Pewien irc-kiddie DDoS-ował mnie dzisiaj dość natarczywie i jak to zwykle
bywa w takich sytuacjach postanowiłem zadzwonić do polpaku. Zgłosiłem
incydent i po niedługiej chwili zadzwonił do mnie tzw. 'specjalista'. Na
wstępie stwierdził atak na tcp:22 po czym zaproponował inteligentne
rozwiazanie polegające na zablokowaniu tego portu i ew. odblokowanie dla
jakichś ipków. Nie zgodziłem się na to, bo raz, że jest to uciązliwe, a
dwa, że g* daje, bo jak nie w 22 to walną w inny. I tak można pokolei
zablokować wszystkie porty.

Po mojej odmowie stwierdził, że nic innego 'nie da się zrobić', bo atak jest
rozproszony, a on nie będzie blokował 2000 IP. Stwierdziłem, że mam powody
sądzić, że to zwykły DDoS-net, więc IP-ki nie zmienią się tak szybko i ma
to sens, ale ten powtarzał dalej swoje. W końcu zaczął mnie irytować, więc
delikatnie zasugerowałem, ze skoro płacę za łącze to powinno działać i że
generalnie on jest od tego, żeby znaleźć rozwiązanie. Odpowiedział, że nie
ma tego w umowie i że może to ja powoduje ten ruch, tudzież, że on nie wie,
czy to DDoS (przypominam, że od stwierdzenia, ze to DDoS sam rozpoczął
rozmowę), a potem stwierdził, że - uwaga - może się komuś naraziłem (w
domyśle - to moja wina) :D. Na koniec dodał, ze nic po za zablokowaniem
mojego portu nie zrobi i mogę sobie zgłosić na policję. Po tym ostatnim
stwierdzeniu doszedłem do wniosku ze dalsza rozmowa nie ma sensu, więc
poprosiłem go o imię i nazwisko celem złożenia skargi. Stwierdził, że nie
poda i rozłączył się.

Zadzwoniłem jeszcze raz na ten postawowy numer i kobieta, która odebrała,
oświadczyła, że wg. 'specjalisty' jedyną możliwością usunięcia problemu
jest zablokowanie portu u mnie. Na moje pytanie dlaczego jest to jedyna
możliwość, skoro dzwoniłem z takimi problemami wiele razy i były
rozwiązywane inaczej, odparła, że jest to jedyna możliwość bo jest to
jedyna możliwość.

Pewnie dobrze się bawili, a jedna z moich maszynek była przez 4h odłączona
od świata (98-99% loss).

Kiedyś miałem zupełnie inne doświadczenia z 'działem bezpieczeństwa', nawet
odnośnie SDI kilka lat temu. Zwykle radzili sobie z takim rzeczami w ciągu
od kilku minut do godziny od zgłoszenia. Czyżby ktoś zwolnił techników, a
zatrudnił... z resztą nieważne, po co się denerwować.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas wrote:

> odnośnie SDI kilka lat temu. Zwykle radzili sobie z takim rzeczami w ciągu
> od kilku minut do godziny od zgłoszenia. Czyżby ktoś zwolnił techników, a
> zatrudnił...

Marketingowców ?

Pozdr,
--
ŁK, domyślny

do góry

Neas wrote:

> Pewien irc-kiddie DDoS-ował mnie dzisiaj dość natarczywie i jak to zwykle
[...]
> Po mojej odmowie stwierdził, że nic innego 'nie da się zrobić', bo atak jest
> rozproszony, a on nie będzie blokował 2000 IP. Stwierdziłem, że mam powody
> sądzić, że to zwykły DDoS-net, więc IP-ki nie zmienią się tak szybko i ma
> to sens, ale ten powtarzał dalej swoje. W końcu zaczął mnie irytować, więc
> delikatnie zasugerowałem, ze skoro płacę za łącze to powinno działać i że
> generalnie on jest od tego, żeby znaleźć rozwiązanie. Odpowiedział, że nie
> ma tego w umowie i że może to ja powoduje ten ruch, tudzież, że on nie wie,
> czy to DDoS (przypominam, że od stwierdzenia, ze to DDoS sam rozpoczął
> rozmowę), a potem stwierdził, że - uwaga - może się komuś naraziłem (w
> domyśle - to moja wina) :D. Na koniec dodał, ze nic po za zablokowaniem
> mojego portu nie zrobi i mogę sobie zgłosić na policję. Po tym ostatnim
> stwierdzeniu doszedłem do wniosku ze dalsza rozmowa nie ma sensu, więc
> poprosiłem go o imię i nazwisko celem złożenia skargi. Stwierdził, że nie
> poda i rozłączył się.

