Jump to content
Калькуляторы

DDOS атака и ефективная защита? DDOS атака и ефективная защита?

Почитал статью http://habrahabr.ru/blogs/hosting/105830/ (тут копия http://lucas.tpi.ru/100gbit.htm так как оригинал уже не открывается)

посмотрел на ссылки которые упоминались в статье

http://lenta.ru/news/2010/10/08/ddos/

http://lenta.ru/news/2010/10/08/yandex/

 

на голове волосы зашевелились....

 

Вот теперь вопрос:

какой алгоритм действий для оперативной и еффективной защиты как со стороны в данном случае клиента - который пользовался услугами ДЦ так и персонала ДЦ так и магистралов которые дают каналы для ДЦ.

 

ПС мне кажется это первая ласточка - и такого мы ещё увидим не раз.

Edited by Lynx10

Share this post


Link to post
Share on other sites
А запись на darpa.mil - зачёт :)
:)

можно было ещё придумать пару идей ;) и отомстить всем кто хоть раз на тебя не так посмотрел, не то сказал - получилось так что записью А чувак управлял куда будет дуть гавно всё.... :))))!!!!!

Это сок:

"Тут увидел что яндекс не открывается, как оказалось все довольно просто: когда товарищ уже видимо от безысходности и глупости вписывал IP адреса darpa.mil, yandex.ru, голдентелекома, google и еще кого-то, атака продолжалась на эти IP, никто не продержался.

Представьте у Вас шланг — в виде A записи, с возможностью направить куда угодно и уничтожить почти, что угодно. Попросил клиента уговорить товарища (т.к. не смыслил он, что творил, или смыслил?) прекратить делать окружающим также плохо как и ему и прописать 0.0.0.0 или 127.0.0.1"

 

Share this post


Link to post
Share on other sites

А запись на darpa.mil - зачёт :)

Они вроде на akamai хостятся, так что это скорее хостер просуетился.

Share this post


Link to post
Share on other sites
А запись на darpa.mil - зачёт :)
Они вроде на akamai хостятся, так что это скорее хостер просуетился.

при такой ситуаци я думаю что суетились все от тех кто хостился до магистральных операторов!

 

Как раз вопрос как суетится (причём на всех уровнях..... ) так чтобы за короткое время суета была наиболее еффективой !!!

 

Share this post


Link to post
Share on other sites

эффективной..

 

Но это я так, придираюсь...

Share this post


Link to post
Share on other sites

на самом деле можно было поэротичней запись придумать

ну допустим 255.255.255.255 :)

имхо,бОльшую часть ботов слизало бы, если учесть что 95% воткнуты в езер, то от 100мбит L3 броадкаста в сегмент CPE бы откинулись, а свичи умные заблокировали порты.

Share this post


Link to post
Share on other sites
Представьте у Вас шланг
с говном

 

 

Чудо случилось к 21:00 — darpa.mil поднялась, а ддос магически исчез.
Они ответили оффлайново, ответ долетел до места назначения :)

 

Удивительно как про мс не вспомнили %)

 

 

Ещё можно было на 224.ххх IP поменять или на 169.ххх (APIPA или как его там), хотя 255 кошернее в плане привлечения внимания локальных админов.

 

 

то от 100мбит L3 броадкаста в сегмент
Броадкаст он и в L2 броадкаст, для 255.255.255.255 уж точно, мак назначения на выходе будет ff::ff

 

 

 

Хостится в куче крупных ДЦ по миру, отдавать кучу А записей либо по очеди по одной.

Провайдерам никак, или сколотить свою шайку-лейку типа профсоюза и действовать сообща.

Share this post


Link to post
Share on other sites

вот и наступил момент, когда молотилки аля sce входят в повседневную необходимость для каждого оператора, чтоб на аплинках если не от других защищаться, то хотя б своих гавриков сдерживать. атака такого масштаба хоть и первая, но никто не дает гарантий, что последняя, и пожалуй наступает такое время, когда каждый участник трафикообмена должен уметь бороться с исходящей от его сетей атакой.

Share this post


Link to post
Share on other sites

ИМХО это пеар антидос компаний.

 

Последнее время от них слишком много статей, ну и в новости попасть не проблема: журналистам самим писать лень, разбираться сложно, сожрут=напечатают что подадут.

 

ДДоС существует не первый день.

 

 

И да, тут антидосеры уже писали, что для такой атаки на самом деле не нужна ботсеть.

Достаточно найти кучу раздолбайских ДЦ, где на спуфинг всем пофик, каналы у них широкие, с сотни ДЦ по гигабиту на каждый или ещё больше ДЦ раскидать и особо никто не заметит, да и управлять легко.

Тем более, что там лаг был на изменение адреса совсем маленький, и объём трафика не падал со временем, те боты не отмирали.

ИМХО, конечно.

 

 

С другой стороны, провайдеры тоже вряд ли смогут гасить атаки с клиентов, ибо когда сеть достаточно большая, на каждого клиента достаточно будет совсем немного трафика генерить, что на фоне торрентов будет вовсе незаметно. Боты уже давно научились определять реальную ширину канала, ну кто по умнее.

 

 

Отбиваться можно играя на слабости любого ботнета - лаг на изменение адреса.

И кстати, вполне реально реализовать чтобы ДНС серваки отдавали атакующим левый IP (тот же 255..255 или 127.0.0.1). Хотя от прыжков сайта по резервным IP это не избавит, но антидосеры вполне могут себе такое позволить.

Share this post


Link to post
Share on other sites

ИМХО это пеар антидос компаний.

Бредятина. Говорю потому что у меня 45 серверов в нетдиректе, упомянутом в статье. И я и наши клиенты прочувствовали этот ддос, когда захлебывались роутеры датацентра с аплинками 60гбит.

Share this post


Link to post
Share on other sites

Вы не первый и не последний пострадавший, оно (явление ДДоС) и намного раньше было не раз.

Пеар в том смысле что очень много новостей на наге стали про ДДоС и АнтиДДоС.

Share this post


Link to post
Share on other sites
Вы не первый и не последний пострадавший, оно (явление ДДоС) и намного раньше было не раз.

Пеар в том смысле что очень много новостей на наге стали про ДДоС и АнтиДДоС.

Такая новость это не пеар, т.к. врядли кто-то из "антиддосеров" будет браться за клиентов на которых идут атаки 100G+, для них пеар это "была атака 3G, мы её заблокировали за 5 минут, клиент счастлив"

Edited by s.lobanov

Share this post


Link to post
Share on other sites

уход от темы .... :)

всё таки кто то может сказать что надо делать персоналу ДЦ (1. если АС ДЦ и адреса заказчику выданы из блока ДЦ 2. если АС и блоки заказчика который хостится) и персоналу магистралов, возможно каким то организациям (если они существуют) кричать "караул насилуют" :) а кроме того какое железо иметь на входе чтобы хоть как то с этим справляться !

 

вопрос актуален так как есть идеи открыть маленький дц для хостинга и тд - но после такого становится очень страшно .....

Edited by Lynx10

Share this post


Link to post
Share on other sites

Да ничего не делать.

В договоре прописать пункт по которому в случае дос атак SLA отменяется и дц так и быть ничего клиенту не должен.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this