forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..., opennews (??), 14-Фев-14, (0) [смотреть все]

по одной ссылке написано, что увеличение в 206 раз, по другой - что в 556 9 раз , Нанобот (ok), 19:00 , 14-Фев-14, (3)
а при помощи dns sec можно получить тоже не слабое усиление что-то в районе 2-, linux must _RIP__ (?), 19:38 , 14-Фев-14, (4) –1 //

3кб на 100б - это усиление в x30 раз По сравнению с x200 и x600, о которых идет , Аноним (-), 19:47 , 14-Фев-14, (5) +1 //

Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30 Гбит - тогда расс, Аноним (-), 21:39 , 14-Фев-14, (21) //

Проблема с DNS тоже решаема с помощью Response Rate Limiting http www opennet , csdoc (ok), 16:33 , 15-Фев-14, (64)

Что-что, простите , имя (?), 19:47 , 14-Фев-14, (6) –3 //

Именно так Попробуйте прочитай новость и понять ее смысл, а не бежать комментир, Аноним (-), 19:48 , 14-Фев-14, (7) +2 //

И как эти 200 Гбит пролезут в гигабитный порт, по-вашему , имя (?), 19:54 , 14-Фев-14, (9) –3 //

В гигабитный порт пролезет гигабит запросов А усиляющие серверы NTP DNS whate, AlexAT (ok), 20:11 , 14-Фев-14, (10) +3

Все это очень занимательно, но не надо забывать и про суть спецы CloudFlare, , Аноним (-), 19:52 , 14-Фев-14, (8) +2 //

Боюсь, что именно так - и антидосеры сами по себе даже уже не интересны, тут ско, AlexAT (ok), 20:13 , 14-Фев-14, (11) //

При 4500 серверов в атаке таки достаточно реально просто нанять человека который, Аноним (-), 21:47 , 14-Фев-14, (25) //

Абузы рассылаются Не помогает Пока-то до админа дойдет, пока согласуется Нема, Аноним (-), 22:48 , 14-Фев-14, (31)

Значит надо рассылать абузы выше по иерархии Как завалится у кулсисопа интернет, Аноним (-), 22:51 , 14-Фев-14, (32)

Так можно пол-интернета уронить Роскомнадзор за такое орден даст , Аноним (-), 02:29 , 15-Фев-14, (42)

дык если ничего не делать - можно уровнить Весь даже Роскомнадзор - обрыдается д, Аноним (-), 02:46 , 15-Фев-14, (45)
Можно И если вы еще не заметили - вообще-то уже падает Детишки нашли спички В, Аноним (-), 04:34 , 15-Фев-14, (46)

Вот сразу видно, что человек с операторским бизнесом слегка не знаком Точечные , AlexAT (ok), 08:58 , 15-Фев-14, (56)

Да бывают такие отрубатели Особенно среди админов локалхоста Далеко не всегда, Аноним (-), 16:42 , 15-Фев-14, (65)

какой смысл провайдеру делать возможным IP address spoofing чтобы потом в аврал, csdoc (ok), 16:48 , 15-Фев-14, (66)

Потому, что иногда, например, используется BGP Или хитрые схемы с маршрутизируе, Аноним (-), 17:50 , 15-Фев-14, (67)

Защита от спуфа не на входящем, а на исходящем трафике Например, захотел клиент, csdoc (ok), 18:04 , 15-Фев-14, (68)

Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку даже , Аноним (-), 18:14 , 15-Фев-14, (69)

Сейчас - это делают уже более 75 провайдеров И они не считают, что это бесполе, csdoc (ok), 18:24 , 15-Фев-14, (70)
Проблема только в том что хватит и 25 И даже 5 И дожать всех врядли получитс, Аноним (-), 15:59 , 16-Фев-14, (80)
Как есть разница между 100 уязвимых сетей и 25 уязвимых сетей,так и есть разни, csdoc (ok), 18:40 , 16-Фев-14, (83)

По логике вещей у защитника может быть дофига серверов по всей планете Вместо, Аноним (-), 04:57 , 15-Фев-14, (53) +1 //

А так оно у cloudflare и есть - они распределенные Хитрость последних атак в то, AlexAT (ok), 09:00 , 15-Фев-14, (57)

Знаешь, при этом не только доступность cloudflare оказалась нарушенной , Аноним (-), 16:00 , 16-Фев-14, (81)

А атакующим, знаешь, наплевать Даже если при этом вся сеть ляжет - цель всё рав, AlexAT (ok), 17:37 , 16-Фев-14, (82)

Не факт DDoS-атака на сайт могла быть вызвана конкурентами, владельцами другого, csdoc (ok), 18:44 , 16-Фев-14, (84)

где и когда они такое гарантировали 99 защита - это лучше, чем 0 защита , csdoc (ok), 20:48 , 14-Фев-14, (14) –5 //

В данном случае, увы, получается уже 0 защита По сути приходится иметь дело с , AlexAT (ok), 20:55 , 14-Фев-14, (15) //

0 защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит До, csdoc (ok), 21:02 , 14-Фев-14, (16) –4

Сейчас - да Но после того, как CloudFlare публично слились, а технология опубли, Аноним (-), 21:04 , 14-Фев-14, (18)

Что значит публично слились У них в блоге написано On Monday we mitigated a, csdoc (ok), 21:37 , 14-Фев-14, (20) –3

Проблема не только в протоколе Операторов не проверяющих соср адрес своих клиен, 55039 (?), 11:16 , 15-Фев-14, (59)

Кстати, сейчас в мире осталось всего 24 6 сетей, которые позволяют IP Spoofing , csdoc (ok), 16:29 , 15-Фев-14, (63)

Подсказка для йуных пЫонеров как сделать ддос на 400 гбит у себя на кухне Бер, Аноним (-), 21:56 , 14-Фев-14, (26) +3

Это приведет только к тому, что количество криво настроенных NTP-серверов очень , csdoc (ok), 22:03 , 14-Фев-14, (28) –3

А вы думаете что я очень хочу видеть юных пЫонеров с 400Гбит ддосами Просто кли, Аноним (-), 22:33 , 14-Фев-14, (30) +1

Это их специализация, вообще-то Да Но тут речь идет о 1 защите за кучу бабок , Аноним (-), 21:03 , 14-Фев-14, (17) //

https www cloudflare com businessдействительно, здесь написано про 100 uptime, csdoc (ok), 21:46 , 14-Фев-14, (24) –4

Посчитал на пальцах Во-первых, пока они даже 400 не выдержали, во-вторых, NTP-се, Аноним (-), 02:21 , 15-Фев-14, (37)

Но большинтсво из них не умеет нужный усилительный пакет , Аноним (-), 04:48 , 15-Фев-14, (49)
Они 400 Гбит с выдержали И могут выдержать еще больше Из них криво настроенных , csdoc (ok), 16:12 , 15-Фев-14, (61)
С другой стороны, они и правда же вполне могут встретить крутой флуд могучей рас, Аноним (-), 04:49 , 15-Фев-14, (50)

uptime и availability - разные вещи 100 uptime у них был А вот 100 availabil, Аноним (-), 22:52 , 15-Фев-14, (73)

Да пусть хоть 50 дата центров у cloudflare, факт остается фактом от DDoS 100 за, Аноним (-), 23:19 , 14-Фев-14, (33) //

Есть только 1 метод защититься от распределенной атаки Ответить тем же самым - , Аноним (-), 23:59 , 14-Фев-14, (34) //

Этот метод работал против атак без усиления На принимающей стороне вот так, за , Аноним (-), 02:27 , 15-Фев-14, (41) //

Этот метод работает против всего Вот смотрите, возьмем битторент Завалить серв, Аноним (-), 04:39 , 15-Фев-14, (48) +1
Или отвечать атакующим их же методами - выставив распределенную структуру Напло, Аноним (-), 04:51 , 15-Фев-14, (51)

Чем больше у них датацентров - тем лучше уровень защиты от DDoS Подробности ht, csdoc (ok), 00:04 , 15-Фев-14, (35) –5
В предыдущем комментарии опять одна и та же реклама С цифрами 100 , мне нет дел, Аноним (-), 22:53 , 15-Фев-14, (74) //

400 Гбит с разделить на 24 датацентра 16 7 Гбит с - это не так уж и много Сер, csdoc (ok), 23:19 , 15-Фев-14, (75)

Зачем такое количество NTP серверов вообще существует , Аноним (-), 06:30 , 15-Фев-14, (54) //