Jakkolwiek by to nie brzmiało, to imho niespecjalnie miał inne wyjście
-- jakoś nie bardzo widzę dołożenie 2000 acli gdzieś w środku sieci
i przerzucania przez te reguły całego ruchu. Nawet zrobienie tego na
ostatnim urządzeniu, jeśli w ogóle ma takie opcje mi się nie widzi.

--
sh

do góry

Maciej Anczura pisze:

> Jakkolwiek by to nie brzmiało, to imho niespecjalnie miał inne wyjście
> -- jakoś nie bardzo widzę dołożenie 2000 acli gdzieś w środku sieci
> i przerzucania przez te reguły całego ruchu. Nawet zrobienie tego na
> ostatnim urządzeniu, jeśli w ogóle ma takie opcje mi się nie widzi.

Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
problem nieblokując mi portów, więc napewno mogą to zrobić. Jeszcze tylko
raz trafiłem na jakiegoś głupka który stwierdził m.in., że jeśli dropnie
flood po icmp to nie będę mógł pingować (o echo-request pewnie nie
słyszał).

Po drugie to ich problem, nie mój. IMHO powinni mieć filtry na routerach
brzegowych lub cokolwiek, przecież blokowanie portu nie ma żadnego sensu bo
jak już napisałem walną w inny i tyle. Podsumowując oznaczałoby to, że
jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie wszystkiego
o idzie do danego IP.

Po trzecie przychodzi mi na myśl wiele możliwych w teorii rozwiązań, które z
resztą stosuję na własnym routerze, tyle że w przypadku takiego ataku
pomaga to z oczywistych powodów tyle co nic (jesli działa dopiero u mnie).
Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.
Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie się
to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.
Oczywiście nic to nie pomaga bo samo łącze mam zapchane, ale jak widać da
się. Jeśli routery by im nie wyrabiały przy takich regułkach to niech kupią
lepsze. Z moich testów wynika, że powyższe regułki dla mocno obciążonych
(duża ilość połączeń) 2mbit generują niezauważalne obciążenie na
przeciętnej maszynce, więc takie tłumaczenie oznaczałoby, że podpinają
klientów do jakichś g*.

Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99% loss.
Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej. Wnioskuję po
tym, ze po ich sieci latało przez 4h jakieś 100mbit/s śmieci, albo i
więcej, pewnie w dużej części z ich własnych neostrad etc. Olewanie czegoś
takiego to po prostu skandal.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas wrote:
> Maciej Anczura pisze:

[ciach]

Łączymy się z Tobą w bólu ale może lepiej zmień providera i przestań
płakać?


--
Pozdrawiam,
Jan Magnuszewski.

do góry

Jan Magnuszewski pisze:

> Neas wrote:
>> Maciej Anczura pisze:
>
> [ciach]
>
> Łączymy się z Tobą w bólu ale może lepiej zmień providera i przestań
> płakać?

Gdybym mógł, to bym zmienił.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas <n...@n...invalid> writes:

> Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
> problem nieblokując mi portów, więc napewno mogą to zrobić.

Moze ataki byly inne?

> Po drugie to ich problem, nie mój.

To po co do nich dzwoniles?

> IMHO powinni mieć filtry na routerach
> brzegowych lub cokolwiek,

Filtry, ktore co mialyby filtrowac?

> przecież blokowanie portu nie ma żadnego sensu bo
> jak już napisałem walną w inny i tyle.

To fakt. Normalnie po prostu przekierowuje sie atakowany IP do nulla,
bez wnikania w porty czy protokoly.

> Podsumowując oznaczałoby to, że
> jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie wszystkiego
> o idzie do danego IP.

O to to.
Standardowy sposob, zreszta. Znasz jakis lepszy, ktory mozna realnie
zastosowac?

> Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.

A ten atak miales wlasnie taki?

> Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie się
> to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.

Czyli tu nie byl syn flood? Czy jednak byl?

> Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99% loss.
> Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej.

Chyba nie traktujesz tego jako znaczacej informacji.
--
Krzysztof Halasa

do góry

Krzysztof Halasa pisze:

>> Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
>> problem nieblokując mi portów, więc napewno mogą to zrobić.
>
> Moze ataki byly inne?

Nie były.

[cut - trollowanie]
>> przecież blokowanie portu nie ma żadnego sensu bo
>> jak już napisałem walną w inny i tyle.
>
> To fakt. Normalnie po prostu przekierowuje sie atakowany IP do nulla,
> bez wnikania w porty czy protokoly.

