eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipspecjalistaRe: specjalista
  • Message-ID: <4167012.ydbBD7JL7S@latitude>
    From: Neas <n...@n...invalid>
    Subject: Re: specjalista
    Newsgroups: pl.internet.polip
    Date: Wed, 11 May 2005 20:20:36 +0200
    References: <2382567.siTsP2s9SH@latitude>
    <s...@t...icm.edu.pl>
    <6307441.YpbqAdYtNY@latitude> <d5t185$rh4$1@nemesis.news.tpi.pl>
    Lines: 89
    User-Agent: KNode/0.9.0
    MIME-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-2
    Content-Transfer-Encoding: 8Bit
    NNTP-Posting-Host: 80.55.25.186
    X-Trace: news.home.net.pl 1115835835 80.55.25.186 (11 May 2005 20:23:55 +0200)
    Organization: home.pl news server
    X-Authenticated-User: n...@p...pl
    Path: news-archive.icm.edu.pl!news.rmf.pl!nf1.ipartners.pl!ipartners.pl!news.home.net
    .pl!not-for-mail
    Xref: news-archive.icm.edu.pl pl.internet.polip:72297
    [ ukryj nagłówki ]

    Digit pisze:

    > Floody ICMP sa zazwyczaj sfragmentowane - poza pierwszym pakietem z
    > serii, nie da sie określić czy jest to echo-request, reply, czy jeszcze
    > coś innego.
    > Router ze stateful firewallem u providera nadrzednego mogłby sobie
    > poradzić,

    Możliwe, nie jestem specjalistą od routingu, wiem tyle, ile było mi
    potrzebne w różnych sytuacjach. Praktyka mi natomiast mówi, że moje proste
    regułki całkiem nieźle radziły sobie z icmp-floodem i nie przeszkadzały mi
    używać pinga, traceroute etc. Nie jest to więc szczególnie skomplikowane.

    > aczkolwiek już widzę jak TP czy inne firmy będą swiadczyć
    > takie usługi na masówkach typu DSL, czy nawet FR.

    Co ciekawe, swiadczy. A w każdym razie powinna. Na przykład w skład
    podstawowego pakietu DSL wchodzi ponoć
    [http://www.internetdsl.pl/pages/info_zabezpieczenia
    .php]. Ponoć, bo z
    moich doświadczeń wynika, że kiedyś to działało, a potem przestało.
    Szczególnie ochrona przed tcp-syn floodem.

    >> Po drugie to ich problem, nie mój.
    >
    > Provider świadczy usługę transmisji danych i jak widać wywiązuje sie z
    > tego w 100%.
    > Problemem (Internetu) są wszelkie osobniki DDoS-ujące, czy to dla
    > zabawy, czy dla podbudowania własnego ego.

    Nie wywiązuje się, bo nie mogę z tej transmisji korzystać. Po pierwsze DDoS
    nie jest rzeczą, którą mógłby życzyć sobie jakikolwiek klient (więc to nie
    on 'wykorzystuje' nim łącze, jeśli wiesz, co mam na myśli), a po drugie
    taki atak przechodzi najpierw przez routery providera, który powinien to
    wtedy wyfiltrować. Z resztą sam polpak przyjmuje takie zgłoszenia jako
    'awarie'.

    >> IMHO powinni mieć filtry na routerach
    >> brzegowych lub cokolwiek, przecież blokowanie portu nie ma żadnego sensu
    >> bo jak już napisałem walną w inny i tyle. Podsumowując oznaczałoby to, że
    >> jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie
    >> wszystkiego o idzie do danego IP.
    >
    > Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
    > Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
    > połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.

    Obie możliwości w moim przypadku są nie do przyjęcia.

    >> Po trzecie przychodzi mi na myśl wiele możliwych w teorii rozwiązań,
    >> które z resztą stosuję na własnym routerze, tyle że w przypadku takiego
    >> ataku pomaga to z oczywistych powodów tyle co nic (jesli działa dopiero u
    >> mnie). Ja limituję m.in. tcp-syn dla poszczególnych połączeń
    >> przychodzących. Konkretnie są to dwa limity -- jeden /s a drugi, większy
    >> /m. I świetnie się to sprawdza w przypadku tcp-syn floodu, przechodzą
    >> zupełne resztki. Oczywiście nic to nie pomaga bo samo łącze mam zapchane,
    >> ale jak widać da się. Jeśli routery by im nie wyrabiały przy takich
    >> regułkach to niech kupią lepsze. Z moich testów wynika, że powyższe
    >> regułki dla mocno obciążonych (duża ilość połączeń) 2mbit generują
    >> niezauważalne obciążenie na przeciętnej maszynce, więc takie tłumaczenie
    >> oznaczałoby, że podpinają klientów do jakichś g*.
    >
    > Po stronie operatora ten ruch jest >2Mbit.
    > A i powyższego niestety nie dostaniemy na łączach (masówkach) w tej
    > klasie cenowej.

    Wybacz, DSL/FR jest ponoć dedykowany firmom, to nie są już łącza dla
    domowych klikaczy. A zabezpieczenia przed podstawowymi metodami takich
    ataków powinny być oczywiste. Szczególnie, że nie jest to ani trudne do
    zrobienia, ani szczególnie zasobożerne. Zauważ, że tysiące pakietów
    przechodzące przez ileśtam różnych routerów TPSA także generują niemałe
    obciążenie (po zsumowaniu).

    >> Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99%
    >> loss. Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej.
    >> Wnioskuję po tym, ze po ich sieci latało przez 4h jakieś 100mbit/s
    >> śmieci, albo i więcej, pewnie w dużej części z ich własnych neostrad etc.
    >> Olewanie czegoś takiego to po prostu skandal.
    >
    > Ja po swoich niemiłych doswiadczeniach z DDoS'ami i Działem
    > Bezpieczeństwa CST TP, uważam że to są w stanie zrobic, to robią i
    > absolutnie nie mam nic do zarzucenia, a obrywanie pakietami nikogo nie
    > cieszy.

    No, tak było kiedyś. Teraz ów 'specjalista' przebąkiwał coś o jakichś
    pakietach bezpieczeństwa, moze kazali im olewać zgłoszenia żeby naciągnąć
    ludzi na to?

    --
    Neas, ?eas@?eas.pl, http://www.neas.pl

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: