Re: DDoSy, co robic? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › DDoSy, co robic? › Re: DDoSy, co robic?

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news2.icm.edu.pl
!sgh.waw.pl!not-for-mail
From: Piotr KUCHARSKI <c...@s...waw.pl>
Newsgroups: pl.internet.polip
Subject: Re: DDoSy, co robic?
Date: 7 Jan 2004 14:03:37 GMT
Organization: Warsaw School of Economics
Lines: 54
Message-ID: <bth3jp$1me$1@absolut.sgh.waw.pl>
References: <8...@l...freebsd.lublin.pl>
NNTP-Posting-Host: akson.sgh.waw.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
User-Agent: tin/1.7.3-20031220 ("Taransay") (UNIX) (SunOS/5.6 (sun4u))
Xref: news-archive.icm.edu.pl pl.internet.polip:60290
[ ukryj nagłówki ]
Przemyslaw Frasunek <v...@f...lublin.pl> wrote:
> Charakterystyka ataku jest bardzo typowa: ogromny synflood

To akurat dość proste do rate-limitowania. Netia powinna to zrobić.
(Tylko i tak nie rozwiązuje problemu, bo jest wiele innych ataków.)

> Zrodlem ataku jest prawie zawsze kilkaset maszyn
> z Polski, wszystkie z systemami Win* lub za NATami, 90% na iDSLach
> i Neostradach. Zgloszenia do abuse@ u atakujacych operatorow
> praktycznie nie pomagaja, TPSA odeslala typowa odpowiedz, Multimedia
> natomiast profilaktycznie zablokowala cale moje /24.

Heh, skąd ja to znam. Kiedyś się zawziąłem i wysłałem w sprawie
ataku DDoS 40 listów do różnych operatorów. Odpowiedziało dwóch.
Trochę to straszne. (Tu ukłony dla Astera, chyba najporządniejszy
dział ds. abuse, jaki widziałem.)

> Proby zglaszania
> ataku do Netii takze nie przynosza rezultatu -- ACLe i shaping nie
> moga byc zalozone ze wzgledu na grozbe przeciazenia routerow.

A to już gorzej. Takie limity per saldo powinny się opłacić.

I mniej technicznie:

Łatwy dostęp do narzędzi, idiotyzm zwykłych użytkowników
(skądś te zombie się biorą) i powszechny dostęp do (dość)
szybkiego internetu.

Dodatkowo ludzie są jacyś kompletnie bezrozumni, w ogóle nie
zastanawiają się nad skutkami swoich poczynań. Przecież nie robią
nikomu krzywdy, to tylko sieć, to tylko jeden serwer, to tylko DDoS.
Krzywo spojrzał: DDoS. Lewą nogą wstał: DDoS. Nie dał opa: DDoS.
Zatkanie sieci dla kilkuset lub kilku tysięcy użytkowników nie jest
przecież problemem, o co wszystkim chodzi?

Takich bezmyślnych głupków powinno dopadać:
a) prokurator (wątpliwe, niestety -- potrzebna by było bardzo
dobra współpraca z pośredniczącymi w ataku, ale skoro są pośrednikami,
to raczej nie będzie możliwe, a wykrywanie tego jest, sami wiecie,
raczej trudne)
b) praca na stanowisku administratora i uczucie bezsilności towarzyszące
atakom DDoS
c) Hammurabi i jego obcinacze rąk

p.

PS I nie piszcie, że za mała rura. Każdą się da zatkać, niestety.
Widziałem atak, który zatkał 2.5Gbps.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów ;)