Tzn. być może Ty tak robisz, ale napewno nie jest to normalne. Ba, jest
idiotyczne -- 'Walniemy w niego DDoSem, to go jeszcze odłączą'.

[cut - trollowanie]
>> Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.
>
> A ten atak miales wlasnie taki?

Chyba z mojej odpowiedzi wynika, że tak?

>> Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie
>> się to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.
>
> Czyli tu nie byl syn flood? Czy jednak byl?

A tcp-syn nie można limitować wg. Twojej wiedzy /s czy /m?

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas wrote:
> Maciej Anczura pisze:
> >
>>Jakkolwiek by to nie brzmiało, to imho niespecjalnie miał inne wyjście
>>-- jakoś nie bardzo widzę dołożenie 2000 acli gdzieś w środku sieci
>>i przerzucania przez te reguły całego ruchu. Nawet zrobienie tego na
>>ostatnim urządzeniu, jeśli w ogóle ma takie opcje mi się nie widzi.

Mi też się nie widzi.

> Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
> problem nieblokując mi portów, więc napewno mogą to zrobić. Jeszcze tylko
> raz trafiłem na jakiegoś głupka który stwierdził m.in., że jeśli dropnie
> flood po icmp to nie będę mógł pingować (o echo-request pewnie nie
> słyszał).

Floody ICMP sa zazwyczaj sfragmentowane - poza pierwszym pakietem z
serii, nie da sie określić czy jest to echo-request, reply, czy jeszcze
coś innego.
Router ze stateful firewallem u providera nadrzednego mogłby sobie
poradzić, aczkolwiek już widzę jak TP czy inne firmy będą swiadczyć
takie usługi na masówkach typu DSL, czy nawet FR.

> Po drugie to ich problem, nie mój.

Provider świadczy usługę transmisji danych i jak widać wywiązuje sie z
tego w 100%.
Problemem (Internetu) są wszelkie osobniki DDoS-ujące, czy to dla
zabawy, czy dla podbudowania własnego ego.

> IMHO powinni mieć filtry na routerach
> brzegowych lub cokolwiek, przecież blokowanie portu nie ma żadnego sensu bo
> jak już napisałem walną w inny i tyle. Podsumowując oznaczałoby to, że
> jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie wszystkiego
> o idzie do danego IP.

Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.

> Po trzecie przychodzi mi na myśl wiele możliwych w teorii rozwiązań, które z
> resztą stosuję na własnym routerze, tyle że w przypadku takiego ataku
> pomaga to z oczywistych powodów tyle co nic (jesli działa dopiero u mnie).
> Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.
> Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie się
> to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.
> Oczywiście nic to nie pomaga bo samo łącze mam zapchane, ale jak widać da
> się. Jeśli routery by im nie wyrabiały przy takich regułkach to niech kupią
> lepsze. Z moich testów wynika, że powyższe regułki dla mocno obciążonych
> (duża ilość połączeń) 2mbit generują niezauważalne obciążenie na
> przeciętnej maszynce, więc takie tłumaczenie oznaczałoby, że podpinają
> klientów do jakichś g*.

Po stronie operatora ten ruch jest >2Mbit.
A i powyższego niestety nie dostaniemy na łączach (masówkach) w tej
klasie cenowej.

>
> Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99% loss.
> Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej. Wnioskuję po
> tym, ze po ich sieci latało przez 4h jakieś 100mbit/s śmieci, albo i
> więcej, pewnie w dużej części z ich własnych neostrad etc. Olewanie czegoś
> takiego to po prostu skandal.

Ja po swoich niemiłych doswiadczeniach z DDoS'ami i Działem
Bezpieczeństwa CST TP, uważam że to są w stanie zrobic, to robią i
absolutnie nie mam nic do zarzucenia, a obrywanie pakietami nikogo nie
cieszy.

--
ircx.net.pl team

do góry

Neas <n...@n...invalid> wrote:

> Podsumowując oznaczałoby to, że jedynym przeciwdziałaniem DDoS-owi wg.
> polpaku jest dropnięcie wszystkiego o idzie do danego IP.

Według atcomu także. Czasami nawet zdarzało im się zadzwonić do mnie
lub szefa, żeby poinformować o wycięciu konkretnego ipka z powodu
ddosu ;-) Na całe szczęście (mówiąc o całokształcie) już nie mamy
z nimi umowy - została rozwiązana z powodu wypowiedzenia im przez
tepsę umowy na dzierżawę linii.

--
Adam Wysocki * www.gophi.rotfl.pl * GG: 1234 * Fidonet: 2:480/127.21
Nie wybierałeś bycia pedałem. Po prostu miałeś szczęście. (C) GMG148

do góry