Lynx10 Опубликовано 9 октября, 2010 (изменено) · Жалоба Почитал статью http://habrahabr.ru/blogs/hosting/105830/ (тут копия http://lucas.tpi.ru/100gbit.htm так как оригинал уже не открывается) посмотрел на ссылки которые упоминались в статье http://lenta.ru/news/2010/10/08/ddos/ http://lenta.ru/news/2010/10/08/yandex/ на голове волосы зашевелились.... Вот теперь вопрос: какой алгоритм действий для оперативной и еффективной защиты как со стороны в данном случае клиента - который пользовался услугами ДЦ так и персонала ДЦ так и магистралов которые дают каналы для ДЦ. ПС мне кажется это первая ласточка - и такого мы ещё увидим не раз. Изменено 10 октября, 2010 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 9 октября, 2010 · Жалоба "китайский файрвол" :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 9 октября, 2010 · Жалоба А запись на darpa.mil - зачёт :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 9 октября, 2010 · Жалоба А запись на darpa.mil - зачёт :):)можно было ещё придумать пару идей ;) и отомстить всем кто хоть раз на тебя не так посмотрел, не то сказал - получилось так что записью А чувак управлял куда будет дуть гавно всё.... :))))!!!!! Это сок: "Тут увидел что яндекс не открывается, как оказалось все довольно просто: когда товарищ уже видимо от безысходности и глупости вписывал IP адреса darpa.mil, yandex.ru, голдентелекома, google и еще кого-то, атака продолжалась на эти IP, никто не продержался. Представьте у Вас шланг — в виде A записи, с возможностью направить куда угодно и уничтожить почти, что угодно. Попросил клиента уговорить товарища (т.к. не смыслил он, что творил, или смыслил?) прекратить делать окружающим также плохо как и ему и прописать 0.0.0.0 или 127.0.0.1" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 9 октября, 2010 · Жалоба А запись на darpa.mil - зачёт :) Они вроде на akamai хостятся, так что это скорее хостер просуетился. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 9 октября, 2010 · Жалоба А запись на darpa.mil - зачёт :)Они вроде на akamai хостятся, так что это скорее хостер просуетился. при такой ситуаци я думаю что суетились все от тех кто хостился до магистральных операторов! Как раз вопрос как суетится (причём на всех уровнях..... ) так чтобы за короткое время суета была наиболее еффективой !!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 9 октября, 2010 · Жалоба эффективной.. Но это я так, придираюсь... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 9 октября, 2010 · Жалоба на самом деле можно было поэротичней запись придумать ну допустим 255.255.255.255 :) имхо,бОльшую часть ботов слизало бы, если учесть что 95% воткнуты в езер, то от 100мбит L3 броадкаста в сегмент CPE бы откинулись, а свичи умные заблокировали порты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 октября, 2010 · Жалоба Представьте у Вас шлангс говном Чудо случилось к 21:00 — darpa.mil поднялась, а ддос магически исчез.Они ответили оффлайново, ответ долетел до места назначения :) Удивительно как про мс не вспомнили %) Ещё можно было на 224.ххх IP поменять или на 169.ххх (APIPA или как его там), хотя 255 кошернее в плане привлечения внимания локальных админов. то от 100мбит L3 броадкаста в сегментБроадкаст он и в L2 броадкаст, для 255.255.255.255 уж точно, мак назначения на выходе будет ff::ff Хостится в куче крупных ДЦ по миру, отдавать кучу А записей либо по очеди по одной. Провайдерам никак, или сколотить свою шайку-лейку типа профсоюза и действовать сообща. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 10 октября, 2010 · Жалоба Для опоздавших. http://habrahabr.ru/blogs/hosting/105830/ уже потерли. Может у кого осталась открытой в браузере? Скиньте, плиз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dew Опубликовано 10 октября, 2010 · Жалоба http://live.xakep.ru/blog/Hack/638.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 10 октября, 2010 · Жалоба Для опоздавших. http://habrahabr.ru/blogs/hosting/105830/ уже потерли. Жаль, там каменты интересные были... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dew Опубликовано 10 октября, 2010 · Жалоба http://lucas.tpi.ru/100gbit.htm - это копия именно с хабра, с комментами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 октября, 2010 · Жалоба вот и наступил момент, когда молотилки аля sce входят в повседневную необходимость для каждого оператора, чтоб на аплинках если не от других защищаться, то хотя б своих гавриков сдерживать. атака такого масштаба хоть и первая, но никто не дает гарантий, что последняя, и пожалуй наступает такое время, когда каждый участник трафикообмена должен уметь бороться с исходящей от его сетей атакой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 10 октября, 2010 · Жалоба ИМХО это пеар антидос компаний. Последнее время от них слишком много статей, ну и в новости попасть не проблема: журналистам самим писать лень, разбираться сложно, сожрут=напечатают что подадут. ДДоС существует не первый день. И да, тут антидосеры уже писали, что для такой атаки на самом деле не нужна ботсеть. Достаточно найти кучу раздолбайских ДЦ, где на спуфинг всем пофик, каналы у них широкие, с сотни ДЦ по гигабиту на каждый или ещё больше ДЦ раскидать и особо никто не заметит, да и управлять легко. Тем более, что там лаг был на изменение адреса совсем маленький, и объём трафика не падал со временем, те боты не отмирали. ИМХО, конечно. С другой стороны, провайдеры тоже вряд ли смогут гасить атаки с клиентов, ибо когда сеть достаточно большая, на каждого клиента достаточно будет совсем немного трафика генерить, что на фоне торрентов будет вовсе незаметно. Боты уже давно научились определять реальную ширину канала, ну кто по умнее. Отбиваться можно играя на слабости любого ботнета - лаг на изменение адреса. И кстати, вполне реально реализовать чтобы ДНС серваки отдавали атакующим левый IP (тот же 255..255 или 127.0.0.1). Хотя от прыжков сайта по резервным IP это не избавит, но антидосеры вполне могут себе такое позволить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 10 октября, 2010 · Жалоба ИМХО это пеар антидос компаний. Бредятина. Говорю потому что у меня 45 серверов в нетдиректе, упомянутом в статье. И я и наши клиенты прочувствовали этот ддос, когда захлебывались роутеры датацентра с аплинками 60гбит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 октября, 2010 · Жалоба Вы не первый и не последний пострадавший, оно (явление ДДоС) и намного раньше было не раз. Пеар в том смысле что очень много новостей на наге стали про ДДоС и АнтиДДоС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 октября, 2010 (изменено) · Жалоба Вы не первый и не последний пострадавший, оно (явление ДДоС) и намного раньше было не раз.Пеар в том смысле что очень много новостей на наге стали про ДДоС и АнтиДДоС. Такая новость это не пеар, т.к. врядли кто-то из "антиддосеров" будет браться за клиентов на которых идут атаки 100G+, для них пеар это "была атака 3G, мы её заблокировали за 5 минут, клиент счастлив" Изменено 11 октября, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 11 октября, 2010 (изменено) · Жалоба уход от темы .... :) всё таки кто то может сказать что надо делать персоналу ДЦ (1. если АС ДЦ и адреса заказчику выданы из блока ДЦ 2. если АС и блоки заказчика который хостится) и персоналу магистралов, возможно каким то организациям (если они существуют) кричать "караул насилуют" :) а кроме того какое железо иметь на входе чтобы хоть как то с этим справляться ! вопрос актуален так как есть идеи открыть маленький дц для хостинга и тд - но после такого становится очень страшно ..... Изменено 11 октября, 2010 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 октября, 2010 · Жалоба Да ничего не делать. В договоре прописать пункт по которому в случае дос атак SLA отменяется и дц так и быть ничего клиенту не должен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...