Piotr KUCHARSKI wrote:
> Marek Moskal <m...@i...p-l> wrote:
>
>>I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
>>natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
>>urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
>>przynajmniej pozostale urzadzenia u tego samego klienta.
>
>
> Ale łącze do operatora dalej jest zatkane. To już lepiej wycofać
> ogłaszanie danego prefiksu z BGP.

Łącze międzyoperatorskie jest często wieksze niż łącze do jakiegoś
konkretnego węzła (to samo dotyczy mocy routerów). Dlatego jest w stanie
więcej znieść. Poza tym, mechanizm blackhole czasem jest osiągalny u
operatora upstream.

>>Z punktu widzenia atakujacego cel zostal (tymczasowo) osiagniety (serwer
>>nie jest osiagalny), ale czesto z punktu widzenia klienta i operatora jest
>>to mniejsze zlo, niz gdy "przy okazji" cierpa inni klienci i inne
>>urzadzenia.
>
>
> Mniejsze zło to by było, gdyby ataków nie było. :)
> Gdyby tylko dało się łatwo udowodnić, kto stoi za atakami, eh.
> I doprowadzić do skazania. Po kilku takich procesach przestaliby
> bezmyślnie szastać DDoS-ami.

Świrów nigdy nie zabraknie. Ataki DDoS są szczególnie trudne do
wyśledzenia i łatwo jest skierować podejrzenia na kogoś niewinnego.

Największą przeszkodą w walce jest sam protokół IP, który IMHO nie
nadaje się dla współczesnego - a tym bardziej przyszłego - Internetu.
Oczywiscie ma swoje zalety, które sprawiają że nikt nie ma ochoty z
niego rezygnować. Będą w zamian pojawiać się nowe łaty, a w odpowiedzi
na nie coraz bardziej wymyślne ataki i tak w kółko. Bez radykalnej
zmiany protokołu, ja w każdym razie nie widzę światełka w tunelu :-(

do góry

Piotr KUCHARSKI wrote:
> Marek Moskal <m...@i...p-l> wrote:
>> I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
>> natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
>> urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
>> przynajmniej pozostale urzadzenia u tego samego klienta.
>
> Ale łącze do operatora dalej jest zatkane. To już lepiej wycofać
> ogłaszanie danego prefiksu z BGP.

Jezeli atak jest kierowany na adres nalezacy do puli operatora to wywalenie
prefixu z BGP spowoduje polozenie duzej czesci sieci tego operatora.
Natomiast jezeli atakowany jest adres klienta ktory ma peering BGP,
to usuniecie prefixu spowoduje oczywiscie calkowite odciecie w/w klienta
od sieci. CHyba wyciecie jednego adresu jest lepszym rozwiazaniem....

Jezeli atakowany adres zostanie zablokowany blisko styku z operatorem
upstream, to najczesciej cierpiec bedzie tylko blokowany adres IP i nie
przelozy sie to na inne urzadzenia czy klientow.

I tak jak zostalo to juz napisane - jezeli upstream daje mozliwosc ustawienia
BGP blackhole, masz przynajmniej mozliwosc samemu manewrowac
blokowanym adresem, nie jest tez zapychane lacze do operatora upstream.

>> Z punktu widzenia atakujacego cel zostal (tymczasowo) osiagniety (serwer
>> nie jest osiagalny), ale czesto z punktu widzenia klienta i operatora jest
>> to mniejsze zlo, niz gdy "przy okazji" cierpa inni klienci i inne
>> urzadzenia.
>
> Mniejsze zło to by było, gdyby ataków nie było. :)
> Gdyby tylko dało się łatwo udowodnić, kto stoi za atakami, eh.
> I doprowadzić do skazania. Po kilku takich procesach przestaliby
> bezmyślnie szastać DDoS-ami.

Noo, lacze sie z Toba w tych, nierealnych niestety, marzeniach.... ;-)

Michal

do góry

Michal Jankowski wrote:
> "Michal Gawrylczyk" <m...@g...pl> writes:
>
>> Blokowanie po src mija sie z celem, szczegolnie gdy adresow jest
>> kilkadziesiat/kilkaset i to czesto spoofowanych. Poza tym do blokowania
>> po adresie zrodlowym trzeba zalozyc access-liste (obciazenie CPU),
>> a zeby wyciac adres docelowy wystarczy static route.
>
> Na pana Kowalskiego juz trzy razy napadli na ulicy. Wezwany patrol
> policji uznal, ze prosciej go bedzie zastrzelic, niz uganiac sie za
> bandytami. Pogratulowac podejscia do problemu.

Eeee, ze strzelaniem to przesadziles. Jezeli na kolesia napadaliby tyle razy
pod rzad, to pewnie raczej przestalby wychodzic z domu/zalatwilby sobie
ochrone. Krotko mowiac zaczalby sie odgradzac od otoczenia - a to juz
jest zachowanie calkiem podobne do blokowania adresu docelowego ;-)

A Kowalski i tak jest w lepszej sytuacji niz host w sieci, bo zeby obic mu
twarz bandyci musza miec z nim "fizyczny" kontakt. Host w sieci niestety
moze byc atakowany z daleka bez mozliwosci wysledzenia sprawcy...

Michal

do góry

Przemyslaw Frasunek <v...@f...lublin.pl> wrote:

: Oprocz "potwierdzenia zgloszenia do a...@t...pl" nie
: dostalem zadnej odpowiedzi od TP, co zreszta wcale nie jest dziwne.

Ja też nie, nigdy. Ani nikt inny, kto zgłaszał ataki. A problem
z atakami z podsieci TPNET jest bardzo poważny, patrząc z punktu
widzenia, chociażby, sieci IRCnet.

--
Krzysztof Kowalik

do góry

jak juz wiele osób tutaj napisalo - to sa DDoS trojany wykorzystujace dziure
RPC.

Fakt ze ataki z internetu sa bolesne, ale bolesne sa tez ataki z wewnatrz
sieci.
Ogólnie nasze wewnetrzne sa czyimis zewnetrznymi.

Pierwsza rzecz jaka powinni zrobic wszyscy operatorzy to zablokowac port
tcp/135.
W ten sposób wykluczy sie zarzazanie nowych internetowiczów z dziurawymi w
99% systemami.

Co do wyczyszczenia zarazonych wewnatrz swojej sieci to zrobilem tak, ze
biega sobie na routerze taki snifferek który slucha na kazdym interfejsie
portu 135.
Jezeli aktywnosc usera na tym porcie jest wieksza niz 5 pakietów / 10
sekund, wtedy takiego kolesia czeka blokada. Blokada wyglada tak ze
wyswietla mu sie strona www z informacja i instrukcja obslugi co ma zrobic
oraz z latkami. Jedne co takiemu dziala to poczta oraz gg.
Acha, jest tez link "odblokuj" i jezeli dany delikwent sie naprawi, to klika
na ten link i po problemie. Jezeli kliknie a sie nie naprawil to system go
bardzo szybko wrzuci z powrotem.
Skuteczne w 99%, czasmi trzeba recznie reagowac.

Marcin

do góry

"Marcin Kuczera" <m...@p...rybnik.pl> napisał(a):

> Pierwsza rzecz jaka powinni zrobic wszyscy operatorzy to zablokowac port
> tcp/135.

Zrobienie ACLa na port na interfejsie OC12 moze spowodowac znaczny
skok obciazenia routera, dlatego nikt z operatorow tego nie
praktykuje.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

> Zrobienie ACLa na port na interfejsie OC12 moze spowodowac znaczny
> skok obciazenia routera, dlatego nikt z operatorow tego nie
> praktykuje.

hmm, no dobra, tam gdzie routing jest robiony w bardzo programowy sposób to
się zgodze, kazda ACL'ka to obciązenie i przy takim ruchu = spore.
Ale co w przypadku np maszyn na których routing wykonywany jest sprzętowo ?
np taki catalyst 6500 z modułem warstwy 3ciej ? nie ma tam też czasem
sprzętowo warstwy 4tej ?
Istnieją jakieś maszyny z warstwą 4tą w sprzęcie ? A Juniper ?

