Robert Rędziak <r...@g...wkurw.org> wrote:
>> Aczkolwiek problem jest bardziej techniczny: bo na przykład zombie DDoSujące
>> nie robi tego cały czas. Jak ktoś wyłącza komputer, to phishing serwowany
>> przez malware na nim zainstalowane chwilowo "znika". Więc jak _na odległość_
>> stwierdzić, czy w danej chwili konkretny komputer jest zarażony?
>
> Ale kiedyś jest włączony i wtedy generuje bardzo
> charakterystyczne objawy. Jeśli takowe objawy nie pasują do
> wypracowanego wzorca, to sprawa jest jasna.

A czy wysyłanie zapytań HTTP pasuje do wypracowanych wzorców? I ile takich zapytań
na minutę musi wysłać zombie, żeby uznać to za DoS? A jaki jest wypracowany
wzorzec odróżniania ruchu P2P od DDoSa lub skanowania z decoyami?

Przypominam, do payloadu nie można legalnie zaglądać.

> Wiele osób sugerowało też prostsze rozwiązania:
>
> - stałą adresację, aby kupa zrobiona przez jednego klienta nie
> spadała drugiemu na barki,

Tu byłbym dobrej myśli... ;>

> - blokowanie portu tcp/25.

Naprawde, abuse to nie tylko spam.

>> Warto pamiętać, że &tp ma prawny obowiązek
>> poinformowania (pisemnie/telefonicznie) abonenta o zawieszeniu wykonania
>> umowy jaką z nim zawarła, oraz o powodach tego...
>
> To jest kwestia odpowiednich zapisów w umowie.

Umowa musi być zgodna z obowiązującem porządkiem prawnym. Prawo stara się
chronić klienta przed "widzimisie" sprzedawcy/usługodawcy.

Ponc
--
Kto misiowi urwał ucho?

do góry

Tomasz Piłat <p...@i...pl> writes:

>> Pod warunkiem, ze ich odciecie od serwerow kontrolujacych jest
>> stuprocentowe. A jest?
>
> Null-route jest 100%... Może na D-Linkach czasem puszcza jakiś pakiet... ;~)

Nie to mam na mysli, tylko czy lista serwerow kontrolujacych jest
kompletna.

> Wykrywanie objawów zarażenia. Podpowiem: zaglądanie do wnętrza
> pakietów jest z definicji nielegalne bez zgody sądu.

Zdefiniuj wnetrze pakietu. Docelowego adresu IP, numeru portu tez nie
wolno sprawdzic?

Zreszta, wsio ryba. Blokada portu 25 hurtem jest czysta. Mozna wpisac
do umowy z klientem nawet. i moze byc zdejmowalna kliknieciem na
strone.

MJ

do góry

Michal Jankowski <m...@f...edu.pl> wrote:
> Nie to mam na mysli, tylko czy lista serwerow kontrolujacych jest
> kompletna.

Ba, mamy na tej liście nawet te kontrolery, które pojawią się dopiero jutro.
Precrime, ya know. ;-) A tak serio, to staramy się by była jak najbardziej
kompletna, ale oczywiście wszystkich nie mamy, szczególnie jeśli są
wątpliwości, czy dana maszyna jest _wciąż_ kontrolerem.

Myślę, że jakbyś opracował metodę wykrywania wszystkich kontrolerów w sieci,
to byś został nieprzyzwoicie bogatym właścicielem bardzo znanej w świecie
komputerowego security firmy. ;-)

>> Wykrywanie objawów zarażenia. Podpowiem: zaglądanie do wnętrza
>> pakietów jest z definicji nielegalne bez zgody sądu.
>
> Zdefiniuj wnetrze pakietu. Docelowego adresu IP, numeru portu tez nie
> wolno sprawdzic?

Nie możesz zaglądać do payloadu. Nic Ci nie da informacja, że ktoś się
łączy się na port 80 strony X, jesli nie możesz zobaczyć, że w payloadzie
jest DoS powodujący obciążenie baz danych serwera X.

> Zreszta, wsio ryba. Blokada portu 25 hurtem jest czysta. Mozna wpisac
> do umowy z klientem nawet. i moze byc zdejmowalna kliknieciem na
> strone.

Eh, a wy ciągle jedyne co widzicie, to TCP/25... Póki nie porozumieją
się w tej sprawie wszyscy duzi ISP i nie zablokują TCP/25 wspólnie, to
nikt nie zrobi tego pierwszy - w obawie przed odejściem klientów do
konkurencji. Management tak to widzi. Wszystkich tych ISP.


Ponc
--
Kto misiowi urwał ucho?

do góry

Tomasz Piłat <p...@i...pl> writes:

> Myślę, że jakbyś opracował metodę wykrywania wszystkich kontrolerów w sieci,
> to byś został nieprzyzwoicie bogatym właścicielem bardzo znanej w świecie
> komputerowego security firmy. ;-)

I dlatego rownoczesnie wypadaloby blokowac zombikom wyjscie.

>> Zdefiniuj wnetrze pakietu. Docelowego adresu IP, numeru portu tez nie
>> wolno sprawdzic?
>
> Nie możesz zaglądać do payloadu. Nic Ci nie da informacja, że ktoś się
> łączy się na port 80 strony X, jesli nie możesz zobaczyć, że w payloadzie
> jest DoS powodujący obciążenie baz danych serwera X.

Nie odpowiedziales na pytanie, co to jest wnetrze pakietu oraz
dlaczego pola IP i port do tego wnetrza nie zaliczasz. Powaznie pytam.

>> Zreszta, wsio ryba. Blokada portu 25 hurtem jest czysta. Mozna wpisac
>> do umowy z klientem nawet. i moze byc zdejmowalna kliknieciem na
>> strone.
>
> Eh, a wy ciągle jedyne co widzicie, to TCP/25...

Nie, nie jedyne, ale od czegos trzeba zaczac, a to jest najlatwiejsze.
Portu 80 nie zablokujesz tak prosto.

> Póki nie porozumieją się w tej sprawie wszyscy duzi ISP i nie
> zablokują TCP/25 wspólnie, to nikt nie zrobi tego pierwszy - w
> obawie przed odejściem klientów do konkurencji. Management tak to
> widzi. Wszystkich tych ISP.

Jacy sa duzi ISP w Polsce poza TP?

Za granica wielu operatorow port 25 zamknelo.

MJ

do góry

In pl.internet.polip Tomasz Piłat <p...@i...pl> wrote:

> Eh, a wy ciągle jedyne co widzicie, to TCP/25... Póki nie porozumieją
> się w tej sprawie wszyscy duzi ISP i nie zablokują TCP/25 wspólnie, to
> nikt nie zrobi tego pierwszy - w obawie przed odejściem klientów do
> konkurencji. Management tak to widzi. Wszystkich tych ISP.

Kwestia odpowiedniego przedstawienia faktów i pomysłów managmentowi....

--
ŁT

do góry

Robert Rędziak <r...@g...wkurw.org> writes:

> - stałą adresację, aby kupa zrobiona przez jednego klienta nie
> spadała drugiemu na barki,

Z technicznego punktu widzenia to byloby rozwiazanie bez wad, ale
czy polityka na cos takiego moglaby pozwolic?
--
Krzysztof Halasa

do góry

Konrad Bechler <u...@...sygnatury> writes:

>> - blokowanie portu tcp/25.
> Domyślnie blokowana, ale z możliwością odblokowania na życzenie
> klienta. Przynajmniej ja bym to tak widział.

Wlasnie. Zdaje sie, ze w ogole cos takiego (tyle ze nie tcp/25
a jakies tam netbiosy czy cos w tym stylu) jest wlasnie tak robione?
--
Krzysztof Halasa

do góry

Tomasz Piłat <p...@i...pl> writes:

> No ale właśnie to jest krok w tym kierunku. Taki blackholing ma przecież
> zasięg globalny - zombie nie spamują/DDoSują/skanują NIKOGO.

A nie zarazaja przypadkiem?

> Przepraszam, ale jak &tp ma usnąć Twoim zdaniem ten problem?
>
>> Gdyby zaczęli blokować klientów, których komputery
>> wykazują objawy zarażenia, sprawa wyglądałaby zupełnie inaczej.
>
> A jak sobie to technicznie wyobrażasz (spam pomijamy, bo to proste)?

A jaki jest glowny z tym problem?
--
Krzysztof Halasa

do góry

Tomasz Piłat <p...@i...pl> writes:

>> Pod warunkiem, ze ich odciecie od serwerow kontrolujacych jest
>> stuprocentowe. A jest?
>
> Null-route jest 100%... Może na D-Linkach czasem puszcza jakiś pakiet... ;~)

To chyba te (niektore) "kontrolery" sa null-routowane, nie klienci?
To o jakiej stuprocentowosci mozna mowic?

> Wykrywanie objawów zarażenia. Podpowiem: zaglądanie do wnętrza pakietów jest
> z definicji nielegalne bez zgody sądu.

Tylko wtedy, gdy to nie pasuje do polityki TPSA. Jesli pasuje
(np. wycinanie TCP w zaleznosci od portu, np. netbios), to juz tak
bardzo nielegalne nie jest (i nie mowie ze akurat jakies zle). Tak
czy owak, akurat tym specjalnie bym sie nie przejmowal, tu nie chodzi
o "podsluch", a o klasyfikacje (innymi slowy nie ma tu zadnego
"zapoznawania sie" z zadna nietrywialna informacja).
--
Krzysztof Halasa

do góry

In pl.internet.polip Konrad Bechler <u...@...sygnatury> wrote:
> Witam,
>
>> - blokowanie portu tcp/25.
> Domyślnie blokowana, ale z możliwością odblokowania na życzenie klienta.
> Przynajmniej ja bym to tak widział.

Ja bym domyślnie puszczał przez relaya (pewnie musiało by ich być fizycznie
paredziesiąt) - przy okazji można by ciąc wirusy, autoryzować, błogosławić,
namaszczać itp.

--
ŁT

do góry