Z TPSA meczylem sie z modemami, Neostradami, DSLami, wiec balem sie
placic za Polpaka i dalej tracic zdrowie.
TKT i spokoj...

Wlochacz

do góry

Neas napisał(a):
> rozproszony, a on nie będzie blokował 2000 IP. Stwierdziłem, że mam powody
> sądzić, że to zwykły DDoS-net, więc IP-ki nie zmienią się tak szybko i ma

dlaczego maja sie nie zmienic? z moich smutnych doswiadczen wynika, ze ddosnety
w wiekszosci sie skladaja z maszyn o dynamicznym ip.

> Pewnie dobrze się bawili, a jedna z moich maszynek była przez 4h odłączona
> od świata (98-99% loss).

coz, widywalem ddosy o wolumenie 200-300 mbit. w momencie, gdy zrodel jest
kilkadziesiat tysiecy, blokowanie po src-ip jest baardzo uciazliwe. pozostaje
tylko rate-limit na dst-ip lub port, co sila rzeczy tez bedzie skutkowac
nieosiagalnoscia hosta/portu.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Przemyslaw Frasunek pisze:

>> rozproszony, a on nie będzie blokował 2000 IP. Stwierdziłem, że mam
>> powody sądzić, że to zwykły DDoS-net, więc IP-ki nie zmienią się tak
>> szybko i ma
>
> dlaczego maja sie nie zmienic? z moich smutnych doswiadczen wynika, ze
> ddosnety w wiekszosci sie skladaja z maszyn o dynamicznym ip.

Masz rację, ale pomogłoby to doraźnie. Idioci z DDoS-netami też mają
jakieśtam swoje (idiotyczne) powody, więc zazwyczaj nie walą dzień w dzień.
Np. ten tutaj (jak się później dowiedziałem) psuł jakiś kanał na IRC-u i
wyłączył wszystkich operatorów na 4h. Możnaby więc wyciąć to choćby na 1
dzień.

Po za tym zwróć uwagę na to, że ów specjalista nie zaproponował żadnego
innego rozwiązania. Cały czas powtarzał, że może zablokować dst-port bo nie
będzie blokował iluśtam src-ip i to koniec jego inwencji.

>> Pewnie dobrze się bawili, a jedna z moich maszynek była przez 4h
>> odłączona od świata (98-99% loss).
>
> coz, widywalem ddosy o wolumenie 200-300 mbit. w momencie, gdy zrodel jest
> kilkadziesiat tysiecy, blokowanie po src-ip jest baardzo uciazliwe.
> pozostaje tylko rate-limit na dst-ip lub port, co sila rzeczy tez bedzie
> skutkowac nieosiagalnoscia hosta/portu.

Nie przekonywałem do blokowania akurat po src, tylko do zrobienia
czegokolwiek. Nie chciałem sugerować konkretnych rozwiązań, bo nie wiem
jakie tam mają możliwości. Wiem natomiast, że wcześniej sobie radzili w
identycznych sytuacjach więc są w stanie to zrobić. :)

Tak jak napisałem w innym poście osobiście uwazam, ze świetnym
zabezpieczeniem przed tcp-syn floodem jest rate-limit na tcp-syn po src-ip
odnoszący się do minut (nie np. sekund), najlepiej osobne regułki dla
newralgicznych portów ale niekoniecznie. Jestem przekonany, że specjalnie
by ich to nie obciążyło, przecież DDoS-owana jest napewno zdecydowana
mniejszość klientów, więc mogliby włączać takie filtry tylko tym, którzy
tego potrzebują.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas <n...@n...invalid> wrote:
<CIACH>
> Po za tym zwróć uwagę na to, że ów specjalista nie zaproponował żadnego
> innego rozwiązania. Cały czas powtarzał, że może zablokować dst-port bo nie
> będzie blokował iluśtam src-ip i to koniec jego inwencji.
I teraz pomyśl chwileczkę, ile zajmuje zakładanie blokadny na kilkuset src i
ile razy dzinnie coś takiego możnaby robić. Blokowanie danego hosta
albo konkretnego portu jest jedynym rozwiązaniem, serio.

<CIACH>
> Nie przekonywałem do blokowania akurat po src, tylko do zrobienia
> czegokolwiek. Nie chciałem sugerować konkretnych rozwiązań, bo nie wiem
> jakie tam mają możliwości. Wiem natomiast, że wcześniej sobie radzili w
> identycznych sytuacjach więc są w stanie to zrobić. :)
Poradzić sobie można, jak atak idzie z kilu IP.

> Tak jak napisałem w innym poście osobiście uwazam, ze świetnym
> zabezpieczeniem przed tcp-syn floodem jest rate-limit na tcp-syn po src-ip
> odnoszący się do minut (nie np. sekund), najlepiej osobne regułki dla
> newralgicznych portów ale niekoniecznie.
Jak sobie coś takiego wyobrażasz? Pytam poważnie.

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)

do góry

Krzysztof Oledzki pisze:

> Neas <n...@n...invalid> wrote:
> <CIACH>
>> Po za tym zwróć uwagę na to, że ów specjalista nie zaproponował żadnego
>> innego rozwiązania. Cały czas powtarzał, że może zablokować dst-port bo
>> nie będzie blokował iluśtam src-ip i to koniec jego inwencji.
> I teraz pomyśl chwileczkę, ile zajmuje zakładanie blokadny na kilkuset src
> i ile razy dzinnie coś takiego możnaby robić. Blokowanie danego hosta
> albo konkretnego portu jest jedynym rozwiązaniem, serio.

To nie jest żadnym rozwiązaniem, nie oszukujmy się. :) To tak jakby
przeciwdziałać włamaniom do sklepu z 50 oknami zamurowując te, przez które
ktoś się włamał. Fakt, przez to samo się nie włamie, ale któż rozsądny
będzie liczył na to, że złodziej będzie wystarczająco głupi żeby nie
skorzystać z innego?

Albo z innej strony -- po co istnieje ten ich dział bezpieczeństwa? Nie do
zgłaszania nadużyć jako takich, bo odsyłają z tym do abuse@. Nie do
zgłaszania DDoS-ów, bo nic z tym nie robią. Do zgłaszania ping -f? Też nie,
bo to w ogóle nie powinno być możliwe (kiedyś jeden technik 'zeznał', że na
icmp mają ustawione limity rzędu bodajże 300 kbps). Więc po co? Do
blokowania portów klientom i gadania głupot przez telefon? ;)

> <CIACH>
>> Nie przekonywałem do blokowania akurat po src, tylko do zrobienia
>> czegokolwiek. Nie chciałem sugerować konkretnych rozwiązań, bo nie wiem
>> jakie tam mają możliwości. Wiem natomiast, że wcześniej sobie radzili w
>> identycznych sytuacjach więc są w stanie to zrobić. :)
> Poradzić sobie można, jak atak idzie z kilu IP.

Oni sobie radzili przy dokładnie takich samych atakach, z przynajmniej setek
IP.

>> Tak jak napisałem w innym poście osobiście uwazam, ze świetnym
>> zabezpieczeniem przed tcp-syn floodem jest rate-limit na tcp-syn po
>> src-ip odnoszący się do minut (nie np. sekund), najlepiej osobne regułki
>> dla newralgicznych portów ale niekoniecznie.
> Jak sobie coś takiego wyobrażasz? Pytam poważnie.

Przecież opisałem to w kilku postach w tym wątku. :)

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Krzysztof Oledzki pisze:

> I teraz pomyśl chwileczkę, ile zajmuje zakładanie blokadny na kilkuset src
> i ile razy dzinnie coś takiego możnaby robić. Blokowanie danego hosta
> albo konkretnego portu jest jedynym rozwiązaniem, serio.

A, jeszcze coś.

Kiedyś atakowano mi DNS-y w dośc ciekawy sposób. Mianowicie wysyłając setki
zwykłych zapytań o nieistniejące hosty w którejść z moich domen na sekunde.
Było to w porywach 0.5 mbita i nie zapychało łącza, ale skutecznie
blokowało moje DNS-y. Te zapytania szły z prawie tysiąca hostów, pewnie z
resztą był to spoof. Ale mniejsza o to. Napisanie prostego skryptu który
wyciągnął mi te ipki z logów i dropnął zajęło mi chwilę. Moim zdaniem
zdecydowanie przejaskrawiasz ten domniemany problem z tymczasowym wycięciem
kilkuset ipków. Jeśli już nie potrafią zastosować bardziej sensownego
rozwiązania (przykłady podałem w innych postach) to mogliby zrobić chociaż
to. Ale po co.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Neas <n...@n...invalid> wrote:
> Krzysztof Oledzki pisze:
>
> > Neas <n...@n...invalid> wrote:
> > <CIACH>
> >> Po za tym zwróć uwagę na to, że ów specjalista nie zaproponował żadnego
> >> innego rozwiązania. Cały czas powtarzał, że może zablokować dst-port bo
> >> nie będzie blokował iluśtam src-ip i to koniec jego inwencji.
> > I teraz pomyśl chwileczkę, ile zajmuje zakładanie blokadny na kilkuset src
> > i ile razy dzinnie coś takiego możnaby robić. Blokowanie danego hosta
> > albo konkretnego portu jest jedynym rozwiązaniem, serio.
>
> To nie jest żadnym rozwiązaniem, nie oszukujmy się. :) To tak jakby
> przeciwdziałać włamaniom do sklepu z 50 oknami zamurowując te, przez które
> ktoś się włamał. Fakt, przez to samo się nie włamie, ale któż rozsądny
> będzie liczył na to, że złodziej będzie wystarczająco głupi żeby nie
> skorzystać z innego?
Jest to jedyne rozwiązanie, kiedy nagle pojawia się tłum 10 tysięcy włamywaczy.
Twój problem właśnie na czymś takim polega. Oczekujesz, że spwcjalnie dla
Ciebie przyjedzie policja ze wszystkich okolicznych miast? ;) E, lepiej
zamurować te okna i przeczekać, starty mniejsze.

> Albo z innej strony -- po co istnieje ten ich dział bezpieczeństwa? Nie do
> zgłaszania nadużyć jako takich, bo odsyłają z tym do abuse@. Nie do
> zgłaszania DDoS-ów, bo nic z tym nie robią.
Robią. Wiele razy prosiłem o zablokowanie konkretnego IP albo konkretnych
portów. Działa bez problemów

> Do zgłaszania ping -f? Też nie,
Dlaczego? ACL na ICMP ECHO zakładają bez problemów. Testowane ;)

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)

do góry

Neas <n...@n...invalid> wrote:
> Krzysztof Oledzki pisze:
>
> > I teraz pomyśl chwileczkę, ile zajmuje zakładanie blokadny na kilkuset src
> > i ile razy dzinnie coś takiego możnaby robić. Blokowanie danego hosta
> > albo konkretnego portu jest jedynym rozwiązaniem, serio.
>
> A, jeszcze coś.
>
> Kiedyś atakowano mi DNS-y w dośc ciekawy sposób. Mianowicie wysyłając setki
> zwykłych zapytań o nieistniejące hosty w którejść z moich domen na sekunde.
> Było to w porywach 0.5 mbita i nie zapychało łącza, ale skutecznie
> blokowało moje DNS-y. Te zapytania szły z prawie tysiąca hostów, pewnie z
> resztą był to spoof. Ale mniejsza o to. Napisanie prostego skryptu który
> wyciągnął mi te ipki z logów i dropnął zajęło mi chwilę.
A teraz pomyśl że nie masz dostępu do takich logów, tak jak operator Polpaka.
Co teraz? Jak poznasz że dane zapytanie DNS było częścią ataku?

> Moim zdaniem zdecydowanie przejaskrawiasz ten domniemany problem z tymczasowym
> wycięciem kilkuset ipków.
Ciągle zapominasz, że nie jesteś sam. OK, jako administrator swojej sieci
możesz poświęcić dowolnie wiele czasu na odpieranie ataku. Będąc operatorem
w takim jak Polpak nie masz już takiego komfortu - masz tysiące klientów,
każdy ma jakieś problemy. Zostało zaproponowane rozwiązanie, które
w dobrze zaprojektowanej sieci powinno zadziałać. Kto poważny wchodzi na IRC
z adresem, na którym znajdują się krytyczne dla pracy firmy usługi?

> Jeśli już nie potrafią zastosować bardziej sensownego
> rozwiązania (przykłady podałem w innych postach) to mogliby zrobić chociaż
> to.
Podałeś im gotowe ip? Zasugerowałeś że przygotujesz aclki wg. ich zaleceń?

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)

do góry

Krzysztof Oledzki pisze:

> A teraz pomyśl że nie masz dostępu do takich logów, tak jak operator
> Polpaka. Co teraz? Jak poznasz że dane zapytanie DNS było częścią ataku?

Tego od nich nie oczekiwałem. Pisałem o tcp-syn floodzie. Chyba nietrudno
stwierdzić, że setny z kolei tcp-syn na port 22 z tego samego IP to DoS?
Szczególnie, gdy dst-ip te zapytania ignoruje?

>> Moim zdaniem zdecydowanie przejaskrawiasz ten domniemany problem z
>> tymczasowym
>> wycięciem kilkuset ipków.
> Ciągle zapominasz, że nie jesteś sam. OK, jako administrator swojej sieci
> możesz poświęcić dowolnie wiele czasu na odpieranie ataku. Będąc
> operatorem w takim jak Polpak nie masz już takiego komfortu - masz tysiące
> klientów, każdy ma jakieś problemy. Zostało zaproponowane rozwiązanie,
> które w dobrze zaprojektowanej sieci powinno zadziałać.

Ależ to nie wymaga poświęcenia dowolnej ilości czasu. To jest bardzo proste
i przeciętnie rozgarniętej osobie nie powinno zająć więcej niż kilka minut.
Ów specjalista więcej czasu stracił na opowiadanie głupot przez telefon.

> Kto poważny
> wchodzi na IRC z adresem, na którym znajdują się krytyczne dla pracy firmy
> usługi?

Na tym serwerze udostepniane są konta z dostepem do shella, więc przed
IRC-em nie ma jak się obronić.

>> Jeśli już nie potrafią zastosować bardziej sensownego
>> rozwiązania (przykłady podałem w innych postach) to mogliby zrobić
>> chociaż to.
> Podałeś im gotowe ip? Zasugerowałeś że przygotujesz aclki wg. ich zaleceń?

Nie mogłem połączyć się zdalnie z tym hostem, przecież był DoSowany.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry

Krzysztof Oledzki pisze:

>> To nie jest żadnym rozwiązaniem, nie oszukujmy się. :) To tak jakby
>> przeciwdziałać włamaniom do sklepu z 50 oknami zamurowując te, przez
>> które ktoś się włamał. Fakt, przez to samo się nie włamie, ale któż
>> rozsądny będzie liczył na to, że złodziej będzie wystarczająco głupi żeby
>> nie skorzystać z innego?
> Jest to jedyne rozwiązanie, kiedy nagle pojawia się tłum 10 tysięcy
> włamywaczy. Twój problem właśnie na czymś takim polega. Oczekujesz, że
> spwcjalnie dla Ciebie przyjedzie policja ze wszystkich okolicznych miast?
> ;) E, lepiej zamurować te okna i przeczekać, starty mniejsze.

MSZ to właśnie dział bezpieczeństwa jest policją w tej analogii.

>> Albo z innej strony -- po co istnieje ten ich dział bezpieczeństwa? Nie
>> do zgłaszania nadużyć jako takich, bo odsyłają z tym do abuse@. Nie do
>> zgłaszania DDoS-ów, bo nic z tym nie robią.
> Robią. Wiele razy prosiłem o zablokowanie konkretnego IP albo konkretnych
> portów. Działa bez problemów

Blokowanie czegokolwiek w obrębie dst z powodu ataków z zewnątrz jest z
gruntu złym pomysłem. Chociaż niestety jest praktykowane.

>> Do zgłaszania ping -f? Też nie,
> Dlaczego? ACL na ICMP ECHO zakładają bez problemów. Testowane ;)

Zależy na kogo sie trafi. Mi kiedyś jeden ze 'specjalistów' nie chciał
zalożyć, bo jak już kiedyś chyba wspomniałem stwierdził, że nie będę mógł
wtedy pingować.

--
Neas, ?eas@?eas.pl, http://www.neas.pl

do góry