Michal Gawrylczyk <m...@g...pl> wrote:
> Blokowanie adresow zrodlowych czesto do niczego nie prowadzi - uwalajac
> kolejne adresy moga pojawiac sie wciaz nowe. W sytuacji gdy cierpi caly
> wezel nie ma mozliwosci bawic sie w ten sposob.

To jest jakaś prawda.

> Poza tym w momencie gdy przyblokujesz adres docelowy atakujacy szybko
> orientuje sie, ze nie ma po co kontynuowac zabawy.

Niekoniecznie. Jego nie kosztuje zostawić ddosnet na kilka(naście) dni,
bez sprawdzania, co się dzieje.

Dobrze zrobić, to przyblokować taki narażony na częste ataki adres
na routerze brzegowym na przykład na wejściu do Polski. Ale tego
na nasze prośby nie chcą robić. "Bo za duże obciążenie routera."
Choć czasem zrobią. Ale po paru tygodniach znika "samo". (I tak, odbiegam
od tematu wątku, od przypuszczalnie różnych celów ataków do określonych
od lat, niezmiennych i publicznych.)

> Ale zgodze sie oczywiscie ze nie mozna wyciac kogos na kilka dni ot tak
> sobie...

Właśnie mnie Bohdan poprawił, że to nie było kilka dni, tylko kilka
tygodni, a pisanie maili i dzwonienie nic nie dawało -- w końcu musieliśmy
zmienić adres tego serwera.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)

do góry

Użytkownik "Przemyslaw Frasunek" <v...@f...lublin.pl> napisał
w wiadomości news:86d69wktji.fsf@lagoon.freebsd.lublin.pl...

<ciach>

Najgorsze ze z neostradowiczami i tak nie powalczysz .... w kazdym razie
dziwie sie ze np. futuro nie reaguje, na ogol "dzialali"

--
Adam

do góry

Michal Gawrylczyk napisał(a):

[...]

> Poza tym w momencie gdy przyblokujesz adres docelowy atakujacy szybko
> orientuje sie, ze nie ma po co kontynuowac zabawy.

A czy to nie jest tak, ze atakujacemu wlasnie o to chodzi - zeby
zablokowac/odciac cel ataku? Co prowadzi do wniosku, ze stosujac
takie metody obrony utwierdzasz atakujacych w tym, ze metoda jest skuteczna.

januszek

do góry

Michal Jankowski napisał(a):

> Na pana Kowalskiego juz trzy razy napadli na ulicy. Wezwany patrol
> policji uznal, ze prosciej go bedzie zastrzelic, niz uganiac sie za
> bandytami. Pogratulowac podejscia do problemu.

Nastepnego dnia bandyci juz nie tracili czasu na bezposredni napad
tylko od razu zadzwonili po Policje ;)

januszek

do góry

Michal Gawrylczyk napisal(a) [07 Jan 2004]:

> Poza tym do blokowania po adresie zrodlowym trzeba zalozyc access-liste
> (obciazenie CPU)

Nie trzeba, mozna to rownie dobrze (z punktu widzenia DoS) zrobic
korzystajac z trasy statycznej i weryfikacji adresow uRPF.

1) trasa D.D.o.S -> Null
2) loose uRPF
3) pakiety ze zrodla D.D.o.S sa "znikane" (tak przynajmniej dziala
implementacja na Cisco, jezeli jest uruchomione przelaczanie CEF).

Dodatkowo usuwane sa pakiet skierowane _do_ adresu D.D.o.S, co w tym
przypadku rowniez ma sens.

--
(moskit-at-irc.pl)

do góry

januszek napisal(a) [07 Jan 2004]:

>> Poza tym w momencie gdy przyblokujesz adres docelowy atakujacy
>> szybko orientuje sie, ze nie ma po co kontynuowac zabawy.
> A czy to nie jest tak, ze atakujacemu wlasnie o to chodzi - zeby
> zablokowac/odciac cel ataku? Co prowadzi do wniosku, ze stosujac
> takie metody obrony utwierdzasz atakujacych w tym, ze metoda jest
> skuteczna.

I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
przynajmniej pozostale urzadzenia u tego samego klienta.

Z punktu widzenia atakujacego cel zostal (tymczasowo) osiagniety (serwer
nie jest osiagalny), ale czesto z punktu widzenia klienta i operatora jest
to mniejsze zlo, niz gdy "przy okazji" cierpa inni klienci i inne
urzadzenia.

--
(moskit-at-irc.pl)

do góry

Piotr KUCHARSKI <c...@s...waw.pl> wrote:
> Michal Gawrylczyk <m...@g...pl> wrote:
>> Ale zgodze sie oczywiscie ze nie mozna wyciac kogos na kilka dni ot tak
>> sobie...
>
> Właśnie mnie Bohdan poprawił, że to nie było kilka dni, tylko kilka
> tygodni, a pisanie maili i dzwonienie nic nie dawało -- w końcu musieliśmy
> zmienić adres tego serwera.

ee to ja to jeszcze poprawie - to trwalo pare dni, a odblokowano dopiero po tym,
jak juz zmienilismy adres IP

pozdrawiam

p.s. no i warto jeszcze wspomniec, ze takie _niezamowione_ blokady dst byly
ustawiane wiecej niz raz ..

