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 19:47 
3кб на 100б - это усиление в x30 раз.
По сравнению с x200 и x600, о которых идет речь - это ерунда.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 21:39 
Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30 Гбит - тогда расскажешь как тебе такая "ерунда".

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 15-Фев-14 16:33 
> Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30
> Гбит - тогда расскажешь как тебе такая "ерунда".

Проблема с DNS тоже решаема с помощью Response Rate Limiting.

http://www.opennet.me/opennews/art.shtml?num=37962
Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак

http://www.opennet.me/opennews/art.shtml?num=38304
Релиз DNS-сервера NSD 4.0
...
Поддержка технологии RRL (Response Rate Limiting) для ограничения интенсивности отправки ответов в привязке к адресу получателя (ограничения действуют только на исходящие запросы и не влияют на входящие). RRL является одним из способов противодействия использования DNS-сервера в качестве усилителя в DDoS-атаках;


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено имя , 14-Фев-14 19:47 
> для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт

Что-что, простите?


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 19:48 
>> для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт
> Что-что, простите?

Именно так. Попробуйте прочитай новость и понять ее смысл, а не бежать комментировать.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено имя , 14-Фев-14 19:54 
И как эти 200 Гбит пролезут в гигабитный порт, по-вашему?

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено AlexAT , 14-Фев-14 20:11 
В гигабитный порт пролезет гигабит запросов. А "усиляющие" серверы NTP/DNS/whatever дадут 200 гигабит ответов в сторону жертвы. Контроль над ними не требуется. Это ДОТ.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 19:52 
Все это очень занимательно, но не надо забывать и про суть: "спецы" CloudFlare, "гарантировавшие" "абсолютную" защиту от DoS-атак, феерично лажанулись и теперь пытаются свести такую атаку к "неодолимой силе".
А раз сила неодолимая и все равно никто ни за что не отвечает - нафиг нужна CloudFlare?

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено AlexAT , 14-Фев-14 20:13 
> нафиг нужна CloudFlare?

Боюсь, что именно так - и антидосеры сами по себе даже уже не интересны, тут скорее фатальнее то, что ложатся магистрали по пути к жертве... Причем победить заразу практически никак, разве что разом устранить дыры во всех серверах на планете.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 21:47 
> к жертве... Причем победить заразу практически никак, разве что разом устранить
> дыры во всех серверах на планете.

При 4500 серверов в атаке таки достаточно реально просто нанять человека который разошлет 4500 абуз и будет иметь мозг причастным пока они не сдадутся.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 22:48 
Абузы рассылаются. Не помогает. Пока-то до админа дойдет, пока согласуется. Немало железок выставленных голой жопой в мир или пропсаны в DMZ-хост (например, старенькие видеорегистраторы с древней прошивкой). Блокировали, по возможности, на уровне провайдера - так оперативнее. Но, в любом случае, такие абузы - не панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 22:51 
> Абузы рассылаются. Не помогает.

Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик за то что с него ддос идет - сразу вылетит гора кирпичей и побежит чинить, как миленький.

> - так оперативнее. Но, в любом случае, такие абузы - не
> панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают.

Тогда просто отрубить им канал. Или если плохо доходит - развернуть атаку в их сторону, может так быстрее дойдет. Не до них так до их провайдера хотя-бы.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 02:29 
>> Абузы рассылаются. Не помогает.
> Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик
> за то что с него ддос идет - сразу вылетит гора
> кирпичей и побежит чинить, как миленький.

Так можно пол-интернета уронить. Роскомнадзор за такое орден даст.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 02:46 
дык если ничего не делать - можно уровнить Весь.
даже Роскомнадзор - обрыдается.
да что там, даже талибан и каннибалы с острова Бали - пойдут сдаваться в Интерпол.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 04:34 
> Так можно пол-интернета уронить. Роскомнадзор за такое орден даст.

