eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipspecjalista
Ilość wypowiedzi w tym wątku: 34

  • 1. Data: 2005-05-10 20:46:57
    Temat: specjalista
    Od: Neas <n...@n...invalid>

    Pewien irc-kiddie DDoS-ował mnie dzisiaj dość natarczywie i jak to zwykle
    bywa w takich sytuacjach postanowiłem zadzwonić do polpaku. Zgłosiłem
    incydent i po niedługiej chwili zadzwonił do mnie tzw. 'specjalista'. Na
    wstępie stwierdził atak na tcp:22 po czym zaproponował inteligentne
    rozwiazanie polegające na zablokowaniu tego portu i ew. odblokowanie dla
    jakichś ipków. Nie zgodziłem się na to, bo raz, że jest to uciązliwe, a
    dwa, że g* daje, bo jak nie w 22 to walną w inny. I tak można pokolei
    zablokować wszystkie porty.

    Po mojej odmowie stwierdził, że nic innego 'nie da się zrobić', bo atak jest
    rozproszony, a on nie będzie blokował 2000 IP. Stwierdziłem, że mam powody
    sądzić, że to zwykły DDoS-net, więc IP-ki nie zmienią się tak szybko i ma
    to sens, ale ten powtarzał dalej swoje. W końcu zaczął mnie irytować, więc
    delikatnie zasugerowałem, ze skoro płacę za łącze to powinno działać i że
    generalnie on jest od tego, żeby znaleźć rozwiązanie. Odpowiedział, że nie
    ma tego w umowie i że może to ja powoduje ten ruch, tudzież, że on nie wie,
    czy to DDoS (przypominam, że od stwierdzenia, ze to DDoS sam rozpoczął
    rozmowę), a potem stwierdził, że - uwaga - może się komuś naraziłem (w
    domyśle - to moja wina) :D. Na koniec dodał, ze nic po za zablokowaniem
    mojego portu nie zrobi i mogę sobie zgłosić na policję. Po tym ostatnim
    stwierdzeniu doszedłem do wniosku ze dalsza rozmowa nie ma sensu, więc
    poprosiłem go o imię i nazwisko celem złożenia skargi. Stwierdził, że nie
    poda i rozłączył się.

    Zadzwoniłem jeszcze raz na ten postawowy numer i kobieta, która odebrała,
    oświadczyła, że wg. 'specjalisty' jedyną możliwością usunięcia problemu
    jest zablokowanie portu u mnie. Na moje pytanie dlaczego jest to jedyna
    możliwość, skoro dzwoniłem z takimi problemami wiele razy i były
    rozwiązywane inaczej, odparła, że jest to jedyna możliwość bo jest to
    jedyna możliwość.

    Pewnie dobrze się bawili, a jedna z moich maszynek była przez 4h odłączona
    od świata (98-99% loss).

    Kiedyś miałem zupełnie inne doświadczenia z 'działem bezpieczeństwa', nawet
    odnośnie SDI kilka lat temu. Zwykle radzili sobie z takim rzeczami w ciągu
    od kilku minut do godziny od zgłoszenia. Czyżby ktoś zwolnił techników, a
    zatrudnił... z resztą nieważne, po co się denerwować.

    --
    Neas, ?eas@?eas.pl, http://www.neas.pl


  • 2. Data: 2005-05-11 07:33:43
    Temat: Re: specjalista
    Od: Lukasz Kozicki <R...@v...cy.invalid>

    Neas wrote:

    > odnośnie SDI kilka lat temu. Zwykle radzili sobie z takim rzeczami w ciągu
    > od kilku minut do godziny od zgłoszenia. Czyżby ktoś zwolnił techników, a
    > zatrudnił...

    Marketingowców ?