Marcin

do góry

Marcin Kuczera <m...@p...rybnik.pl> napisał(a):
>> Zrobienie ACLa na port na interfejsie OC12 moze spowodowac znaczny
>> skok obciazenia routera, dlatego nikt z operatorow tego nie
>> praktykuje.
>
> hmm, no dobra, tam gdzie routing jest robiony w bardzo programowy sposób to
> się zgodze, kazda ACL'ka to obciązenie i przy takim ruchu = spore.
> Ale co w przypadku np maszyn na których routing wykonywany jest sprzętowo ?
> np taki catalyst 6500 z modułem warstwy 3ciej ? nie ma tam też czasem
> sprzętowo warstwy 4tej ?

jeśli chodzi o 6500, to ilość wpisów, która zostanie hardwarowo
obsłużona jest ograniczona więc trzeba uważać, żeby nie tworzyć zbyt
długich ACLek o ile dobrze pamiętam.

> Istnieją jakieś maszyny z warstwą 4tą w sprzęcie ? A Juniper ?
>
> Marcin
>
>

--
Bartosz Waszak <w...@i...pl>
Network Administrator
tel: +48 (61) 8861152 fax: +48 (61) 8861155
Internet Cable Provider Sp. z o.o. (http://www.icpnet.pl/)

do góry

Mariusz Krukowski <k...@n...spam.pl> wrote:
> Łącze międzyoperatorskie jest często wieksze niż łącze do jakiegoś
> konkretnego węzła (to samo dotyczy mocy routerów). Dlatego jest w stanie
> więcej znieść.

Tak, tak. Ale nie ma takiej rury, której nie można zatkać.

> Poza tym, mechanizm blackhole czasem jest osiągalny u
> operatora upstream.

To cenne, prawda. Choć wolałbym ATM-owy congestion control (propagowany
w tył sieci, żeby wyciszać źródła). Idealnie by było, gdyby atakujący
przestawali widzieć na najbliższym core routerze drogę do atakowanych
sieci, a nie reszta internetu. No ale to raczej w sferze mrzonek. :/

> Największą przeszkodą w walce jest sam protokół IP

To niestety prawda. :-(
Dość dużo projektów z tamtych lat jest w obecnych czasach... słabo
przystosowane. Od drobiazgów (problemy z FTP na firewallach) przez
większe (SMTP ze spamem) na fundamentalnych (IP i (D)DoS-y). IPv6
niewiele tutaj zmienia. A większe zmiany... cóż. Nie my i chyba nie
za naszego życia. :)

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)

do góry

Łukasz Bromirski <w...@w...goes> wrote:
>> Ale łącze do operatora dalej jest zatkane.
> ...powodujesz, że przez BGP (dzięki dodatkowo route-mapie i
> ustaleniu community) taka trasa znajduje się najpierw
> w brzegowym routerze operatora, a chwilę później w całej jego
> sieci.

Ale łącze do operatora dalej jest zatkane. :)
Chyba że to z operatora DoS idzie, to bardzo zacne wtedy, owszem.

> Najgorzej jak celem ataku DDoS stanie się IP na interfejsie
> Twojego routera brzegowego - wtedy jedynym rozwiązaniem jest
> blokowanie po źródłach ataku a nie po adresie docelowym, bo
> w innym przypadku ISP odetnie sobie Ciebie ;)

Adres mojego routera to ISP może odcinać, nic nie powinno do
niego przychodzić z Internetu.

>> Gdyby tylko dało się łatwo udowodnić, kto stoi za atakami, eh.
>> I doprowadzić do skazania. Po kilku takich procesach przestaliby
>> bezmyślnie szastać DDoS-ami.
> Dopóki ludzie będą bezmyślnie używać systemów niezabezpieczonych
> przy podłączeniach do Internetu, możliwość ich masowego przejęcia
> i zastosowania w takim ataku będzie bardzo atrakcyjną perspektywą.
> Czyli - nieprędko chyba się to skończy.

Czyli edukacja. Mimo że słuszny kierunek, to ślepy zaułek. (Chyba
że internetowe prawo jazdy i/lub wymuszanie dobrych konfiguracji
systemów włączanych do Internetu.)

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)

do góry