Dnia Wed, 11 May 2005 07:50:32 +0000 (UTC), Maciej Anczura napisał(a):

> Neas wrote:
> Jakkolwiek by to nie brzmiało, to imho niespecjalnie miał inne wyjście
> -- jakoś nie bardzo widzę dołożenie 2000 acli gdzieś w środku sieci
> i przerzucania przez te reguły całego ruchu. Nawet zrobienie tego na
> ostatnim urządzeniu, jeśli w ogóle ma takie opcje mi się nie widzi.

A od czego jest pion techniczny? Sprawdzic skad ruch idzie i odcinac po
prostu. A jak ruch nie z sieci TP to juz niech sie polpak martwi jak to
załawić z innymi ISP.


--
Piotrek Górski
http://www.audioscrobbler.com/user/sledzik1984
Mój klucz PGP: http://tinyurl.com/3nhvd

do góry

Neas <n...@n...invalid> writes:

> [cut - trollowanie]

Zapoznaj sie z "definicja" trolla, moze Ci sie poprawi.
--
Krzysztof Halasa

do góry

Digit <d...@k...ma.pisac.ten.zna> writes:

> Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
> Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
> połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.

I jak taki Polpak to zrobi? Moim zdaniem albo moga cos wyfiltrowac
na routerze dostepowym (ale wtedy nie wiedza skad jest dany pakiet)
albo moga wyfiltrowac po adresie docelowym (i wtedy istotnie mozna
to zrobic np. na routerach EBGP, rozglaszajac droge do danego IP,
prowadzajaca do jakiegos /dev/null).

Ale obie rzeczy jednoczesnie? No nie wiem.
--
Krzysztof Halasa

do góry

Krzysztof Halasa wrote:
> Digit <d...@k...ma.pisac.ten.zna> writes:
>
>
>>Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
>>Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
>>połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.
>
>
> I jak taki Polpak to zrobi? Moim zdaniem albo moga cos wyfiltrowac
> na routerze dostepowym (ale wtedy nie wiedza skad jest dany pakiet)
> albo moga wyfiltrowac po adresie docelowym (i wtedy istotnie mozna
> to zrobic np. na routerach EBGP, rozglaszajac droge do danego IP,
> prowadzajaca do jakiegos /dev/null).
>
> Ale obie rzeczy jednoczesnie? No nie wiem.

Dokładnie tak jak napisałeś - nie twierdziłem, że na jednym i tym samym
urządzeniu.

Wielce wątpie, czy jakikolwiek dział bezpieczeństwa dużego operatora
założy na bramce zza granicy null-trasę dla "byle" użytkownika DSL'a.
Ale zapytać, poprosić zawsze można, bo jest to jakiś środek zaradczy.

d.

--
ircx.net.pl team

do góry

Digit pisze:

> Floody ICMP sa zazwyczaj sfragmentowane - poza pierwszym pakietem z
> serii, nie da sie określić czy jest to echo-request, reply, czy jeszcze
> coś innego.
> Router ze stateful firewallem u providera nadrzednego mogłby sobie
> poradzić,

Możliwe, nie jestem specjalistą od routingu, wiem tyle, ile było mi
potrzebne w różnych sytuacjach. Praktyka mi natomiast mówi, że moje proste
regułki całkiem nieźle radziły sobie z icmp-floodem i nie przeszkadzały mi
używać pinga, traceroute etc. Nie jest to więc szczególnie skomplikowane.

> aczkolwiek już widzę jak TP czy inne firmy będą swiadczyć
> takie usługi na masówkach typu DSL, czy nawet FR.

Co ciekawe, swiadczy. A w każdym razie powinna. Na przykład w skład
podstawowego pakietu DSL wchodzi ponoć
[http://www.internetdsl.pl/pages/info_zabezpieczenia
.php]. Ponoć, bo z
moich doświadczeń wynika, że kiedyś to działało, a potem przestało.
Szczególnie ochrona przed tcp-syn floodem.

>> Po drugie to ich problem, nie mój.
>
> Provider świadczy usługę transmisji danych i jak widać wywiązuje sie z
> tego w 100%.
> Problemem (Internetu) są wszelkie osobniki DDoS-ujące, czy to dla
> zabawy, czy dla podbudowania własnego ego.

Nie wywiązuje się, bo nie mogę z tej transmisji korzystać. Po pierwsze DDoS
nie jest rzeczą, którą mógłby życzyć sobie jakikolwiek klient (więc to nie
on 'wykorzystuje' nim łącze, jeśli wiesz, co mam na myśli), a po drugie
taki atak przechodzi najpierw przez routery providera, który powinien to
wtedy wyfiltrować. Z resztą sam polpak przyjmuje takie zgłoszenia jako
'awarie'.

