-
Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Łukasz Bromirski <t...@1...0.0.1>
Newsgroups: pl.internet.polip
Subject: Re: TP nie lubi GIMPa czy co?
Date: Thu, 01 Jan 2009 14:46:55 +0100
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 65
Message-ID: <gjihgd$r8q$1@inews.gazeta.pl>
References: <2...@c...fuw.edu.pl> <2...@c...fuw.edu.pl>
<nphlz8jnbhgb$.dlg@falcon.sloth.hell.pl>
<2...@c...fuw.edu.pl>
<1...@f...sloth.hell.pl>
<2...@c...fuw.edu.pl> <gjds3q$gci$2@portraits.wsisiz.edu.pl>
<2...@c...fuw.edu.pl> <gjdtiv$h6b$1@portraits.wsisiz.edu.pl>
<2...@c...fuw.edu.pl> <gjdua9$hel$1@portraits.wsisiz.edu.pl>
<9...@e...googlegroups.com>
<gjfsb5$djq$1@portraits.wsisiz.edu.pl> <op.um12qvnhdpn5qi@ofca>
NNTP-Posting-Host: dtb233.neoplus.adsl.tpnet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1230817614 27930 83.24.239.233 (1 Jan 2009 13:46:54 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Thu, 1 Jan 2009 13:46:54 +0000 (UTC)
X-User: y0d4
In-Reply-To: <op.um12qvnhdpn5qi@ofca>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1b3pre)
Gecko/20081204 Thunderbird/3.0b1
Xref: news-archive.icm.edu.pl pl.internet.polip:88004
[ ukryj nagłówki ]On 2009-01-01 03:05, Paweł Tyll wrote:
> On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
> <l...@t...nospam.net> wrote:
>> W sumie, punkt widzenia, zależy od punktu siedzenia
> Punkt widzenia jest taki, że komunikacja botnetów zostanie
> zmodernizowana o jakiś SSL i wszystko wróci do normy. Może jeszcze
> jakiś protokół P2P zostanie zapożyczony do wyeliminowania centralnego
> punktu.
Ale tak już jest. To że duża część botnetów nadal używa serwerów
IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
do skompilowania kodu.
Te botnety które są tworzone przez typowe organizacje przestępcze
przeszły już jakiś czas temu na sesje szyfrowane bez punktu
centralnego.
Z ciekawostek - kupując 'usługę' skorzystania z botnetu dostaje się
płytkę CD (lub ISO tejże) z zestawem jednorazowych kodów do
aktywowania/zatrzymania ataku. Kody mogą zostać unieważnione przez
sprzedającego. Itd. itp. To nie jest już zabawa w 'zablokujmy IP'.
A źle wpisany kod kończy się ostrzegawczym DDoSem IP z którego
kod próbowano wpisać.
> Niezależnie od powyższych oczywiście takie praktyki spowodują, że
> botów ubędzie...w fantazjach zrodzonych w czyjejś naiwnej głowie.
Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
zgodę, pisać regulaminy/etc.
To że 'chcieliśmy dobrze, wyszło jak zawsze' jest już pewnie
nieodłączną cechą tej organizacji (choć chciałbym się mylić). Miliony
użytkowników, ale call center nie ma pojęcia jak działa i co powoduje
ten nowy mechanizm bezpieczeństwa - sprzedaż masowa.
> Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32
> z których łączą się boty
Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
według mojej najlepszej wiedzy TP nie ma.
Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
być może jest też smutną przyszłością - ale na razie się po prostu
nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
niż klientów.
Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
doświadczeniach ludzi walczących z takimi rzeczami codziennie w
sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
po pierwsze musi trwać latami, a po drugie - często traktowana jest
jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
robi'). No i skutki widać.
--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net
Następne wpisy z tego wątku
- 01.01.09 14:26 Michał Kurowski
- 01.01.09 14:32 Paweł Tyll
- 01.01.09 14:43 Grzegorz Staniak
- 01.01.09 14:34 Szymon Sokół
- 01.01.09 14:38 Paweł Tyll
- 01.01.09 14:52 Krzysztof Halasa
- 01.01.09 14:58 Paweł Tyll
- 01.01.09 15:09 Krzysztof Halasa
- 01.01.09 15:33 Grzegorz Staniak
- 01.01.09 15:25 Krzysztof Halasa
- 01.01.09 15:29 Robert Rędziak
- 01.01.09 15:30 Mariusz Kruk
- 01.01.09 15:35 Mariusz Kruk
- 01.01.09 15:47 Grzegorz Staniak
- 01.01.09 15:44 Paweł Tyll
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-11-24 Czy Sejm RP zahamuje proceder zabijania dla organów?
- 2024-11-24 Aby WKOOOORWIĆ ekofaszystów ;-)
- 2024-11-22 OC - podwyżka
- 2024-11-22 wyszedł z domu bez buta
- 2024-11-22 Bieda hud.
- 2024-11-24 DS1813-10 się psuje
- 2024-11-23 Białystok => Inżynier bezpieczeństwa aplikacji <=
- 2024-11-23 Szczecin => QA Engineer <=
- 2024-11-23 Warszawa => SEO Specialist (15-20h tygodniowo) <=
- 2024-11-22 Warszawa => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-11-22 Warszawa => Senior Account Manager <=
- 2024-11-22 Warszawa => Key Account Manager <=
- 2024-11-22 Warszawa => DevOps Specialist <=
- 2024-11-22 Kraków => IT Expert (Network Systems area) <=
- 2024-11-22 Warszawa => Infrastructure Automation Engineer <=