Witam,

> PS I nie piszcie, że za mała rura. Każdą się da zatkać, niestety.
> Widziałem atak, który zatkał 2.5Gbps.

W USA bylem swiadkiem DDoSow w serwerowni gdzie jest 7 x 1GigE,
prawie wszystko lezalo!
http://news.netcraft.com/cgi-bin/search.cgi?IncludeB
logs=1&search=ddos
No ale tam tez userzy maja proporcjonalnie szybsze lacza..
pozdr.

--
Adam Szendzielorz, adam [at] konta.pl
tel., sms: 602 461 806, http://www.konta.pl
GSF 600S '03 (black), LTD 440 '81 (black)

do góry

On Wed, 07 Jan 2004 00:05:07 +0100, Przemyslaw Frasunek wrote:
> w tym czasie. Zrodlem ataku jest prawie zawsze kilkaset maszyn
> z Polski, wszystkie z systemami Win* lub za NATami, 90% na iDSLach
> i Neostradach. Zgloszenia do abuse@ u atakujacych operatorow

czy możesz opublikować te IP (wszystkie)? Przyda się do cięcia
profilaktycznie u innych. A do Netii zwróc się o cięcie właśnie tych IP
w całej swojej sieci - zombie są niebezpieczne dla wszystkich. A przy
okazji może to otrzeźwi ich właścicieli/ISP. Kilkaset wpisów na kilku
kluczowych routerach to chyba nie takie duże obciążenie ...


B.

do góry

On Wed, 07 Jan 2004 10:16:33 +0100, Przemyslaw Frasunek wrote:

> Ja mam kontakt tylko z helpdeskiem Netii -- zglaszam problem, prosze o
> blackholing czy ACL na dane IP docelowe i po pol godziny oddzwania
> helpdesk, z informacja ze administratorzy nie moga tego zrobic. Akurat

no qfa, fajnie. Netia, iddźież do piachu jezeli tak dbacie o swoją sieć


B.

do góry

Bronek Kozicki <b...@r...pl> napisał(a):

> czy możesz opublikować te IP (wszystkie)?

Opublikowalem liste IP z jednego ataku, bo mialem w mailach. Reszta
logow juz mi sie obrocila :(

> profilaktycznie u innych. A do Netii zwróc się o cięcie właśnie tych IP
> w całej swojej sieci - zombie są niebezpieczne dla wszystkich. A przy
> okazji może to otrzeźwi ich właścicieli/ISP. Kilkaset wpisów na kilku
> kluczowych routerach to chyba nie takie duże obciążenie ...

1. Wiekszosc to Neostrady, wiec blokowanie tego na dluzej niz dobe
mija sie z celem.

2. Netia odmawia blokowania po dst, nie mowiac juz o blokowaniu po src.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Użytkownik Marcin Markowski napisał:
> Pomine juz fakt, ze wiekszosc
> ISP (w tym znana kablowka ACN) w ogole olewa zgloszenia atakow z ich sieci.

Musze tutaj dosyc stanowczo zaprotestowac: Wszystkie zgloszenia sa
procesowane[1], a wobec sprawcow sa wyciagane konsekwencje regulaminowe.
Jesli miales inne doswiadczenia to prosze, wyslij mi na priva swoja
korespondencje z a...@a...pl. Wyjasnie sprawe.


[1] Przy duzej ilosci zgloszen mamy opoznienie przekraczajace 2 dni robocze.

Pozdrawiam,
Madej

do góry

[...]

> 2. Netia odmawia blokowania po dst, nie mowiac juz o blokowaniu po
> src.

Blokowanie po src mija sie z celem, szczegolnie gdy adresow jest
kilkadziesiat/kilkaset i to czesto spoofowanych. Poza tym do blokowania
po adresie zrodlowym trzeba zalozyc access-liste (obciazenie CPU),
a zeby wyciac adres docelowy wystarczy static route.

Blokowanie dst to nie powinien byc problem. Zreszta obciazenie routera
spowodowane atakiem jest duzo wieksze niz jedna regulka wycinajaca
ruch na adres dst.

Michal

do góry

On Wed, 7 Jan 2004, Piotr KUCHARSKI wrote:
>
> A to ciekawe. Jeśli chodzi o Astera, to mam całkiem inne doświadczenia.
Nie wiem, moze mialem pecha albo pisalem pod zly adres abuse (adres
wzialem z bazy RIPE). W kazdym razie teraz jestem wdzieczny panu Jakubowi,
ze sie odezwal i pozwolil mi wyslac korespondencje pod jego prywatny adres
w celach wyjasnienia.

--
Marcin Markowski
mail: m...@c...net

do góry

Michal Gawrylczyk <m...@g...pl> wrote:
> Blokowanie po src mija sie z celem, szczegolnie gdy adresow jest
> kilkadziesiat/kilkaset i to czesto spoofowanych. Poza tym do blokowania
> po adresie zrodlowym trzeba zalozyc access-liste (obciazenie CPU),
> a zeby wyciac adres docelowy wystarczy static route.

No. Mega. Super. Widzę, że takie myślenie jest bardziej rozpowszechnione,
niż się obawiałem. Kilka razy operatorzy w Poznaniu (ale nie pamiętam już,
czy POZMAN, czy UAM) wycinali cały ruch do poznan.irc.pl. "Bo był atakowany
i łatwiej wyciąć docelowy adres niż kilkadziesiąt/set źródłowych."
Atak nie ustał (bo i z jakiej racji), sieć dalej cierpiała (choć przyznaję,
że tylko do punktu tego routera), a bonusem do zwykłego DoS-a był
definitywny DoS-a od operatora: wycięcie routingu i brak widoczności
przez kilka dni.

Proponuję wyłączyć wszystkie routery, bo łatwiej. Nawet nie trzeba się
męczyć ze static route, a obciążenie CPU by drastycznie spadło.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)

do góry

Piotr KUCHARSKI wrote:
> Michal Gawrylczyk <m...@g...pl> wrote:
>> Blokowanie po src mija sie z celem, szczegolnie gdy adresow jest
>> kilkadziesiat/kilkaset i to czesto spoofowanych. Poza tym do
>> blokowania po adresie zrodlowym trzeba zalozyc access-liste
>> (obciazenie CPU), a zeby wyciac adres docelowy wystarczy static
>> route.
>
> No. Mega. Super. Widzę, że takie myślenie jest bardziej
> rozpowszechnione, niż się obawiałem. Kilka razy operatorzy w Poznaniu
> (ale nie pamiętam już, czy POZMAN, czy UAM) wycinali cały ruch do
> poznan.irc.pl. "Bo był atakowany i łatwiej wyciąć docelowy adres niż
> kilkadziesiąt/set źródłowych." Atak nie ustał (bo i z jakiej racji),
> sieć dalej cierpiała (choć przyznaję, że tylko do punktu tego
> routera), a bonusem do zwykłego DoS-a był definitywny DoS-a od
> operatora: wycięcie routingu i brak widoczności przez kilka dni.
>
> Proponuję wyłączyć wszystkie routery, bo łatwiej. Nawet nie trzeba się
> męczyć ze static route, a obciążenie CPU by drastycznie spadło.

Blokowanie adresow zrodlowych czesto do niczego nie prowadzi - uwalajac
kolejne adresy moga pojawiac sie wciaz nowe. W sytuacji gdy cierpi caly
wezel nie ma mozliwosci bawic sie w ten sposob.

Poza tym w momencie gdy przyblokujesz adres docelowy atakujacy szybko
orientuje sie, ze nie ma po co kontynuowac zabawy.

Ale zgodze sie oczywiscie ze nie mozna wyciac kogos na kilka dni ot tak
sobie...

Michal

do góry

"Michal Gawrylczyk" <m...@g...pl> writes:

> Blokowanie po src mija sie z celem, szczegolnie gdy adresow jest
> kilkadziesiat/kilkaset i to czesto spoofowanych. Poza tym do blokowania
> po adresie zrodlowym trzeba zalozyc access-liste (obciazenie CPU),
> a zeby wyciac adres docelowy wystarczy static route.

Na pana Kowalskiego juz trzy razy napadli na ulicy. Wezwany patrol
policji uznal, ze prosciej go bedzie zastrzelic, niz uganiac sie za
bandytami. Pogratulowac podejscia do problemu.

MJ

do góry