    Pozdr,
    --
    ŁK, domyślny


  • 3. Data: 2005-05-11 07:50:32
    Temat: Re: specjalista
    Od: Maciej Anczura <s...@k...org>

    Neas wrote:

    > Pewien irc-kiddie DDoS-ował mnie dzisiaj dość natarczywie i jak to zwykle
    [...]
    > Po mojej odmowie stwierdził, że nic innego 'nie da się zrobić', bo atak jest
    > rozproszony, a on nie będzie blokował 2000 IP. Stwierdziłem, że mam powody
    > sądzić, że to zwykły DDoS-net, więc IP-ki nie zmienią się tak szybko i ma
    > to sens, ale ten powtarzał dalej swoje. W końcu zaczął mnie irytować, więc
    > delikatnie zasugerowałem, ze skoro płacę za łącze to powinno działać i że
    > generalnie on jest od tego, żeby znaleźć rozwiązanie. Odpowiedział, że nie
    > ma tego w umowie i że może to ja powoduje ten ruch, tudzież, że on nie wie,
    > czy to DDoS (przypominam, że od stwierdzenia, ze to DDoS sam rozpoczął
    > rozmowę), a potem stwierdził, że - uwaga - może się komuś naraziłem (w
    > domyśle - to moja wina) :D. Na koniec dodał, ze nic po za zablokowaniem
    > mojego portu nie zrobi i mogę sobie zgłosić na policję. Po tym ostatnim
    > stwierdzeniu doszedłem do wniosku ze dalsza rozmowa nie ma sensu, więc
    > poprosiłem go o imię i nazwisko celem złożenia skargi. Stwierdził, że nie
    > poda i rozłączył się.

    Jakkolwiek by to nie brzmiało, to imho niespecjalnie miał inne wyjście
    -- jakoś nie bardzo widzę dołożenie 2000 acli gdzieś w środku sieci
    i przerzucania przez te reguły całego ruchu. Nawet zrobienie tego na
    ostatnim urządzeniu, jeśli w ogóle ma takie opcje mi się nie widzi.

    --
    sh


  • 4. Data: 2005-05-11 10:35:10
    Temat: Re: specjalista
    Od: Neas <n...@n...invalid>

    Maciej Anczura pisze:

    > Jakkolwiek by to nie brzmiało, to imho niespecjalnie miał inne wyjście
    > -- jakoś nie bardzo widzę dołożenie 2000 acli gdzieś w środku sieci
    > i przerzucania przez te reguły całego ruchu. Nawet zrobienie tego na
    > ostatnim urządzeniu, jeśli w ogóle ma takie opcje mi się nie widzi.

    Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
    problem nieblokując mi portów, więc napewno mogą to zrobić. Jeszcze tylko
    raz trafiłem na jakiegoś głupka który stwierdził m.in., że jeśli dropnie
    flood po icmp to nie będę mógł pingować (o echo-request pewnie nie
    słyszał).

    Po drugie to ich problem, nie mój. IMHO powinni mieć filtry na routerach
    brzegowych lub cokolwiek, przecież blokowanie portu nie ma żadnego sensu bo
    jak już napisałem walną w inny i tyle. Podsumowując oznaczałoby to, że
    jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie wszystkiego
    o idzie do danego IP.

    Po trzecie przychodzi mi na myśl wiele możliwych w teorii rozwiązań, które z
    resztą stosuję na własnym routerze, tyle że w przypadku takiego ataku
    pomaga to z oczywistych powodów tyle co nic (jesli działa dopiero u mnie).
    Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.
    Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie się
    to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.
    Oczywiście nic to nie pomaga bo samo łącze mam zapchane, ale jak widać da
    się. Jeśli routery by im nie wyrabiały przy takich regułkach to niech kupią
    lepsze. Z moich testów wynika, że powyższe regułki dla mocno obciążonych
    (duża ilość połączeń) 2mbit generują niezauważalne obciążenie na
    przeciętnej maszynce, więc takie tłumaczenie oznaczałoby, że podpinają
    klientów do jakichś g*.

    Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99% loss.
    Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej. Wnioskuję po
    tym, ze po ich sieci latało przez 4h jakieś 100mbit/s śmieci, albo i
    więcej, pewnie w dużej części z ich własnych neostrad etc. Olewanie czegoś
    takiego to po prostu skandal.

    --
    Neas, ?eas@?eas.pl, http://www.neas.pl


  • 5. Data: 2005-05-11 11:29:01
    Temat: Re: specjalista
    Od: Jan Magnuszewski <r...@h...net.invalid>

    Neas wrote:
    > Maciej Anczura pisze:

    [ciach]

    Łączymy się z Tobą w bólu ale może lepiej zmień providera i przestań
    płakać?