Затем что если все будут долбить несколько серверов - 400Гбит траффика прилетит , Аноним (-), 08:22 , 15-Фев-14, (55)

Скажите спасибо FreeBSD, у них только во FreeBSD 10 по дефолту запретили эти зап, Аноним (-), 16:22 , 15-Фев-14, (62) +1 //

Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не запускался Отсюд, xM (ok), 14:35 , 16-Фев-14, (76) //

Ага, и все, основанное на SSL, тихо идет фхтагн - потому что там требуется, в ча, Аноним (-), 15:16 , 16-Фев-14, (77) //

Очень может быть Только не понятно, какое это отношение имеет к самой системе , xM (ok), 15:48 , 16-Фев-14, (78)

Хочу чтобы на мой компьютер была совершена такая атака, а компьютер бы глючил и , Аноним (-), 12:39 , 17-Фев-14, (85)

Сообщения [Сортировка по времени | RSS]

11. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от AlexAT (ok), 14-Фев-14, 20:13

> нафиг нужна CloudFlare?
Боюсь, что именно так - и антидосеры сами по себе даже уже не интересны, тут скорее фатальнее то, что ложатся магистрали по пути к жертве... Причем победить заразу практически никак, разве что разом устранить дыры во всех серверах на планете.

Ответить | Правка | Наверх | Cообщить модератору

25. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 14-Фев-14, 21:47

> к жертве... Причем победить заразу практически никак, разве что разом устранить
> дыры во всех серверах на планете.
При 4500 серверов в атаке таки достаточно реально просто нанять человека который разошлет 4500 абуз и будет иметь мозг причастным пока они не сдадутся.

Ответить | Правка | Наверх | Cообщить модератору

31. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 14-Фев-14, 22:48

Абузы рассылаются. Не помогает. Пока-то до админа дойдет, пока согласуется. Немало железок выставленных голой жопой в мир или пропсаны в DMZ-хост (например, старенькие видеорегистраторы с древней прошивкой). Блокировали, по возможности, на уровне провайдера - так оперативнее. Но, в любом случае, такие абузы - не панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают.

Ответить | Правка | Наверх | Cообщить модератору

32. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 14-Фев-14, 22:51

> Абузы рассылаются. Не помогает.
Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик за то что с него ддос идет - сразу вылетит гора кирпичей и побежит чинить, как миленький.
> - так оперативнее. Но, в любом случае, такие абузы - не
> панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают.
Тогда просто отрубить им канал. Или если плохо доходит - развернуть атаку в их сторону, может так быстрее дойдет. Не до них так до их провайдера хотя-бы.

Ответить | Правка | Наверх | Cообщить модератору

42. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 15-Фев-14, 02:29

>> Абузы рассылаются. Не помогает.
> Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик
> за то что с него ддос идет - сразу вылетит гора
> кирпичей и побежит чинить, как миленький.
Так можно пол-интернета уронить. Роскомнадзор за такое орден даст.

Ответить | Правка | Наверх | Cообщить модератору

45. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 15-Фев-14, 02:46

дык если ничего не делать - можно уровнить Весь.
даже Роскомнадзор - обрыдается.
да что там, даже талибан и каннибалы с острова Бали - пойдут сдаваться в Интерпол.

Ответить | Правка | Наверх | Cообщить модератору

46. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 15-Фев-14, 04:34

> Так можно пол-интернета уронить. Роскомнадзор за такое орден даст.
Можно. И если вы еще не заметили - вообще-то уже падает. Детишки нашли спички. Вот я за то чтобы таки доабузить до состояния когда это привлечет внимание настолько что это более-менее починят.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

56. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от AlexAT (ok), 15-Фев-14, 08:58

Вот сразу видно, что человек с операторским бизнесом слегка не знаком. Точечные отрубания NTP/DNS/... еще возможны, но вот отрубание канала - почти 100% потеря клиента, особенно если клиент не 100% технически вменяем (а таких абсолютное и подавляющее большинство).

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

65. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 15-Фев-14, 16:42

Да бывают такие "отрубатели". Особенно среди админов локалхоста.
Далеко не всегда есть возможность даже сослаться на вредоносную деятельность. А в некоторых случаях в договоре вообще отсутствует какое-либо ограничение на использование канала и провайдер, без решения суда вообще не в праве что-либо "обрубать", а за "технические неисправности" неустойку платить придется такую, что дешевле будет в авральном порядке апгрейдить провайдерскую сеть.
Абузик от какой-то там ddos-response@nfoservers.com - вообще филькина грамота и юридической силы не имеет в наших краях.

Ответить | Правка | Наверх | Cообщить модератору

66. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от csdoc (ok), 15-Фев-14, 16:48

> Далеко не всегда есть возможность даже сослаться на вредоносную деятельность. А в
> некоторых случаях в договоре вообще отсутствует какое-либо ограничение на использование
> канала и провайдер, без решения суда вообще не в праве что-либо
> "обрубать", а за "технические неисправности" неустойку платить придется такую, что дешевле
> будет в авральном порядке апгрейдить провайдерскую сеть.
> Абузик от какой-то там ddos-response@nfoservers.com - вообще филькина грамота и юридической
> силы не имеет в наших краях.
какой смысл провайдеру делать возможным IP address spoofing?
чтобы потом "в авральном порядке апгрейдить провайдерскую сеть", выбрасывая деньги на ветер?

Ответить | Правка | Наверх | Cообщить модератору

67. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 15-Фев-14, 17:50

Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента).
А вообще - в данной новости разговор идет не о тех хостах, которые использовали спуф, а о тех, которые имели у себя дырявые NTP и там даже при полной защите acl, ip source binding и прочих L2<->L3 защитах ничего не спасает в связи с полной легитимностью подобного трафика на этих уровнях

Ответить | Правка | Наверх | Cообщить модератору

68. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от csdoc (ok), 15-Фев-14, 18:04

> Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами
> в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему
> выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента).
Защита от спуфа не на входящем, а на исходящем трафике. Например, захотел клиент
себе /27 - получил /27. Только вот провайдер очень легко может настроить роутер так,
что от этого клиента будут приниматься пакеты только из выделенной ему /27 подсети,
а все остальное будет дропаться прямо на маршрутизаторе.
Аналогично и все остальные клиенты - они имеют право
отправлять трафик в сеть только со своего IP. Кому это мешает?
BGP - это между автономными системами, разговор как раз о том,
чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать спуф.
> А вообще - в данной новости разговор идет не о тех хостах,
> которые использовали спуф,
Именно о них и идет речь в первую очередь. Если бы не было возможности использовать спуф -
такая DDoS-атака в 400 Гбит/с была бы просто теоретически и практически невозможной.
> а о тех, которые имели у себя дырявые NTP
> и там даже при полной защите acl, ip source binding
> и прочих L2<->L3 защитах ничего не спасает в связи с полной
> легитимностью подобного трафика на этих уровнях
Криво настроенные NTP - это уже вторичная причина.
вместо NTP могут использовать DNS, SNMP и десятки других протоколов.
Первопричина проблем - это именно IP Source Address Spoofing.
Средство решения этой проблем:
https://tools.ietf.org/html/bcp38
https://tools.ietf.org/html/bcp84
Надо внедрять, других способов нет.

Ответить | Правка | Наверх | Cообщить модератору

69. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 15-Фев-14, 18:14

> BGP - это между автономными системами, разговор как раз о том,
> чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
> Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать
> спуф.
Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку даже один провайдер, поленившийся внедрить - ставит под удар всю сеть.
> Надо внедрять, других способов нет.
Никто и не спорит. Это вообще бай-дезайн уязвимость подавляющего числа реализаций протокола.

Ответить | Правка | Наверх | Cообщить модератору

70. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от csdoc (ok), 15-Фев-14, 18:24

>> BGP - это между автономными системами, разговор как раз о том,
>> чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
>> Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать
>> спуф.
> Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку
> даже один провайдер, поленившийся внедрить - ставит под удар всю сеть.
Сейчас - это делают уже более 75% провайдеров. И они не считают, что это бесполезно.
Будет 100% внедрение и про DDoS-атаки этого типа будем вспоминать как про вирус Морриса.

Ответить | Правка | Наверх | Cообщить модератору

80. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 16-Фев-14, 15:59

> Сейчас - это делают уже более 75% провайдеров.
Проблема только в том что хватит и 25%. И даже 5%. И дожать всех врядли получится.

Ответить | Правка | Наверх | Cообщить модератору

83. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от csdoc (ok), 16-Фев-14, 18:40

>> Сейчас - это делают уже более 75% провайдеров.
> Проблема только в том что хватит и 25%. И даже 5%.
Как есть разница между 100% уязвимых сетей и 25% уязвимых сетей,
так и есть разница между 25% уязвимых сетей и 5% уязвимых сетей.
> И дожать всех врядли получится.
Возможно. Но всеравно к этому надо стремиться.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

53. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +1 +/–

Сообщение от Аноним (-), 15-Фев-14, 04:57

> Боюсь, что именно так - и антидосеры сами по себе даже уже
> не интересны, тут скорее фатальнее то, что ложатся магистрали по пути к жертве...
По логике вещей у "защитника" может быть дофига серверов по всей планете. Вместо защищаемого сервера внешнему миру подсовывается инфраструктура "защитника", а уже потом, после фильтрации оно отправляет трафф на защищаемый сервер. И вот это, распределенное и могучее, вполне может сдюжить в сумме и 400Гбит. А в магистральные каналы жертвы это не полетит. Осев на фильтрах "защитника". Покуда суммарной емкости каналов по всем ДЦ и прочая у защитника хватает - клиент может достаточно успешно работать в условиях ддоса. На самом деле логичная и красивая идея: на распределенную атаку логично отвечать распределенной системой защиты, которая имеет реальные шансы прожевать такой поток.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

57. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от AlexAT (ok), 15-Фев-14, 09:00

А так оно у cloudflare и есть - они распределенные. Хитрость последних атак в том, что пролегли некоторые каналы на пути от атакующих серверов до их инфраструктуры :) Т.е. атака уже толком даже не на клиента или cloudflare, а на саму инфраструктуру доставки трафика до оных. В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.

Ответить | Правка | Наверх | Cообщить модератору

81. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от Аноним (-), 16-Фев-14, 16:00

> В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.
Знаешь, при этом не только доступность cloudflare оказалась нарушенной.

Ответить | Правка | Наверх | Cообщить модератору

82. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от AlexAT (ok), 16-Фев-14, 17:37

> Знаешь, при этом не только доступность cloudflare оказалась нарушенной.
А атакующим, знаешь, наплевать. Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.

Ответить | Правка | Наверх | Cообщить модератору

84. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..." +/–

Сообщение от csdoc (ok), 16-Фев-14, 18:44

>> Знаешь, при этом не только доступность cloudflare оказалась нарушенной.
> А атакующим, знаешь, наплевать.
> Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.
Не факт. DDoS-атака на сайт могла быть вызвана конкурентами, владельцами другого сайта.
Если они положат в результате всю сеть - они не только сайту конкурента навредят,
но и своему собственному тоже. Тогда получится что они за-DDoS-или свой собственный
сайт, если их сайт в результате такой атаки на сайт конкурента станет не доступен.
Это будет Пиррова победа. Кому такое надо?
Или те кто делает DDoS-атаки - это луддиты, которые хотят уничтожить весь интернет полностью?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	11. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от AlexAT (ok), 14-Фев-14, 20:13
	> нафиг нужна CloudFlare? Боюсь, что именно так - и антидосеры сами по себе даже уже не интересны, тут скорее фатальнее то, что ложатся магистрали по пути к жертве... Причем победить заразу практически никак, разве что разом устранить дыры во всех серверах на планете.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 14-Фев-14, 21:47
	> к жертве... Причем победить заразу практически никак, разве что разом устранить > дыры во всех серверах на планете. При 4500 серверов в атаке таки достаточно реально просто нанять человека который разошлет 4500 абуз и будет иметь мозг причастным пока они не сдадутся.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 14-Фев-14, 22:48
	Абузы рассылаются. Не помогает. Пока-то до админа дойдет, пока согласуется. Немало железок выставленных голой жопой в мир или пропсаны в DMZ-хост (например, старенькие видеорегистраторы с древней прошивкой). Блокировали, по возможности, на уровне провайдера - так оперативнее. Но, в любом случае, такие абузы - не панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 14-Фев-14, 22:51
	> Абузы рассылаются. Не помогает. Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик за то что с него ддос идет - сразу вылетит гора кирпичей и побежит чинить, как миленький. > - так оперативнее. Но, в любом случае, такие абузы - не > панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают. Тогда просто отрубить им канал. Или если плохо доходит - развернуть атаку в их сторону, может так быстрее дойдет. Не до них так до их провайдера хотя-бы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 15-Фев-14, 02:29
	>> Абузы рассылаются. Не помогает. > Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик > за то что с него ддос идет - сразу вылетит гора > кирпичей и побежит чинить, как миленький. Так можно пол-интернета уронить. Роскомнадзор за такое орден даст.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 15-Фев-14, 02:46
	дык если ничего не делать - можно уровнить Весь. даже Роскомнадзор - обрыдается. да что там, даже талибан и каннибалы с острова Бали - пойдут сдаваться в Интерпол.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 15-Фев-14, 04:34
	> Так можно пол-интернета уронить. Роскомнадзор за такое орден даст. Можно. И если вы еще не заметили - вообще-то уже падает. Детишки нашли спички. Вот я за то чтобы таки доабузить до состояния когда это привлечет внимание настолько что это более-менее починят.
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору


	56. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от AlexAT (ok), 15-Фев-14, 08:58
	Вот сразу видно, что человек с операторским бизнесом слегка не знаком. Точечные отрубания NTP/DNS/... еще возможны, но вот отрубание канала - почти 100% потеря клиента, особенно если клиент не 100% технически вменяем (а таких абсолютное и подавляющее большинство).
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору


	65. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 15-Фев-14, 16:42
	Да бывают такие "отрубатели". Особенно среди админов локалхоста. Далеко не всегда есть возможность даже сослаться на вредоносную деятельность. А в некоторых случаях в договоре вообще отсутствует какое-либо ограничение на использование канала и провайдер, без решения суда вообще не в праве что-либо "обрубать", а за "технические неисправности" неустойку платить придется такую, что дешевле будет в авральном порядке апгрейдить провайдерскую сеть. Абузик от какой-то там ddos-response@nfoservers.com - вообще филькина грамота и юридической силы не имеет в наших краях.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от csdoc (ok), 15-Фев-14, 16:48
	> Далеко не всегда есть возможность даже сослаться на вредоносную деятельность. А в > некоторых случаях в договоре вообще отсутствует какое-либо ограничение на использование > канала и провайдер, без решения суда вообще не в праве что-либо > "обрубать", а за "технические неисправности" неустойку платить придется такую, что дешевле > будет в авральном порядке апгрейдить провайдерскую сеть. > Абузик от какой-то там ddos-response@nfoservers.com - вообще филькина грамота и юридической > силы не имеет в наших краях. какой смысл провайдеру делать возможным IP address spoofing? чтобы потом "в авральном порядке апгрейдить провайдерскую сеть", выбрасывая деньги на ветер?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 15-Фев-14, 17:50
	Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента). А вообще - в данной новости разговор идет не о тех хостах, которые использовали спуф, а о тех, которые имели у себя дырявые NTP и там даже при полной защите acl, ip source binding и прочих L2<->L3 защитах ничего не спасает в связи с полной легитимностью подобного трафика на этих уровнях
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от csdoc (ok), 15-Фев-14, 18:04
	> Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами > в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему > выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента). Защита от спуфа не на входящем, а на исходящем трафике. Например, захотел клиент себе /27 - получил /27. Только вот провайдер очень легко может настроить роутер так, что от этого клиента будут приниматься пакеты только из выделенной ему /27 подсети, а все остальное будет дропаться прямо на маршрутизаторе. Аналогично и все остальные клиенты - они имеют право отправлять трафик в сеть только со своего IP. Кому это мешает? BGP - это между автономными системами, разговор как раз о том, чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя. Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать спуф. > А вообще - в данной новости разговор идет не о тех хостах, > которые использовали спуф, Именно о них и идет речь в первую очередь. Если бы не было возможности использовать спуф - такая DDoS-атака в 400 Гбит/с была бы просто теоретически и практически невозможной. > а о тех, которые имели у себя дырявые NTP > и там даже при полной защите acl, ip source binding > и прочих L2<->L3 защитах ничего не спасает в связи с полной > легитимностью подобного трафика на этих уровнях Криво настроенные NTP - это уже вторичная причина. вместо NTP могут использовать DNS, SNMP и десятки других протоколов. Первопричина проблем - это именно IP Source Address Spoofing. Средство решения этой проблем: https://tools.ietf.org/html/bcp38 https://tools.ietf.org/html/bcp84 Надо внедрять, других способов нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	69. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 15-Фев-14, 18:14
	> BGP - это между автономными системами, разговор как раз о том, > чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя. > Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать > спуф. Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку даже один провайдер, поленившийся внедрить - ставит под удар всю сеть. > Надо внедрять, других способов нет. Никто и не спорит. Это вообще бай-дезайн уязвимость подавляющего числа реализаций протокола.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от csdoc (ok), 15-Фев-14, 18:24
	>> BGP - это между автономными системами, разговор как раз о том, >> чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя. >> Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать >> спуф. > Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку > даже один провайдер, поленившийся внедрить - ставит под удар всю сеть. Сейчас - это делают уже более 75% провайдеров. И они не считают, что это бесполезно. Будет 100% внедрение и про DDoS-атаки этого типа будем вспоминать как про вирус Морриса.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	80. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 16-Фев-14, 15:59
	> Сейчас - это делают уже более 75% провайдеров. Проблема только в том что хватит и 25%. И даже 5%. И дожать всех врядли получится.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от csdoc (ok), 16-Фев-14, 18:40
	>> Сейчас - это делают уже более 75% провайдеров. > Проблема только в том что хватит и 25%. И даже 5%. Как есть разница между 100% уязвимых сетей и 25% уязвимых сетей, так и есть разница между 25% уязвимых сетей и 5% уязвимых сетей. > И дожать всех врядли получится. Возможно. Но всеравно к этому надо стремиться.
	Ответить \| Правка \| К родителю #80 \| Наверх \| Cообщить модератору


	53. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+1 +/–
	Сообщение от Аноним (-), 15-Фев-14, 04:57
	> Боюсь, что именно так - и антидосеры сами по себе даже уже > не интересны, тут скорее фатальнее то, что ложатся магистрали по пути к жертве... По логике вещей у "защитника" может быть дофига серверов по всей планете. Вместо защищаемого сервера внешнему миру подсовывается инфраструктура "защитника", а уже потом, после фильтрации оно отправляет трафф на защищаемый сервер. И вот это, распределенное и могучее, вполне может сдюжить в сумме и 400Гбит. А в магистральные каналы жертвы это не полетит. Осев на фильтрах "защитника". Покуда суммарной емкости каналов по всем ДЦ и прочая у защитника хватает - клиент может достаточно успешно работать в условиях ддоса. На самом деле логичная и красивая идея: на распределенную атаку логично отвечать распределенной системой защиты, которая имеет реальные шансы прожевать такой поток.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	57. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от AlexAT (ok), 15-Фев-14, 09:00
	А так оно у cloudflare и есть - они распределенные. Хитрость последних атак в том, что пролегли некоторые каналы на пути от атакующих серверов до их инфраструктуры :) Т.е. атака уже толком даже не на клиента или cloudflare, а на саму инфраструктуру доставки трафика до оных. В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от Аноним (-), 16-Фев-14, 16:00
	> В итоге доступность клиентов все равно оказалась нарушенной, просто не везде. Знаешь, при этом не только доступность cloudflare оказалась нарушенной.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от AlexAT (ok), 16-Фев-14, 17:37
	> Знаешь, при этом не только доступность cloudflare оказалась нарушенной. А атакующим, знаешь, наплевать. Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	84. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
	Сообщение от csdoc (ok), 16-Фев-14, 18:44
	>> Знаешь, при этом не только доступность cloudflare оказалась нарушенной. > А атакующим, знаешь, наплевать. > Даже если при этом вся сеть ляжет - цель всё равно будет достигнута. Не факт. DDoS-атака на сайт могла быть вызвана конкурентами, владельцами другого сайта. Если они положат в результате всю сеть - они не только сайту конкурента навредят, но и своему собственному тоже. Тогда получится что они за-DDoS-или свой собственный сайт, если их сайт в результате такой атаки на сайт конкурента станет не доступен. Это будет Пиррова победа. Кому такое надо? Или те кто делает DDoS-атаки - это луддиты, которые хотят уничтожить весь интернет полностью?
	Ответить \| Правка \| Наверх \| Cообщить модератору