Перейти к содержимому
Калькуляторы

DDOS атака и ефективная защита? DDOS атака и ефективная защита?

Почитал статью http://habrahabr.ru/blogs/hosting/105830/ (тут копия http://lucas.tpi.ru/100gbit.htm так как оригинал уже не открывается)

посмотрел на ссылки которые упоминались в статье

http://lenta.ru/news/2010/10/08/ddos/

http://lenta.ru/news/2010/10/08/yandex/

 

на голове волосы зашевелились....

 

Вот теперь вопрос:

какой алгоритм действий для оперативной и еффективной защиты как со стороны в данном случае клиента - который пользовался услугами ДЦ так и персонала ДЦ так и магистралов которые дают каналы для ДЦ.

 

ПС мне кажется это первая ласточка - и такого мы ещё увидим не раз.

Изменено пользователем Lynx10

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А запись на darpa.mil - зачёт :)
:)

можно было ещё придумать пару идей ;) и отомстить всем кто хоть раз на тебя не так посмотрел, не то сказал - получилось так что записью А чувак управлял куда будет дуть гавно всё.... :))))!!!!!

Это сок:

"Тут увидел что яндекс не открывается, как оказалось все довольно просто: когда товарищ уже видимо от безысходности и глупости вписывал IP адреса darpa.mil, yandex.ru, голдентелекома, google и еще кого-то, атака продолжалась на эти IP, никто не продержался.

Представьте у Вас шланг — в виде A записи, с возможностью направить куда угодно и уничтожить почти, что угодно. Попросил клиента уговорить товарища (т.к. не смыслил он, что творил, или смыслил?) прекратить делать окружающим также плохо как и ему и прописать 0.0.0.0 или 127.0.0.1"

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А запись на darpa.mil - зачёт :)

Они вроде на akamai хостятся, так что это скорее хостер просуетился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А запись на darpa.mil - зачёт :)
Они вроде на akamai хостятся, так что это скорее хостер просуетился.

при такой ситуаци я думаю что суетились все от тех кто хостился до магистральных операторов!

 

Как раз вопрос как суетится (причём на всех уровнях..... ) так чтобы за короткое время суета была наиболее еффективой !!!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

эффективной..

 

Но это я так, придираюсь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на самом деле можно было поэротичней запись придумать

ну допустим 255.255.255.255 :)

имхо,бОльшую часть ботов слизало бы, если учесть что 95% воткнуты в езер, то от 100мбит L3 броадкаста в сегмент CPE бы откинулись, а свичи умные заблокировали порты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Представьте у Вас шланг
с говном

 

 

Чудо случилось к 21:00 — darpa.mil поднялась, а ддос магически исчез.
Они ответили оффлайново, ответ долетел до места назначения :)

 

Удивительно как про мс не вспомнили %)

 

 

Ещё можно было на 224.ххх IP поменять или на 169.ххх (APIPA или как его там), хотя 255 кошернее в плане привлечения внимания локальных админов.

 

 

то от 100мбит L3 броадкаста в сегмент
Броадкаст он и в L2 броадкаст, для 255.255.255.255 уж точно, мак назначения на выходе будет ff::ff

 

 

 

Хостится в куче крупных ДЦ по миру, отдавать кучу А записей либо по очеди по одной.

Провайдерам никак, или сколотить свою шайку-лейку типа профсоюза и действовать сообща.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для опоздавших.

http://habrahabr.ru/blogs/hosting/105830/ уже потерли.

 

Может у кого осталась открытой в браузере? Скиньте, плиз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для опоздавших.

http://habrahabr.ru/blogs/hosting/105830/ уже потерли.

Жаль, там каменты интересные были...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://lucas.tpi.ru/100gbit.htm - это копия именно с хабра, с комментами

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот и наступил момент, когда молотилки аля sce входят в повседневную необходимость для каждого оператора, чтоб на аплинках если не от других защищаться, то хотя б своих гавриков сдерживать. атака такого масштаба хоть и первая, но никто не дает гарантий, что последняя, и пожалуй наступает такое время, когда каждый участник трафикообмена должен уметь бороться с исходящей от его сетей атакой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ИМХО это пеар антидос компаний.

 

Последнее время от них слишком много статей, ну и в новости попасть не проблема: журналистам самим писать лень, разбираться сложно, сожрут=напечатают что подадут.

 

ДДоС существует не первый день.

 

 

И да, тут антидосеры уже писали, что для такой атаки на самом деле не нужна ботсеть.

Достаточно найти кучу раздолбайских ДЦ, где на спуфинг всем пофик, каналы у них широкие, с сотни ДЦ по гигабиту на каждый или ещё больше ДЦ раскидать и особо никто не заметит, да и управлять легко.

Тем более, что там лаг был на изменение адреса совсем маленький, и объём трафика не падал со временем, те боты не отмирали.

ИМХО, конечно.

 

 

С другой стороны, провайдеры тоже вряд ли смогут гасить атаки с клиентов, ибо когда сеть достаточно большая, на каждого клиента достаточно будет совсем немного трафика генерить, что на фоне торрентов будет вовсе незаметно. Боты уже давно научились определять реальную ширину канала, ну кто по умнее.

 

 

Отбиваться можно играя на слабости любого ботнета - лаг на изменение адреса.

И кстати, вполне реально реализовать чтобы ДНС серваки отдавали атакующим левый IP (тот же 255..255 или 127.0.0.1). Хотя от прыжков сайта по резервным IP это не избавит, но антидосеры вполне могут себе такое позволить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ИМХО это пеар антидос компаний.

Бредятина. Говорю потому что у меня 45 серверов в нетдиректе, упомянутом в статье. И я и наши клиенты прочувствовали этот ддос, когда захлебывались роутеры датацентра с аплинками 60гбит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы не первый и не последний пострадавший, оно (явление ДДоС) и намного раньше было не раз.

Пеар в том смысле что очень много новостей на наге стали про ДДоС и АнтиДДоС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы не первый и не последний пострадавший, оно (явление ДДоС) и намного раньше было не раз.

Пеар в том смысле что очень много новостей на наге стали про ДДоС и АнтиДДоС.

Такая новость это не пеар, т.к. врядли кто-то из "антиддосеров" будет браться за клиентов на которых идут атаки 100G+, для них пеар это "была атака 3G, мы её заблокировали за 5 минут, клиент счастлив"

Изменено пользователем s.lobanov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

уход от темы .... :)

всё таки кто то может сказать что надо делать персоналу ДЦ (1. если АС ДЦ и адреса заказчику выданы из блока ДЦ 2. если АС и блоки заказчика который хостится) и персоналу магистралов, возможно каким то организациям (если они существуют) кричать "караул насилуют" :) а кроме того какое железо иметь на входе чтобы хоть как то с этим справляться !

 

вопрос актуален так как есть идеи открыть маленький дц для хостинга и тд - но после такого становится очень страшно .....

Изменено пользователем Lynx10

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да ничего не делать.

В договоре прописать пункт по которому в случае дос атак SLA отменяется и дц так и быть ничего клиенту не должен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.