--
/ irl: Bohdan 'Nexus' Horst | irc: Nexus \
{----------------------v-------^---------------}
\ http://irc.pl/nexus | mailto: nexus&irc.pl /

do góry

Marek Moskal wrote:
> Michal Gawrylczyk napisal(a) [07 Jan 2004]:
>
>
>>Poza tym do blokowania po adresie zrodlowym trzeba zalozyc access-liste
>>(obciazenie CPU)
>
>
> Nie trzeba, mozna to rownie dobrze (z punktu widzenia DoS) zrobic
> korzystajac z trasy statycznej i weryfikacji adresow uRPF.
>
> 1) trasa D.D.o.S -> Null
> 2) loose uRPF
> 3) pakiety ze zrodla D.D.o.S sa "znikane" (tak przynajmniej dziala
> implementacja na Cisco, jezeli jest uruchomione przelaczanie CEF).
>
> Dodatkowo usuwane sa pakiet skierowane _do_ adresu D.D.o.S, co w tym
> przypadku rowniez ma sens.

W przypadku zwykłych ataków DoS jest to niezłe rozwiązanie. Ale gdy
mówimy o DDOS (znaczy się "distributed DoS") to zazwyczaj nie da się
określić sensownej liczby adresów źródłowych. Z każdego z nich dociera
relatywnie niewielki strumień pakietów. Zwykle strumień ten pojawia się
na tak krótko, że zanim zostanie zablokowany, adres źródłowy zdąży się
zmienić. Nie pozostaje wtedy nic innego niż zablokowanie celu ataku.
W sumie, właśnie dlatego wymyślono koncepcję DDoS :-(

do góry

Marek Moskal <m...@i...p-l> wrote:
> I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
> natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
> urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
> przynajmniej pozostale urzadzenia u tego samego klienta.

Ale łącze do operatora dalej jest zatkane. To już lepiej wycofać
ogłaszanie danego prefiksu z BGP.

> Z punktu widzenia atakujacego cel zostal (tymczasowo) osiagniety (serwer
> nie jest osiagalny), ale czesto z punktu widzenia klienta i operatora jest
> to mniejsze zlo, niz gdy "przy okazji" cierpa inni klienci i inne
> urzadzenia.

Mniejsze zło to by było, gdyby ataków nie było. :)
Gdyby tylko dało się łatwo udowodnić, kto stoi za atakami, eh.
I doprowadzić do skazania. Po kilku takich procesach przestaliby
bezmyślnie szastać DDoS-ami.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)

do góry

Piotr KUCHARSKI wrote:

>>I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
>>natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
>>urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
>>przynajmniej pozostale urzadzenia u tego samego klienta.
> Ale łącze do operatora dalej jest zatkane.

No nie jest. Masz np. pulę 192.168.0.0/24, DDoS przychodzi na
dwa IP: 192.168.0.64 i 192.168.0.251. Masz ze swoim (-imi) ISP
ustalony peering BGP, więc po wpisaniu do swoich routerów BGP
linijek:

ip route 192.168.0.64 255.255.255.255 Null0 tag 12345
ip route 192.168.0.251 255.255.255.255 Null0 tag 12345

...powodujesz, że przez BGP (dzięki dodatkowo route-mapie i
ustaleniu community) taka trasa znajduje się najpierw
w brzegowym routerze operatora, a chwilę później w całej jego
sieci.

To powoduje, że na każdym punktu styku w ASie Twojego ISP
z innymi ASami, cały ruch do nieszczęsnych 192.168.0.64 i .251
jest od razu routowany do Null 0, natomiast cała reszta
ruchu z podsieci 192.168.0.0/24 przechodzi do Ciebie. Dodatkowym
zyskiem dla ISP jest oszczędzenie swojej sieci, bo nie tranzytuje
śmieciowego ruchu DoS/DDoS.

Jeśli ofiarą ataku jest klient, to prosisz go żeby w celu
dalszego korzystania z Internetu czasowo zmienił sobie IP,
jeśli serwer - trzeba uprzednio przygotować sobie zapasowy.
Najgorzej jak celem ataku DDoS stanie się IP na interfejsie
Twojego routera brzegowego - wtedy jedynym rozwiązaniem jest
blokowanie po źródłach ataku a nie po adresie docelowym, bo
w innym przypadku ISP odetnie sobie Ciebie ;)

> Gdyby tylko dało się łatwo udowodnić, kto stoi za atakami, eh.
> I doprowadzić do skazania. Po kilku takich procesach przestaliby
> bezmyślnie szastać DDoS-ami.

Dopóki ludzie będą bezmyślnie używać systemów niezabezpieczonych
przy podłączeniach do Internetu, możliwość ich masowego przejęcia
i zastosowania w takim ataku będzie bardzo atrakcyjną perspektywą.
Czyli - nieprędko chyba się to skończy.

Przykładów z routerów których doglądam przytaczać chyba nie
ma sensu, ale nie ma nawet takiej potrzeby - mam w domu Neo+,
którego adres zmienia się co 3-4 godziny i codziennie puka do mnie
paręnaście stacji, które bardzo proszą się o przejęcie nad nimi
kontroli. No i zawsze znajdzie się ktoś, kto skorzysta.

--
Łukasz Bromirski lbromirski:mr0vka,eu,org

do góry