    --
    Pozdrawiam,
    Jan Magnuszewski.


  • 6. Data: 2005-05-11 11:36:40
    Temat: Re: specjalista
    Od: Neas <n...@n...invalid>

    Jan Magnuszewski pisze:

    > Neas wrote:
    >> Maciej Anczura pisze:
    >
    > [ciach]
    >
    > Łączymy się z Tobą w bólu ale może lepiej zmień providera i przestań
    > płakać?

    Gdybym mógł, to bym zmienił.

    --
    Neas, ?eas@?eas.pl, http://www.neas.pl


  • 7. Data: 2005-05-11 12:01:57
    Temat: Re: specjalista
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Neas <n...@n...invalid> writes:

    > Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
    > problem nieblokując mi portów, więc napewno mogą to zrobić.

    Moze ataki byly inne?

    > Po drugie to ich problem, nie mój.

    To po co do nich dzwoniles?

    > IMHO powinni mieć filtry na routerach
    > brzegowych lub cokolwiek,

    Filtry, ktore co mialyby filtrowac?

    > przecież blokowanie portu nie ma żadnego sensu bo
    > jak już napisałem walną w inny i tyle.

    To fakt. Normalnie po prostu przekierowuje sie atakowany IP do nulla,
    bez wnikania w porty czy protokoly.

    > Podsumowując oznaczałoby to, że
    > jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie wszystkiego
    > o idzie do danego IP.

    O to to.
    Standardowy sposob, zreszta. Znasz jakis lepszy, ktory mozna realnie
    zastosowac?

    > Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.

    A ten atak miales wlasnie taki?

    > Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie się
    > to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.

    Czyli tu nie byl syn flood? Czy jednak byl?

    > Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99% loss.
    > Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej.

    Chyba nie traktujesz tego jako znaczacej informacji.
    --
    Krzysztof Halasa


  • 8. Data: 2005-05-11 13:04:27
    Temat: Re: specjalista
    Od: Neas <n...@n...invalid>

    Krzysztof Halasa pisze:

    >> Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
    >> problem nieblokując mi portów, więc napewno mogą to zrobić.
    >
    > Moze ataki byly inne?

    Nie były.

    [cut - trollowanie]
    >> przecież blokowanie portu nie ma żadnego sensu bo
    >> jak już napisałem walną w inny i tyle.
    >
    > To fakt. Normalnie po prostu przekierowuje sie atakowany IP do nulla,
    > bez wnikania w porty czy protokoly.

    Tzn. być może Ty tak robisz, ale napewno nie jest to normalne. Ba, jest
    idiotyczne -- 'Walniemy w niego DDoSem, to go jeszcze odłączą'.

    [cut - trollowanie]
    >> Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.
    >
    > A ten atak miales wlasnie taki?

    Chyba z mojej odpowiedzi wynika, że tak?

    >> Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie
    >> się to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.
    >
    > Czyli tu nie byl syn flood? Czy jednak byl?

    A tcp-syn nie można limitować wg. Twojej wiedzy /s czy /m?

    --
    Neas, ?eas@?eas.pl, http://www.neas.pl


  • 9. Data: 2005-05-11 13:21:55
    Temat: Re: specjalista
    Od: Digit <d...@k...ma.pisac.ten.zna>

    Neas wrote:
    > Maciej Anczura pisze:
    > >
    >>Jakkolwiek by to nie brzmiało, to imho niespecjalnie miał inne wyjście
    >>-- jakoś nie bardzo widzę dołożenie 2000 acli gdzieś w środku sieci
    >>i przerzucania przez te reguły całego ruchu. Nawet zrobienie tego na
    >>ostatnim urządzeniu, jeśli w ogóle ma takie opcje mi się nie widzi.

    Mi też się nie widzi.

    > Po pierwsze dzwoniłem do nich już kilkadziesiąt razy i zawsze usuwali
    > problem nieblokując mi portów, więc napewno mogą to zrobić. Jeszcze tylko
    > raz trafiłem na jakiegoś głupka który stwierdził m.in., że jeśli dropnie
    > flood po icmp to nie będę mógł pingować (o echo-request pewnie nie
    > słyszał).

