Lynx10 Posted October 9, 2010 Posted October 9, 2010 (edited) Почитал статью http://habrahabr.ru/blogs/hosting/105830/ (тут копия http://lucas.tpi.ru/100gbit.htm так как оригинал уже не открывается) посмотрел на ссылки которые упоминались в статье http://lenta.ru/news/2010/10/08/ddos/ http://lenta.ru/news/2010/10/08/yandex/ на голове волосы зашевелились.... Вот теперь вопрос: какой алгоритм действий для оперативной и еффективной защиты как со стороны в данном случае клиента - который пользовался услугами ДЦ так и персонала ДЦ так и магистралов которые дают каналы для ДЦ. ПС мне кажется это первая ласточка - и такого мы ещё увидим не раз. Edited October 10, 2010 by Lynx10 Вставить ник Quote
ingress Posted October 9, 2010 Posted October 9, 2010 А запись на darpa.mil - зачёт :) Вставить ник Quote
Lynx10 Posted October 9, 2010 Author Posted October 9, 2010 А запись на darpa.mil - зачёт :):)можно было ещё придумать пару идей ;) и отомстить всем кто хоть раз на тебя не так посмотрел, не то сказал - получилось так что записью А чувак управлял куда будет дуть гавно всё.... :))))!!!!! Это сок: "Тут увидел что яндекс не открывается, как оказалось все довольно просто: когда товарищ уже видимо от безысходности и глупости вписывал IP адреса darpa.mil, yandex.ru, голдентелекома, google и еще кого-то, атака продолжалась на эти IP, никто не продержался. Представьте у Вас шланг — в виде A записи, с возможностью направить куда угодно и уничтожить почти, что угодно. Попросил клиента уговорить товарища (т.к. не смыслил он, что творил, или смыслил?) прекратить делать окружающим также плохо как и ему и прописать 0.0.0.0 или 127.0.0.1" Вставить ник Quote
marikoda Posted October 9, 2010 Posted October 9, 2010 А запись на darpa.mil - зачёт :) Они вроде на akamai хостятся, так что это скорее хостер просуетился. Вставить ник Quote
Lynx10 Posted October 9, 2010 Author Posted October 9, 2010 А запись на darpa.mil - зачёт :)Они вроде на akamai хостятся, так что это скорее хостер просуетился. при такой ситуаци я думаю что суетились все от тех кто хостился до магистральных операторов! Как раз вопрос как суетится (причём на всех уровнях..... ) так чтобы за короткое время суета была наиболее еффективой !!! Вставить ник Quote
martin74 Posted October 9, 2010 Posted October 9, 2010 эффективной.. Но это я так, придираюсь... Вставить ник Quote
ingress Posted October 9, 2010 Posted October 9, 2010 на самом деле можно было поэротичней запись придумать ну допустим 255.255.255.255 :) имхо,бОльшую часть ботов слизало бы, если учесть что 95% воткнуты в езер, то от 100мбит L3 броадкаста в сегмент CPE бы откинулись, а свичи умные заблокировали порты. Вставить ник Quote
Ivan_83 Posted October 9, 2010 Posted October 9, 2010 Представьте у Вас шлангс говном Чудо случилось к 21:00 — darpa.mil поднялась, а ддос магически исчез.Они ответили оффлайново, ответ долетел до места назначения :) Удивительно как про мс не вспомнили %) Ещё можно было на 224.ххх IP поменять или на 169.ххх (APIPA или как его там), хотя 255 кошернее в плане привлечения внимания локальных админов. то от 100мбит L3 броадкаста в сегментБроадкаст он и в L2 броадкаст, для 255.255.255.255 уж точно, мак назначения на выходе будет ff::ff Хостится в куче крупных ДЦ по миру, отдавать кучу А записей либо по очеди по одной. Провайдерам никак, или сколотить свою шайку-лейку типа профсоюза и действовать сообща. Вставить ник Quote
Дегтярев Илья Posted October 10, 2010 Posted October 10, 2010 Для опоздавших. http://habrahabr.ru/blogs/hosting/105830/ уже потерли. Может у кого осталась открытой в браузере? Скиньте, плиз. Вставить ник Quote
Dew Posted October 10, 2010 Posted October 10, 2010 http://live.xakep.ru/blog/Hack/638.html Вставить ник Quote
marikoda Posted October 10, 2010 Posted October 10, 2010 Для опоздавших. http://habrahabr.ru/blogs/hosting/105830/ уже потерли. Жаль, там каменты интересные были... Вставить ник Quote
Dew Posted October 10, 2010 Posted October 10, 2010 http://lucas.tpi.ru/100gbit.htm - это копия именно с хабра, с комментами Вставить ник Quote
darkagent Posted October 10, 2010 Posted October 10, 2010 вот и наступил момент, когда молотилки аля sce входят в повседневную необходимость для каждого оператора, чтоб на аплинках если не от других защищаться, то хотя б своих гавриков сдерживать. атака такого масштаба хоть и первая, но никто не дает гарантий, что последняя, и пожалуй наступает такое время, когда каждый участник трафикообмена должен уметь бороться с исходящей от его сетей атакой. Вставить ник Quote
Ivan_83 Posted October 10, 2010 Posted October 10, 2010 ИМХО это пеар антидос компаний. Последнее время от них слишком много статей, ну и в новости попасть не проблема: журналистам самим писать лень, разбираться сложно, сожрут=напечатают что подадут. ДДоС существует не первый день. И да, тут антидосеры уже писали, что для такой атаки на самом деле не нужна ботсеть. Достаточно найти кучу раздолбайских ДЦ, где на спуфинг всем пофик, каналы у них широкие, с сотни ДЦ по гигабиту на каждый или ещё больше ДЦ раскидать и особо никто не заметит, да и управлять легко. Тем более, что там лаг был на изменение адреса совсем маленький, и объём трафика не падал со временем, те боты не отмирали. ИМХО, конечно. С другой стороны, провайдеры тоже вряд ли смогут гасить атаки с клиентов, ибо когда сеть достаточно большая, на каждого клиента достаточно будет совсем немного трафика генерить, что на фоне торрентов будет вовсе незаметно. Боты уже давно научились определять реальную ширину канала, ну кто по умнее. Отбиваться можно играя на слабости любого ботнета - лаг на изменение адреса. И кстати, вполне реально реализовать чтобы ДНС серваки отдавали атакующим левый IP (тот же 255..255 или 127.0.0.1). Хотя от прыжков сайта по резервным IP это не избавит, но антидосеры вполне могут себе такое позволить. Вставить ник Quote
L-ZiX Posted October 10, 2010 Posted October 10, 2010 ИМХО это пеар антидос компаний. Бредятина. Говорю потому что у меня 45 серверов в нетдиректе, упомянутом в статье. И я и наши клиенты прочувствовали этот ддос, когда захлебывались роутеры датацентра с аплинками 60гбит. Вставить ник Quote
Ivan_83 Posted October 11, 2010 Posted October 11, 2010 Вы не первый и не последний пострадавший, оно (явление ДДоС) и намного раньше было не раз. Пеар в том смысле что очень много новостей на наге стали про ДДоС и АнтиДДоС. Вставить ник Quote
s.lobanov Posted October 11, 2010 Posted October 11, 2010 (edited) Вы не первый и не последний пострадавший, оно (явление ДДоС) и намного раньше было не раз.Пеар в том смысле что очень много новостей на наге стали про ДДоС и АнтиДДоС. Такая новость это не пеар, т.к. врядли кто-то из "антиддосеров" будет браться за клиентов на которых идут атаки 100G+, для них пеар это "была атака 3G, мы её заблокировали за 5 минут, клиент счастлив" Edited October 11, 2010 by s.lobanov Вставить ник Quote
Lynx10 Posted October 11, 2010 Author Posted October 11, 2010 (edited) уход от темы .... :) всё таки кто то может сказать что надо делать персоналу ДЦ (1. если АС ДЦ и адреса заказчику выданы из блока ДЦ 2. если АС и блоки заказчика который хостится) и персоналу магистралов, возможно каким то организациям (если они существуют) кричать "караул насилуют" :) а кроме того какое железо иметь на входе чтобы хоть как то с этим справляться ! вопрос актуален так как есть идеи открыть маленький дц для хостинга и тд - но после такого становится очень страшно ..... Edited October 11, 2010 by Lynx10 Вставить ник Quote
Ivan_83 Posted October 11, 2010 Posted October 11, 2010 Да ничего не делать. В договоре прописать пункт по которому в случае дос атак SLA отменяется и дц так и быть ничего клиенту не должен. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.