>> IMHO powinni mieć filtry na routerach
>> brzegowych lub cokolwiek, przecież blokowanie portu nie ma żadnego sensu
>> bo jak już napisałem walną w inny i tyle. Podsumowując oznaczałoby to, że
>> jedynym przeciwdziałaniem DDoS-owi wg. polpaku jest dropnięcie
>> wszystkiego o idzie do danego IP.
>
> Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
> Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
> połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.

Obie możliwości w moim przypadku są nie do przyjęcia.

>> Po trzecie przychodzi mi na myśl wiele możliwych w teorii rozwiązań,
>> które z resztą stosuję na własnym routerze, tyle że w przypadku takiego
>> ataku pomaga to z oczywistych powodów tyle co nic (jesli działa dopiero u
>> mnie). Ja limituję m.in. tcp-syn dla poszczególnych połączeń
>> przychodzących. Konkretnie są to dwa limity -- jeden /s a drugi, większy
>> /m. I świetnie się to sprawdza w przypadku tcp-syn floodu, przechodzą
>> zupełne resztki. Oczywiście nic to nie pomaga bo samo łącze mam zapchane,
>> ale jak widać da się. Jeśli routery by im nie wyrabiały przy takich
>> regułkach to niech kupią lepsze. Z moich testów wynika, że powyższe
>> regułki dla mocno obciążonych (duża ilość połączeń) 2mbit generują
>> niezauważalne obciążenie na przeciętnej maszynce, więc takie tłumaczenie
>> oznaczałoby, że podpinają klientów do jakichś g*.
>
> Po stronie operatora ten ruch jest >2Mbit.
> A i powyższego niestety nie dostaniemy na łączach (masówkach) w tej
> klasie cenowej.

Wybacz, DSL/FR jest ponoć dedykowany firmom, to nie są już łącza dla
domowych klikaczy. A zabezpieczenia przed podstawowymi metodami takich
ataków powinny być oczywiste. Szczególnie, że nie jest to ani trudne do
zrobienia, ani szczególnie zasobożerne. Zauważ, że tysiące pakietów
przechodzące przez ileśtam różnych routerów TPSA także generują niemałe
obciążenie (po zsumowaniu).

>> Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99%
>> loss. Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej.
>> Wnioskuję po tym, ze po ich sieci latało przez 4h jakieś 100mbit/s
>> śmieci, albo i więcej, pewnie w dużej części z ich własnych neostrad etc.
>> Olewanie czegoś takiego to po prostu skandal.
>
> Ja po swoich niemiłych doswiadczeniach z DDoS'ami i Działem
> Bezpieczeństwa CST TP, uważam że to są w stanie zrobic, to robią i
> absolutnie nie mam nic do zarzucenia, a obrywanie pakietami nikogo nie
> cieszy.

No, tak było kiedyś. Teraz ów 'specjalista' przebąkiwał coś o jakichś
pakietach bezpieczeństwa, moze kazali im olewać zgłoszenia żeby naciągnąć
ludzi na to?

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Adam Wysocki pisze:

> Według atcomu także. Czasami nawet zdarzało im się zadzwonić do mnie
> lub szefa, żeby poinformować o wycięciu konkretnego ipka z powodu
> ddosu ;-) Na całe szczęście (mówiąc o całokształcie) już nie mamy
> z nimi umowy - została rozwiązana z powodu wypowiedzenia im przez
> tepsę umowy na dzierżawę linii.

Cóż, zmienię providera jak tylko będę mógł. W mniejszej firmie przynajmniej
jest do kogo zadzwonić, gdy 'specjalista' okaże się niedorozwinięty.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas wrote:

[...]

>>aczkolwiek już widzę jak TP czy inne firmy będą swiadczyć
>>takie usługi na masówkach typu DSL, czy nawet FR.
> >
> Co ciekawe, swiadczy. A w każdym razie powinna. Na przykład w skład
> podstawowego pakietu DSL wchodzi ponoć
> [http://www.internetdsl.pl/pages/info_zabezpieczenia
.php]. Ponoć, bo z
> moich doświadczeń wynika, że kiedyś to działało, a potem przestało.
> Szczególnie ochrona przed tcp-syn floodem.

Czyżby zbyt dużo klientów na istniejącej platformie technologicznej(?)
Osobiście pisałem bardziej z perspektywy Frame Relaya, tam nie ma
żadnych tego typu dodatków - a cena sporo większa.

[...]

>>Provider świadczy usługę transmisji danych i jak widać wywiązuje sie z
>>tego w 100%.
>>Problemem (Internetu) są wszelkie osobniki DDoS-ujące, czy to dla
>>zabawy, czy dla podbudowania własnego ego.
>
>
> Nie wywiązuje się, bo nie mogę z tej transmisji korzystać. Po pierwsze DDoS
> nie jest rzeczą, którą mógłby życzyć sobie jakikolwiek klient (więc to nie
> on 'wykorzystuje' nim łącze, jeśli wiesz, co mam na myśli), a po drugie
> taki atak przechodzi najpierw przez routery providera, który powinien to
> wtedy wyfiltrować. Z resztą sam polpak przyjmuje takie zgłoszenia jako
> 'awarie'.

Nie żebym ich bronił, ale potrafie się niejako postawić na ich miejscu.
Sam bym sie ucieszył z możliwości wpływania na router brzegowy od strony
operatora, nawet za dodatkową opłatą i ustawiania nań jakiegoś
przynajmniej wstępnego kształtowania ruchu. Pomarzyć zawsze można.

[...]
>>Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
>>Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
>>połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.
> >
> Obie możliwości w moim przypadku są nie do przyjęcia.

To zrozumiałe, bo na trochę bardziej obeznanego "kiddie" nieskuteczne.

> Wybacz, DSL/FR jest ponoć dedykowany firmom, to nie są już łącza dla
> domowych klikaczy. A zabezpieczenia przed podstawowymi metodami takich
> ataków powinny być oczywiste. Szczególnie, że nie jest to ani trudne do
> zrobienia, ani szczególnie zasobożerne. Zauważ, że tysiące pakietów
> przechodzące przez ileśtam różnych routerów TPSA także generują niemałe
> obciążenie (po zsumowaniu).

Od strony technicznej kształtowanie ruchu po fladze np. SYN, wymaga
zaglądania głebiej do zawartości pakietu. Tam gdzie ich liczby idą w
tysiące, albo więcej to się zbiera i ma duże znaczenie.

>
>>>Po czwarte DDoS był naprawdę duży, na moich 2mbit miałem jakieś 98-99%
>>>loss. Przy przeciętnym DDoS-necie jest przynajmniej o kilka % mniej.
>>>Wnioskuję po tym, ze po ich sieci latało przez 4h jakieś 100mbit/s
>>>śmieci, albo i więcej, pewnie w dużej części z ich własnych neostrad etc.
>>>Olewanie czegoś takiego to po prostu skandal.

Winę ponosi tylko i wyłącznie atakujący. Provider powinien być jednak
pomocny w przeciwdziałaniu i doprowadzaniu osobnika przed wymiar
sprawiedliwości. Jak najbardziej powinno to leżeć w ich interesie.

>>Ja po swoich niemiłych doswiadczeniach z DDoS'ami i Działem
>>Bezpieczeństwa CST TP, uważam że to są w stanie zrobic, to robią i
>>absolutnie nie mam nic do zarzucenia, a obrywanie pakietami nikogo nie
>>cieszy.
>
>
> No, tak było kiedyś. Teraz ów 'specjalista' przebąkiwał coś o jakichś
> pakietach bezpieczeństwa, moze kazali im olewać zgłoszenia żeby naciągnąć
> ludzi na to?

Nie miałem nigdy w ramach usługi limitowania pakietów tcp:syn, nic się
dla mnie zatem nie zmieniło. Podczas incydentów każdą moją prośbę
spełnili - widać potrafiłem dobrze przewidzieć ich możliwości+chęci w
tych sprawach.

d.

--
ircx.net.pl team

do góry

Digit pisze:

> Czyżby zbyt dużo klientów na istniejącej platformie technologicznej(?)

To jakby ich problem skoro mają to w ofercie.

> Osobiście pisałem bardziej z perspektywy Frame Relaya, tam nie ma
> żadnych tego typu dodatków - a cena sporo większa.

Może większa, ale proporcjonalnie (biorąc pod uwagę upload, możliwość
otrzymania przynajmniej klasy C i inne cechy).

> Nie żebym ich bronił, ale potrafie się niejako postawić na ich miejscu.
> Sam bym sie ucieszył z możliwości wpływania na router brzegowy od strony
> operatora, nawet za dodatkową opłatą i ustawiania nań jakiegoś
> przynajmniej wstępnego kształtowania ruchu. Pomarzyć zawsze można.

Nie rozumiem jednego -- dlaczego w ich interesie nie jest filtrowanie
oczywistych nadużyć najwcześniej jak to możliwe?

>>>Mozna poprosić o przepuszczanie tylko wybranych portów usługowych.
>>>Jesli i takie beda atakowane, mozna najwyżej poprosić o blokowanie
>>>połączen na dany adres z łącz zagranicznych, lub obcych AS'ow.
>> >
>> Obie możliwości w moim przypadku są nie do przyjęcia.
>
> To zrozumiałe, bo na trochę bardziej obeznanego "kiddie" nieskuteczne.

Chodziło mi raczej o to, że taka blokada byłaby bardziej uciążliwa niż same
DDoS-y.

>> Wybacz, DSL/FR jest ponoć dedykowany firmom, to nie są już łącza dla
>> domowych klikaczy. A zabezpieczenia przed podstawowymi metodami takich
>> ataków powinny być oczywiste. Szczególnie, że nie jest to ani trudne do
>> zrobienia, ani szczególnie zasobożerne. Zauważ, że tysiące pakietów
>> przechodzące przez ileśtam różnych routerów TPSA także generują niemałe
>> obciążenie (po zsumowaniu).
>
> Od strony technicznej kształtowanie ruchu po fladze np. SYN, wymaga
> zaglądania głebiej do zawartości pakietu. Tam gdzie ich liczby idą w
> tysiące, albo więcej to się zbiera i ma duże znaczenie.

Pieniądze które ludzie im płacą tez się zbierają proporcjonalnie do ilości
abonentów, więc ten argument mnie nie przekonuje.

> Winę ponosi tylko i wyłącznie atakujący. Provider powinien być jednak
> pomocny w przeciwdziałaniu i doprowadzaniu osobnika przed wymiar
> sprawiedliwości. Jak najbardziej powinno to leżeć w ich interesie.

Winę w rozumieniu prawnym może tak, ale IMHO ISP ma obowiązek przeciwdziałać
takim incydentom i nie jest to kwestia łaski z jego strony. Dlaczego --
napisałem w poprzednim poście. Chociaż w hipotetycznej sytuacji w której
olewałby DDoS-y pochodzące od jego własnych klientów można byłoby chyba
uznać go za współwinnego w pełnym tego słowa znaczeniu.

> Nie miałem nigdy w ramach usługi limitowania pakietów tcp:syn, nic się
> dla mnie zatem nie zmieniło. Podczas incydentów każdą moją prośbę
> spełnili - widać potrafiłem dobrze przewidzieć ich możliwości+chęci w
> tych sprawach.

O co prosiłeś?

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas wrote:

[...]

>>Winę ponosi tylko i wyłącznie atakujący. Provider powinien być jednak
>>pomocny w przeciwdziałaniu i doprowadzaniu osobnika przed wymiar
>>sprawiedliwości. Jak najbardziej powinno to leżeć w ich interesie.
>
>
> Winę w rozumieniu prawnym może tak, ale IMHO ISP ma obowiązek przeciwdziałać
> takim incydentom i nie jest to kwestia łaski z jego strony. Dlaczego --
> napisałem w poprzednim poście. Chociaż w hipotetycznej sytuacji w której
> olewałby DDoS-y pochodzące od jego własnych klientów można byłoby chyba
> uznać go za współwinnego w pełnym tego słowa znaczeniu.
>
>
>>Nie miałem nigdy w ramach usługi limitowania pakietów tcp:syn, nic się
>>dla mnie zatem nie zmieniło. Podczas incydentów każdą moją prośbę
>>spełnili - widać potrafiłem dobrze przewidzieć ich możliwości+chęci w
>>tych sprawach.
>
>
> O co prosiłeś?

O to co dla Ciebie byłoby niewystarczające.

Pewnie to IRCowy światek cierpi najbardziej, a co się providerzy bedą
wysilać dla takiej mniejszości. A już na pewno potraktują na specjalnych
zasadach ;->

d.

--
ircx.net.pl team

do góry

Digit pisze:

> O to co dla Ciebie byłoby niewystarczające.
>
> Pewnie to IRCowy światek cierpi najbardziej, a co się providerzy bedą
> wysilać dla takiej mniejszości. A już na pewno potraktują na specjalnych
> zasadach ;->

Cóż, na IRC-u panoszy się niestety kilku uciazliwych idiotów z DDoS-netami
(i cała gromada mniej uciążliwych). W sumie czemu się dziwić, skoro
największy polski ISP zdaje się mieć to gdzieś...

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry