Re: DDoSy, co robic? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › DDoSy, co robic? › Re: DDoSy, co robic?

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
sfeed.gazeta.pl!news.gazeta.pl!not-for-mail
From: Łukasz Bromirski <w...@w...goes>
Newsgroups: pl.internet.polip
Subject: Re: DDoSy, co robic?
Date: Thu, 08 Jan 2004 12:13:17 +0100
Organization: Portal Gazeta.pl -> http://www.gazeta.pl
Lines: 53
Message-ID: <btje09$92t$1@inews.gazeta.pl>
References: <8...@l...freebsd.lublin.pl>
<4oh4cmkj31vt$.16bnevj310not$.dlg@40tude.net>
<8...@l...freebsd.lublin.pl>
<bthhjj$1p20$1@news2.ipartners.pl> <bti5tc$9nb$1@absolut.sgh.waw.pl>
<bti709$24g4$1@news2.ipartners.pl>
<s...@k...kezu.org>
<X...@1...69.11.157> <btjc3s$f1n$1@absolut.sgh.waw.pl>
NNTP-Posting-Host: 195.117.157.3
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1073560393 9309 195.117.157.3 (8 Jan 2004 11:13:13 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Thu, 8 Jan 2004 11:13:13 +0000 (UTC)
In-Reply-To: <btjc3s$f1n$1@absolut.sgh.waw.pl>
X-Accept-Language: en-us, en
X-User: mr0vka
User-Agent: Mozilla Thunderbird 0.5a (20031219)
Xref: news-archive.icm.edu.pl pl.internet.polip:60341
[ ukryj nagłówki ]
Piotr KUCHARSKI wrote:

>>I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
>>natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
>>urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
>>przynajmniej pozostale urzadzenia u tego samego klienta.
> Ale łącze do operatora dalej jest zatkane.

No nie jest. Masz np. pulę 192.168.0.0/24, DDoS przychodzi na
dwa IP: 192.168.0.64 i 192.168.0.251. Masz ze swoim (-imi) ISP
ustalony peering BGP, więc po wpisaniu do swoich routerów BGP
linijek:

ip route 192.168.0.64 255.255.255.255 Null0 tag 12345
ip route 192.168.0.251 255.255.255.255 Null0 tag 12345

...powodujesz, że przez BGP (dzięki dodatkowo route-mapie i
ustaleniu community) taka trasa znajduje się najpierw
w brzegowym routerze operatora, a chwilę później w całej jego
sieci.

To powoduje, że na każdym punktu styku w ASie Twojego ISP
z innymi ASami, cały ruch do nieszczęsnych 192.168.0.64 i .251
jest od razu routowany do Null 0, natomiast cała reszta
ruchu z podsieci 192.168.0.0/24 przechodzi do Ciebie. Dodatkowym
zyskiem dla ISP jest oszczędzenie swojej sieci, bo nie tranzytuje
śmieciowego ruchu DoS/DDoS.

Jeśli ofiarą ataku jest klient, to prosisz go żeby w celu
dalszego korzystania z Internetu czasowo zmienił sobie IP,
jeśli serwer - trzeba uprzednio przygotować sobie zapasowy.
Najgorzej jak celem ataku DDoS stanie się IP na interfejsie
Twojego routera brzegowego - wtedy jedynym rozwiązaniem jest
blokowanie po źródłach ataku a nie po adresie docelowym, bo
w innym przypadku ISP odetnie sobie Ciebie ;)

> Gdyby tylko dało się łatwo udowodnić, kto stoi za atakami, eh.
> I doprowadzić do skazania. Po kilku takich procesach przestaliby
> bezmyślnie szastać DDoS-ami.

Dopóki ludzie będą bezmyślnie używać systemów niezabezpieczonych
przy podłączeniach do Internetu, możliwość ich masowego przejęcia
i zastosowania w takim ataku będzie bardzo atrakcyjną perspektywą.
Czyli - nieprędko chyba się to skończy.

Przykładów z routerów których doglądam przytaczać chyba nie
ma sensu, ale nie ma nawet takiej potrzeby - mam w domu Neo+,
którego adres zmienia się co 3-4 godziny i codziennie puka do mnie
paręnaście stacji, które bardzo proszą się o przejęcie nad nimi
kontroli. No i zawsze znajdzie się ktoś, kto skorzysta.

--
Łukasz Bromirski lbromirski:mr0vka,eu,org