    Floody ICMP sa zazwyczaj sfragmentowane - poza pierwszym pakietem z
    serii, nie da sie określić czy jest to echo-request, reply, czy jeszcze
    coś innego.
    Router ze stateful firewallem u providera nadrzednego mogłby sobie
    poradzić, aczkolwiek już widzę jak TP czy inne firmy będą swiadczyć
    takie usługi na masówkach typu DSL, czy nawet FR.

    > Po drugie to ich problem, nie mój.

    Provider świadczy usługę transmisji danych i jak widać wywiązuje sie z
    tego w 100%.
    Problemem (Internetu) są wszelkie osobniki DDoS-ujące, czy to dla
    zabawy, czy dla podbudowania własnego ego.

    > IMHO powinni mieć filtry na routerach
    > brzegowych lub cokolwiek, przecież blokowanie portu nie ma żadnego sensu bo
    > jak już napisałem walną w inny i tyle. Podsumowując oznaczałoby to, że
    > jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie wszystkiego
    > o idzie do danego IP.

    Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
    Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
    połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.

    > Po trzecie przychodzi mi na myśl wiele możliwych w teorii rozwiązań, które z
    > resztą stosuję na własnym routerze, tyle że w przypadku takiego ataku
    > pomaga to z oczywistych powodów tyle co nic (jesli działa dopiero u mnie).
    > Ja limituję m.in. tcp-syn dla poszczególnych połączeń przychodzących.
    > Konkretnie są to dwa limity -- jeden /s a drugi, większy /m. I świetnie się
    > to sprawdza w przypadku tcp-syn floodu, przechodzą zupełne resztki.
    > Oczywiście nic to nie pomaga bo samo łącze mam zapchane, ale jak widać da
    > się. Jeśli routery by im nie wyrabiały przy takich regułkach to niech kupią
    > lepsze. Z moich testów wynika, że powyższe regułki dla mocno obciążonych
    > (duża ilość połączeń) 2mbit generują niezauważalne obciążenie na
    > przeciętnej maszynce, więc takie tłumaczenie oznaczałoby, że podpinają
    > klientów do jakichś g*.

    Po stronie operatora ten ruch jest >2Mbit.
    A i powyższego niestety nie dostaniemy na łączach (masówkach) w tej
    klasie cenowej.

    >
    > Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99% loss.
    > Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej. Wnioskuję po
    > tym, ze po ich sieci latało przez 4h jakieś 100mbit/s śmieci, albo i
    > więcej, pewnie w dużej części z ich własnych neostrad etc. Olewanie czegoś
    > takiego to po prostu skandal.

    Ja po swoich niemiłych doswiadczeniach z DDoS'ami i Działem
    Bezpieczeństwa CST TP, uważam że to są w stanie zrobic, to robią i
    absolutnie nie mam nic do zarzucenia, a obrywanie pakietami nikogo nie
    cieszy.

    --
    ircx.net.pl team


  • 10. Data: 2005-05-11 13:24:03
    Temat: Re: specjalista
    Od: g...@n...invalid (Adam Wysocki)

    Neas <n...@n...invalid> wrote:

    > Podsumowując oznaczałoby to, że jedynym przeciwdziałaniem DDoS-owi wg.
    > polpaku jest dropnięcie wszystkiego o idzie do danego IP.

    Według atcomu także. Czasami nawet zdarzało im się zadzwonić do mnie
    lub szefa, żeby poinformować o wycięciu konkretnego ipka z powodu
    ddosu ;-) Na całe szczęście (mówiąc o całokształcie) już nie mamy
    z nimi umowy - została rozwiązana z powodu wypowiedzenia im przez
    tepsę umowy na dzierżawę linii.

    --
    Adam Wysocki * www.gophi.rotfl.pl * GG: 1234 * Fidonet: 2:480/127.21
    Nie wybierałeś bycia pedałem. Po prostu miałeś szczęście. (C) GMG148

strony : [ 1 ] . 2 ... 4


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: