Robot_NagNews Опубликовано 27 августа, 2010 · Жалоба Материал: Читая пресс-релизы иногда удивляешься - там указываются настолько очаровательные цифры и скорость работы, что в это верится с трудом. Несколько дней назад ЦОД "Оверсан", располагающийся в Москве, устами своей пресс-службы распространил краткий и забавный релиз по теме защиты от DDoS. Не утомляя вашего внимания, приведу только один абзац. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Ermak Опубликовано 27 августа, 2010 · Жалоба >- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка; Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее. >В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро. При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 августа, 2010 · Жалоба >- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее. >В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро. При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки. для фильтрации 20 гигабит UDP нужна всего одна ACL :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 августа, 2010 (изменено) · Жалоба . "Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить". интересное оборудование. предположу, что если бы было 2mpps tcp syn спуфинга, то счет ботнета бы шел на миллионы. . Совершенно точно понятно, что ботнет - достаточно активное образование, по оценкам "Лаборатории Касперского" во время активной атаки ботнет теряет до 25% своих машин за сутки. На канальных атаках они больше теряют... там бот детектит подключение к порту как 100 мегабит, т.е. LAN, что само собой выражается в изливании на полную катушку... DSL рутер от таких финтов слегка уходит и абонент звонит к ISP на тему работоспособности интернета. ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно. Изменено 30 августа, 2010 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Алексей Андриянов Опубликовано 31 августа, 2010 · Жалоба ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно. Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 31 августа, 2010 · Жалоба Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит. т.е. такая атака по вашему невозможна? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 31 августа, 2010 · Жалоба насчет "ни один", эт Вы, Алексей, здря.. Очень часто не фильтруют левый соурс ип. тоесть совсем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 31 августа, 2010 · Жалоба ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно. Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит. тем не менее от спуфленных адресов пакеты прилетают. вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска. так что там провайдеры не допускают - спорный вопрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 31 августа, 2010 · Жалоба тем не менее от спуфленных адресов пакеты прилетают.вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска. так что там провайдеры не допускают - спорный вопрос. да, именно с коло и дедиков это и рождается. в некоторых ДЦ такой бардак творится, что даже описывать не хочется. по хорошему все клиенты должны сидеть в отдельном vlan или быть жестко изолированны друг от друга. в реальности же есть SEOшники, которые всеми правдами и не правдами просят большую кучу IP из разных сетей с разными whois. это всё на какой-то сумашедший конвеер поставлено. плюс еще транзитом там торгуют + структура сети не позволяет вынести сервера в отдельную зону малой кровью. там внутри ДЦ спуфинг то найти не так просто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость z0m Опубликовано 1 сентября, 2010 · Жалоба Надо начинать с меньшего - гасить нафиг всех СЕОшников Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romane Опубликовано 1 сентября, 2010 · Жалоба Задвинули трансов с 15 Гбпс или померещилось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Алексей Андриянов Опубликовано 2 сентября, 2010 · Жалоба тем не менее от спуфленных адресов пакеты прилетают.вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска. так что там провайдеры не допускают - спорный вопрос. Я прекрасно понимаю, что крупняк друг на друга ACL не вешает, да и вообще, если у клиента собственное адресное пространство, ACL на его порту скорее всего не будет. Но хомяки с завирусованными компами в своей массе уже не смогут участвовать в такой атаке. В этом и сложность, но, конечно, все возможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 2 сентября, 2010 · Жалоба Я прекрасно понимаю, что крупняк друг на друга ACL не вешает, да и вообще, если у клиента собственное адресное пространство, ACL на его порту скорее всего не будет. Но хомяки с завирусованными компами в своей массе уже не смогут участвовать в такой атаке. В этом и сложность, но, конечно, все возможно. Как бы смешно не звучало, но спуфленый синфлуд и от хомяков иногда прилетает... очень редко, но бывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romane Опубликовано 3 сентября, 2010 · Жалоба Вопрос в теме не сильно интересен. А что бы было если не отбил? Вот вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость FtoR Опубликовано 4 декабря, 2010 · Жалоба Не верьте ни единому слову. Адский пиар ни на чем. Не было таких атак никогда в Оверсане, больше 6Gbps Cisco Guard там не пропускают. Систему под нагрузкой, при мне, дай Бог, загрузили тестовым трафиком Gbps на 200-300, не больше. Коммерческий булшит, желтуха и откровенное "вранье". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...