Можно. И если вы еще не заметили - вообще-то уже падает. Детишки нашли спички. Вот я за то чтобы таки доабузить до состояния когда это привлечет внимание настолько что это более-менее починят.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено AlexAT , 15-Фев-14 08:58 
Вот сразу видно, что человек с операторским бизнесом слегка не знаком. Точечные отрубания NTP/DNS/... еще возможны, но вот отрубание канала - почти 100% потеря клиента, особенно если клиент не 100% технически вменяем (а таких абсолютное и подавляющее большинство).

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 16:42 
Да бывают такие "отрубатели". Особенно среди админов локалхоста.
Далеко не всегда есть возможность даже сослаться на вредоносную деятельность. А в некоторых случаях в договоре вообще отсутствует какое-либо ограничение на использование канала и провайдер, без решения суда вообще не в праве что-либо "обрубать", а за "технические неисправности" неустойку платить придется такую, что дешевле будет в авральном порядке апгрейдить провайдерскую сеть.
Абузик от какой-то там ddos-response@nfoservers.com - вообще филькина грамота и юридической силы не имеет в наших краях.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 15-Фев-14 16:48 
> Далеко не всегда есть возможность даже сослаться на вредоносную деятельность. А в
> некоторых случаях в договоре вообще отсутствует какое-либо ограничение на использование
> канала и провайдер, без решения суда вообще не в праве что-либо
> "обрубать", а за "технические неисправности" неустойку платить придется такую, что дешевле
> будет в авральном порядке апгрейдить провайдерскую сеть.
> Абузик от какой-то там ddos-response@nfoservers.com - вообще филькина грамота и юридической
> силы не имеет в наших краях.

какой смысл провайдеру делать возможным IP address spoofing?

чтобы потом "в авральном порядке апгрейдить провайдерскую сеть", выбрасывая деньги на ветер?


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 17:50 
Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента).

А вообще - в данной новости разговор идет не о тех хостах, которые использовали спуф, а о тех, которые имели у себя дырявые NTP и там даже при полной защите acl, ip source binding и прочих L2<->L3 защитах ничего не спасает в связи с полной легитимностью подобного трафика на этих уровнях


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 15-Фев-14 18:04 
> Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами
> в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему
> выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента).

Защита от спуфа не на входящем, а на исходящем трафике. Например, захотел клиент
себе /27 - получил /27. Только вот провайдер очень легко может настроить роутер так,
что от этого клиента будут приниматься пакеты только из выделенной ему /27 подсети,
а все остальное будет дропаться прямо на маршрутизаторе.

Аналогично и все остальные клиенты - они имеют право
отправлять трафик в сеть только со своего IP. Кому это мешает?

BGP - это между автономными системами, разговор как раз о том,
чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать спуф.

> А вообще - в данной новости разговор идет не о тех хостах,
> которые использовали спуф,

Именно о них и идет речь в первую очередь. Если бы не было возможности использовать спуф -
такая DDoS-атака в 400 Гбит/с была бы просто теоретически и практически невозможной.

> а о тех, которые имели у себя дырявые NTP
> и там даже при полной защите acl, ip source binding
> и прочих L2<->L3 защитах ничего не спасает в связи с полной
> легитимностью подобного трафика на этих уровнях

Криво настроенные NTP - это уже вторичная причина.
вместо NTP могут использовать DNS, SNMP и десятки других протоколов.

Первопричина проблем - это именно IP Source Address Spoofing.

Средство решения этой проблем:

https://tools.ietf.org/html/bcp38

https://tools.ietf.org/html/bcp84

Надо внедрять, других способов нет.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 18:14 
> BGP - это между автономными системами, разговор как раз о том,
> чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
> Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать
> спуф.

Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку даже один провайдер, поленившийся внедрить - ставит под удар всю сеть.

> Надо внедрять, других способов нет.

Никто и не спорит. Это вообще бай-дезайн уязвимость подавляющего числа реализаций протокола.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 15-Фев-14 18:24 
>> BGP - это между автономными системами, разговор как раз о том,
>> чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
>> Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать
>> спуф.
> Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку
> даже один провайдер, поленившийся внедрить - ставит под удар всю сеть.

Сейчас - это делают уже более 75% провайдеров. И они не считают, что это бесполезно.

Будет 100% внедрение и про DDoS-атаки этого типа будем вспоминать как про вирус Морриса.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 16-Фев-14 15:59 
> Сейчас - это делают уже более 75% провайдеров.

Проблема только в том что хватит и 25%. И даже 5%. И дожать всех врядли получится.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 16-Фев-14 18:40 
>> Сейчас - это делают уже более 75% провайдеров.
> Проблема только в том что хватит и 25%. И даже 5%.

Как есть разница между 100% уязвимых сетей и 25% уязвимых сетей,
так и есть разница между 25% уязвимых сетей и 5% уязвимых сетей.

> И дожать всех врядли получится.

Возможно. Но всеравно к этому надо стремиться.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 04:57 
> Боюсь, что именно так - и антидосеры сами по себе даже уже
> не интересны, тут скорее фатальнее то, что ложатся магистрали по пути к жертве...

По логике вещей у "защитника" может быть дофига серверов по всей планете. Вместо защищаемого сервера внешнему миру подсовывается инфраструктура "защитника", а уже потом, после фильтрации оно отправляет трафф на защищаемый сервер. И вот это, распределенное и могучее, вполне может сдюжить в сумме и 400Гбит. А в магистральные каналы жертвы это не полетит. Осев на фильтрах "защитника". Покуда суммарной емкости каналов по всем ДЦ и прочая у защитника хватает - клиент может достаточно успешно работать в условиях ддоса. На самом деле логичная и красивая идея: на распределенную атаку логично отвечать распределенной системой защиты, которая имеет реальные шансы прожевать такой поток.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено AlexAT , 15-Фев-14 09:00 
А так оно у cloudflare и есть - они распределенные. Хитрость последних атак в том, что пролегли некоторые каналы на пути от атакующих серверов до их инфраструктуры :) Т.е. атака уже толком даже не на клиента или cloudflare, а на саму инфраструктуру доставки трафика до оных. В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 16-Фев-14 16:00 
> В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.

Знаешь, при этом не только доступность cloudflare оказалась нарушенной.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено AlexAT , 16-Фев-14 17:37 
> Знаешь, при этом не только доступность cloudflare оказалась нарушенной.

А атакующим, знаешь, наплевать. Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 16-Фев-14 18:44 
>> Знаешь, при этом не только доступность cloudflare оказалась нарушенной.
> А атакующим, знаешь, наплевать.
> Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.

Не факт. DDoS-атака на сайт могла быть вызвана конкурентами, владельцами другого сайта.
Если они положат в результате всю сеть - они не только сайту конкурента навредят,
но и своему собственному тоже. Тогда получится что они за-DDoS-или свой собственный
сайт, если их сайт в результате такой атаки на сайт конкурента станет не доступен.
Это будет Пиррова победа. Кому такое надо?

Или те кто делает DDoS-атаки - это луддиты, которые хотят уничтожить весь интернет полностью?


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 14-Фев-14 20:48 
> "спецы" CloudFlare, "гарантировавшие" "абсолютную" защиту от DoS-атак

где и когда они такое гарантировали?

> А раз сила неодолимая и все равно никто ни за что не
> отвечает - нафиг нужна CloudFlare?

99% защита - это лучше, чем 0% защита.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено AlexAT , 14-Фев-14 20:55 
В данном случае, увы, получается уже 0% защита. По сути приходится иметь дело с трафиком непреодолимой силы. 400 Гбит - это только начало экспериментов.



"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 14-Фев-14 21:02 
> В данном случае, увы, получается уже 0% защита. По сути приходится иметь
> дело с трафиком непреодолимой силы. 400 Гбит - это только начало
> экспериментов.

0% защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит.

Доля таких атак - меньше 0.00001%, так что в целом защита CloudFlare - это больше 99.9%.

P.S.

In theory, there is no difference between theory and practice. But, in practice, there is.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 21:04 
> 0% защита - это только на сегодняшний день и только от ддос-атак
> на 400 Гбит.
> Доля таких атак - меньше 0.00001%, так что в целом защита CloudFlare
> - это больше 99.9%.

Сейчас - да. Но после того, как CloudFlare публично слились, а технология опубликована - таких атак будет 99%.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 14-Фев-14 21:37 
>> 0% защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит.
>> Доля таких атак - меньше 0.00001%, так что в целом защита CloudFlare
>> - это больше 99.9%.
> Сейчас - да. Но после того, как CloudFlare публично слились,

Что значит "публично слились" ? У них в блоге написано "On Monday we mitigated a large DDoS that targeted one of our customers". То есть сайт клиента продолжал работать.

> а технология опубликована

Потому что "Security through obscurity" - это всеравно что прятать голову в песок.
Те, кто атакует сайты - и так уже знают про эту возможность, и умеют ей пользоваться.

> - таких атак будет 99%.

Количество криво настроенных NTP серверов может быть при желании сведено к нулю.

Кроме того, "If you're running a network then you should ensure that you are following BCP38 and preventing packets with spoofed source addresses from leaving your network"
- это даст защиту от очень большого количества DDoS-атак разных типов:

NTP and all other UDP-based amplification attacks rely on source IP address spoofing.

Так что не надо драматизировать, все будет хорошо.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено 55039 , 15-Фев-14 11:16 
Проблема не только в протоколе. Операторов не проверяющих соср адрес своих клиентов быть не должно.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 15-Фев-14 16:29 
> Проблема не только в протоколе. Операторов не проверяющих соср адрес своих клиентов
> быть не должно.

Кстати, сейчас в мире осталось всего 24.6% сетей, которые позволяют IP Spoofing.

Подробности - 14 слад из презентации внутри страницы
http://blog.cloudflare.com/understanding-and-mitigating-ntp-...


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 21:56 
> 0% защита - это только на сегодняшний день и только от ддос-атак
> на 400 Гбит.

Подсказка для йуных пЫонеров "как сделать ддос на 400 гбит у себя на кухне". Берем несколько серваков с жирным каналом, гигабита хватит. Можно несколько по 100мбит, тоже хватит. Для начала пускаем с них zmap и сканим весь IPv4 на NTP сервера. Этот чудный инструментец за несколько часов соберет полный список NTP по всему IPv4, просто перебрав его втупую. Далее пишем какой-нибудь простой тул который проверит умеют ли сервера отвечать нужным пакетом. После этого образуется чудный списочек усилителей траффика. Ну а дальше остается только отсылать им трафф и слушать грохот паке^W кирпичей.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 14-Фев-14 22:03 
> "как сделать ддос на 400 гбит у себя на кухне".
> Берем несколько серваков с жирным каналом, гигабита хватит. Можно
> несколько по 100мбит, тоже хватит. Для начала пускаем с них zmap
> и сканим весь IPv4 на NTP сервера. Этот чудный инструментец за
> несколько часов соберет полный список NTP по всему IPv4, просто перебрав
> его втупую.

Это приведет только к тому, что количество криво настроенных NTP-серверов очень быстро
начнет стремиться к нулю. А то и вообще позакрывают дырки с source IP address spoofing.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 22:33 
> начнет стремиться к нулю. А то и вообще позакрывают дырки с source
> IP address spoofing.

А вы думаете что я очень хочу видеть юных пЫонеров с 400Гбит ддосами? Просто клин клином вышибают - в данном случае для осознания проблемы необходим ее массовый абуз с максимально разрушительными последствиями. Вот тогда начнут чесаться :).


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 21:03 
> где и когда они такое гарантировали?

Это их специализация, вообще-то.

> 99% защита - это лучше, чем 0% защита.

Да. Но тут речь идет о 1% защите за кучу бабок.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 14-Фев-14 21:46 
>> где и когда они такое гарантировали?
> Это их специализация, вообще-то.

https://www.cloudflare.com/business
действительно, здесь написано про 100% uptime guarantee.

>> 99% защита - это лучше, чем 0% защита.
> Да. Но тут речь идет о 1% защите за кучу бабок.

Здесь речь идет о 100% гарантии за 200 USD / месяц.
Это не так уж и много, по сравнению с другими аналогичными решениями.

Откуда Вы взяли цифру 1% защиты?

CloudFlare использует технологию IP anycast, так что DDoS-атака приходит
не на один сервер, а распределяется среди всех 24 ихних датацентров:
https://www.cloudflare.com/network-map - они и больше чем 400 Гбит/с могут выдержать.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 02:21 
> Откуда Вы взяли цифру 1% защиты?

Посчитал на пальцах.

> они и больше чем 400 Гбит/с могут выдержать.

Во-первых, пока они даже 400 не выдержали, во-вторых, NTP-серверов в мире значительно больше, чем 4529.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 04:48 
> больше, чем 4529.

Но большинтсво из них не умеет нужный усилительный пакет :).


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 15-Фев-14 16:12 
>> они и больше чем 400 Гбит/с могут выдержать.
> Во-первых, пока они даже 400 не выдержали

Они 400 Гбит/с выдержали. И могут выдержать еще больше.

> во-вторых, NTP-серверов в мире значительно больше, чем 4529.

Из них криво настроенных NTP-серверов - значительно меньше, чем нормально настроенных.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 04:49 
С другой стороны, они и правда же вполне могут встретить крутой флуд могучей распределенной структурой, для которой 400Гбит совершенно не фатальны. Никакой ракетной науки, клин клином вышибается. Если единичная система не может переварить 400Гбитов - надо поставить географически распределенную структуру. До некоторых дошло.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 22:52 
> здесь написано про 100% uptime guarantee

uptime и availability - разные вещи! 100% uptime у них был! А вот 100% availability cloudflare не обещали. Утверждение "your website and network are performant, secure and always available" не является SLA


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 23:19 
Да пусть хоть 50 дата центров у cloudflare, факт остается фактом от DDoS 100% защитить ни кто не может, почему спросите вы. Да потому что это аксиома тысячи различных устройств смотрят в инет, а прогресс не стоит на месте, и эти устройства подключены по самым минимальным оценкам к 2-х мегабитному инету. Разнообразие этих устройств самое огромное, от роутеров до душевых кабинок. В общем 100% защиты от DDoS это маркетинговый и не более, эта проблема существует с того момента как появился интернет, а тут бац появились титаны способные усмирить этого древнего зверя.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 14-Фев-14 23:59 
Есть только 1 метод защититься от распределенной атаки. Ответить тем же самым - своей распределенной структурой, которая справится с нагрузкой.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 02:27 
> Есть только 1 метод защититься от распределенной атаки. Ответить тем же самым
> - своей распределенной структурой, которая справится с нагрузкой.

Этот метод работал против атак без усиления. На принимающей стороне вот так, за здорово живешь, в несколько сотен раз полосу не увеличить.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 04:39 
> Этот метод работал против атак без усиления.

Этот метод работает против всего. Вот смотрите, возьмем битторент. Завалить сервер трекера таким манером - как 2 байта переслать. А теперь попробуйте завалить DHT. И как, получается?


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 04:51 
> Да, метод Неуловимого Джо.

Или отвечать атакующим их же методами - выставив распределенную структуру. Наплодившиеся противоддосовые конторы именно этим и занимаются, позволяя за некоторую мзду использовать их распределенную инфраструктуру.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 15-Фев-14 00:04 
> Да пусть хоть 50 дата центров у cloudflare,

Чем больше у них датацентров - тем лучше уровень защиты от DDoS.
Подробности: http://blog.cloudflare.com/cloudflares-architecture-eliminat...

> факт остается фактом от DDoS 100% защитить ни кто не может

и тем не менее, у них в Service Level Agreement написано именно так: "100% Uptime.
The Service will serve Customer Content 100% of the time without qualification."

https://www.cloudflare.com/business-sla

а если CloudFlare предоставляет сервис, который не соответсвует заявленному SLA
- тогда "1.2 Penalties. If the Service fails to meet the above service level,
the Customer will receive a credit equal to the result of the Service
Credit calculation in Section 6 of this SLA."

> В общем 100% защиты от DDoS это маркетинговый и не более

Нет, 100% Uptime - это Service Level Agreement.
https://www.cloudflare.com/business-sla
(также - см. подробнее инфу про ITIL)

> эта проблема существует с того момента как появился интернет,
> а тут бац появились титаны способные усмирить этого древнего зверя.

Да, именно так. Вот и с крупнейшей на сегодня DDoS-атакой в 400 Гбит/с они справились.

P.S.

Это ведь не теория. Это практика. Например, когда идет DDoS-атака на сервер -
хостер поступает очень жестко - просто "ложит" IP сервера и присылает емейл
с уведомлением:

We regret to inform you that your server with the IP address mentioned in the above subject line has been the target of an attack.

As a result, this has placed a considerable strain on network resources and consequently a segment of our network has been very adversely affected.

The IP address of your server has therefore been blocked.

Причем, это происходит буквально через несколько минут после начала мощной DDoS-атаки.

После того, как атакуемые сайты были перенесены на другой физический сервер с защитой CloudFlare - теперь этим сайтам Layer 3/4 DDoS-атаки не страшны, так что уровень защиты от Layer 3/4 DDoS вырос с 0% до 100%, ибо весь тот IP Flood терминируется на серверах CloudFlare. Подробности здесь: https://www.cloudflare.com/ddos


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 22:53 
В предыдущем комментарии опять одна и та же реклама. С цифрами 100%, мне нет дела до назойливой рекламы от компании которая исключает фактор реальности. Перефразирую тысячи различных устройств могут генерировать куда более мощный паразитный трафик чем могут выдержать подобные сервисы, это простое превосходство количеством. В контексте данной новости речь идет о 4529 устройствах способных создать такое количество паразитного трафика, всего то 4529 но какой эффект. Так что гарантия 100% не более чем маркетинг.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено csdoc , 15-Фев-14 23:19 
> В предыдущем комментарии опять одна и та же реклама. С цифрами 100%, мне нет
> дела до назойливой рекламы от компании которая исключает фактор реальности.

400 Гбит/с разделить на 24 датацентра == 16.7 Гбит/с - это не так уж и много.

> Перефразирую тысячи различных устройств могут генерировать куда более мощный
> паразитный трафик чем могут выдержать подобные сервисы,
> это простое превосходство количеством.

Сервисы могут выдержать и больше - им не надо весь этот трафик никак обрабатывать.
Все что делает CloudFlare грубо говоря, это фильтрует трафик на 80 и 443 порт,
просто игнорируя все остальные пакеты на другие порты, особенно UDP пакеты.

> В контексте данной новости речь идет о 4529 устройствах способных создать
> такое количество паразитного трафика, всего то 4529 но какой эффект. Так
> что гарантия 100% не более чем маркетинг.

Service Level Agreement - это не гарантии.
Подробнее про SLA: http://www.gnuman.ru/stuff/SLA/


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 06:30 
Зачем такое количество NTP серверов вообще существует?

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 08:22 
> Зачем такое количество NTP серверов вообще существует?

Затем что если все будут долбить несколько серверов - 400Гбит траффика прилетит туда :). Ибо например всякие сетевые железки при старте время синкают, etc.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 15-Фев-14 16:22 
Скажите спасибо FreeBSD, у них только во FreeBSD 10 по дефолту запретили эти запросы к ntpd штатному, а в нормальных ОС типа Debian / RHEL из коробки запросы закрыты, да и версия ntpd не такая замшелая

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено xM , 16-Фев-14 14:35 
Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не запускался.
Отсюда ваши претензии не по адресу.

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 16-Фев-14 15:16 
> Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не
> запускался.
> Отсюда ваши претензии не по адресу.

Ага, и все, основанное на SSL, тихо идет фхтагн - потому что там требуется, в частности, для многих применений, точное время на обоих концах. А не так, чтобы погоду показывать.


"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено xM , 16-Фев-14 15:48 
Очень может быть. Только не понятно, какое это отношение имеет к самой системе?

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Отправлено Аноним , 17-Фев-14 12:39 
Хочу чтобы на мой компьютер была совершена такая атака, а компьютер бы глючил и тормозил. Потом бы я его перезагрузил и пошел дальше играть на своем супер-компьютере в аватара по сети, и чтоб приходящий трафик от игрушки был 380Гбит/с.

эх..