[dvolodin]

Богатов, как юрист, обосрался уже в этом топике. Заявление писалось формулировкой из практики по 273 статье. Вы на какой планете практику по 273 читали? Если состава из текста заявления не видно, то напишите почему его там нету. Т.е. почему Вы считаете, что на компьютерах этих пользователей отсутствует вредоносное ПО?

Рано вам практику читать, начните все-таки со статьи и комментариев

 

Во первых - где изменение кода исходной программы? Вам это видно из логов?

 

Второе, на затравку:

преступление, предусмотренное ч. 1 комментируемой статьи, может быть совершено только с прямым умыслом, так как в этой статье определено, что создание вредоносных программ заведомо для создателя программы должно привести к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ.

Использование или распространение вредоносных программ тоже может осуществляться только умышленно, так как в соответствии с ч. 2 ст. 24 УК деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части УК.

 

Где прямой умысел? Кто злоумышленник, кому нанесен ущерб, и так далее. Даже у неюристов вопросы так и прут, а уж у милиционеров сколько их будет?

 

Вам для пущего понта надо было 210-ю статью приплести как основную, а 273-ю как эпизод. Писали бы сразу торжественно,

что "Организованное преступное сообщество интернет-пользователей в составе 200K рыл терроризирует сайты ваших клиентов с целью рейдерского

захвата вашего многомегабитного бизнеса, бла-бла-бла. А как дальше по ссылке, что я давал: "Навальный в соседней квартире присоединился к моему телефону XXX-XX-XX

и устроил еблю бешенную параллельную ....."

[Дятел]

Вы всерьез считаете, что 400-500 запросов из-за NAT'a, это повод говорить о участии в DDoS атаке?

то есть Вы уверены, что Ваши абоненты никогда не имеют к атакам никакого отношения?

[dvolodin]

Богатов, как юрист, обосрался уже в этом топике. Заявление писалось формулировкой из практики по 273 статье. Вы на какой планете практику по 273 читали? Если состава из текста заявления не видно, то напишите почему его там нету. Т.е. почему Вы считаете, что на компьютерах этих пользователей отсутствует вредоносное ПО?

Рано вам практику читать, начните все-таки со статьи и комментариев

 

Во первых - где изменение кода исходной программы? Вам это видно из логов?

 

Второе, на затравку:

преступление, предусмотренное ч. 1 комментируемой статьи, может быть совершено только с прямым умыслом, так как в этой статье определено, что создание вредоносных программ заведомо для создателя программы должно привести к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ.

Использование или распространение вредоносных программ тоже может осуществляться только умышленно, так как в соответствии с ч. 2 ст. 24 УК деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части УК.

 

Где прямой умысел? Кто злоумышленник, кому нанесен ущерб, и так далее. Даже у неюристов вопросы так и прут, а уж у милиционеров сколько их будет?

 

Вам для пущего понта надо было 210-ю статью приплести как основную, а 273-ю как эпизод. Писали бы сразу торжественно,

что "Организованное преступное сообщество интернет-пользователей в составе 200K рыл терроризирует сайты ваших клиентов с целью рейдерского

захвата вашего многомегабитного бизнеса, бла-бла-бла. А как дальше по ссылке, что я давал: "Навальный в соседней квартире присоединился к моему телефону XXX-XX-XX

и устроил еблю бешенную параллельную ....."

[bitbucket]

И что еще смущает - вот вы получаете письмо, вам пишут кто куда чего и прикладывают логи, но как вы думаете, велика ли вероятность фальсификации?

А это можно проверить по логам того же netflow, тем более, что ASN kostich-а известна. Ну а если бы абуза приходила бы сразу, как началось тюкание серверов kostich-а, то можно и c&c отловить. А это уже поможет убрать всех ботов в своей сети, которые на этот c&c ходят (если это простой бот, конечно).

[StSphinx]

Вы всерьез считаете, что 400-500 запросов из-за NAT'a, это повод говорить о участии в DDoS атаке?

то есть Вы уверены, что Ваши абоненты никогда не имеют к атакам никакого отношения?

 

Разумеется я не могу быть в этом уверен, не стоит мне приписывать свои умозаключения.

Меня смущает один факт - какие однако у меня умные абоненты, DDoS'ят ТОЛЬКО из-за NAT'a.

[Дятел]

Мы на абузы реагируем, отключаем абонента

И что еще смущает - вот вы получаете письмо, вам пишут кто куда чего и прикладывают логи, но как вы думаете, велика ли вероятность фальсификации? А если будет направленная фальсификация с целью той же цензуры - чтоб например отключить от сети всех тех, кто выразил свое недовольствие правительственным аппаратом или ценами на бензин? Не станете же вы храните все фловы чтоб потом детально проверять каждое соединение, тем более что объемы потребляемой информации растут гораздо быстрее, чем средства их сбора и хранения.

мы включает обратно по простому звонку абонента, что он вылечился. Часто бывают неудачне лечения, тогда выключаем снова. Если такое многократно - направляем специалиста.

[kostich]

Кстати, о ошибках первого рода. kostich, ресурс stopddos.ru, как я понимаю, это результат деятельности Вашей разработки?

Если так, то очень интересное кино получается - там отметилось 4 IP из нашей AS. Все 4-ре - адреса на которых делается NAT.

Вы всерьез считаете, что 400-500 запросов из-за NAT'a, это повод говорить о участии в DDoS атаке?

 

все современные РАБОТАЮЩИЕ решения для защиты от DDOS работают по приципу верификации. самую первую верификацию я сделал уже не помню в каком году и была она на базе http 302 редиректа. все циска гуарды тогда откуривали от любого апликейшен ддоса. так вот наша система перехватывает сессии из потока, TCP-шные... причем либо на транзитном трафике, либо на трафике из тупиковой AS... либо если мы ставимся куда-то. так вот в режиме "под атакой" она все tcp сессии по умолчанию заворачивает на себя, т.е. конект не идёт к абоненту. далее она принимает HTTP запрос и выдает туда 302 редирект по http, который любой браузер выполнит, а либой старый бот проигнорирует... после выполнения редиректа на нашу ссылку браузер редиректится назад и конекты пропускаются к абоненту напрямую. у нас нет никаких порогов чуствительности. мы не стали включать в отчеты технологичные кликеры или еще что-то чуждое для понимания админов. т.е. в отчете все боты, которые не прошли 302 редирект и тупо флудили одинаковыми запросами. потом на формат самого дампа посмотрите и скажите похож ли этот HTTP запрос на браузер или нет.

Изменено 5 мая, 2011 пользователем kostich

[bitbucket]

Вы всерьез считаете, что 400-500 запросов из-за NAT'a, это повод говорить о участии в DDoS атаке?

Внедряйте ipv6 и выкидывайте нат :) Вообще, 400-500 запросов из-за ната с одного внешнего адреса одного и того же url маловероятно. Юзер по сайту чаще ходит (url разный), а не сидит и кликает релоад на одной странице 20 раз в минуту.

[StSphinx]

Вы всерьез считаете, что 400-500 запросов из-за NAT'a, это повод говорить о участии в DDoS атаке?

Внедряйте ipv6 и выкидывайте нат :) Вообще, 400-500 запросов из-за ната с одного внешнего адреса одного и того же url маловероятно. Юзер по сайту чаще ходит (url разный), а не сидит и кликает релоад на одной странице 20 раз в минуту.

 

К сожалению мы не видим адрес "атакуемого" ресурса. Если это 400-500 запросов(кстати, в какую единицу времени?) к ресурсу вася-пупкин-вечером-на-лавочке точка нет, это одно, а если это популярный ресурс, это совсем другое.

За разъяснение о методике спасибо конечно, но там есть одно допущение - старый ботнет, не понимающий "302".

[straus]

Практикующие сотрудники быстренько распишут, что не так в заявлении. И каких действий по заявлению можно ожидать в реале.

слив засчитан. посмотрим на кого Володин стрелки переведет.

Почему слив? Отвечу там ведь тоже я, только тот форум более подходящий. Что не устраивает? То, что там люди практикующие, и быстро разнесут в пух и прах?

Так кому засчитываем слив?

[kostich]

Во первых - где изменение кода исходной программы? Вам это видно из логов?

 

в законе ничего не говориться про внесение изменений в чужой код.

 

Где прямой умысел? Кто злоумышленник, кому нанесен ущерб, и так далее. Даже у неюристов вопросы так и прут, а уж у милиционеров сколько их будет?

 

прямой умысел был у того кто это написал и кто это распространил, а так же кто это всё использовал. что не ясного?

[dvolodin]

Вы всерьез считаете, что 400-500 запросов из-за NAT'a, это повод говорить о участии в DDoS атаке?

Внедряйте ipv6 и выкидывайте нат :) Вообще, 400-500 запросов из-за ната с одного внешнего адреса одного и того же url маловероятно. Юзер по сайту чаще ходит (url разный), а не сидит и кликает релоад на одной странице 20 раз в минуту.

Вполне реально такое. У нас был колхоз, в котором сотни три игроков одновременно сидели зя одним IP. HTTP-запросов от них, естественно, еще больше было. Такое проще на nginx'е или на балансировщике

тихо срезать. Пусть даже для колхоза сервис деградировать будет, остальных это не затронет.

 

В нашей практике принудительный заворот на HTTPS помогал решить немало проблем.

[straus]

Это не совсем по теме здешнего форума. Если коротко - начать можно с того, что нельзя просто так взять и устанавливать пользователей. И ещё очень много чего можно рассказать по этой теме.

пользователей можно устанавливать в рамках уголовного дела.

Блин, вот я с тебя фигею!

Ты за свою жизнь подписал хоть одно постановление о возбуждении УД? Тебя начальство хоть раз оттрахало за непринятие мер по УД?

Так вот нечего тут сопли жевать, деятель блин. Дело ему просто так возбуди. Тут по убийствам стараются отказняк списать на несчастные случаи или самоубийство, а он предлагает висяк своими руками подписать.

[kostich]

К сожалению мы не видим адрес "атакуемого" ресурса. Если это 400-500 запросов(кстати, в какую единицу времени?) к ресурсу вася-пупкин-вечером-на-лавочке точка нет, это одно, а если это популярный ресурс, это совсем другое.

 

да, в след версии добавим src port.

 

За разъяснение о методике спасибо конечно, но там есть одно допущение - старый ботнет, не понимающий "302".

 

Вы мне сейчас предлагаете выложить подробное описание работы нашей системы в паблик? Даже многие новые боты 302 редирект не понимают. С нас это много кто передрал конечно, но надо заметить что современные ботнеты много чего обходят... из готовых коробочных решений... а у нас это всё эффективно и без ложных срабатываний работает за достаточно бюджетный ценник.

Изменено 5 мая, 2011 пользователем kostich

[kostich]

Блин, вот я с тебя фигею!

Ты за свою жизнь подписал хоть одно постановление о возбуждении УД? Тебя начальство хоть раз оттрахало за непринятие мер по УД?

Так вот нечего тут сопли жевать, деятель блин. Дело ему просто так возбуди. Тут по убийствам стараются отказняк списать на несчастные случаи или самоубийство, а он предлагает висяк своими руками подписать.

 

В том ООО зам. директора под 20 лет проработал по тяжким и особо тяжким... можешь позвонить ему по рабочему телефону и рассказать как обстоят дела в милиции.

 

В нашей практике принудительный заворот на HTTPS помогал решить немало проблем.

 

оно только пока школьники ддосят помогает.

Изменено 5 мая, 2011 пользователем kostich

[StSphinx]

К сожалению мы не видим адрес "атакуемого" ресурса. Если это 400-500 запросов(кстати, в какую единицу времени?) к ресурсу вася-пупкин-вечером-на-лавочке точка нет, это одно, а если это популярный ресурс, это совсем другое.

 

да, в след версии добавим src port.

 

За разъяснение о методике спасибо конечно, но там есть одно допущение - старый ботнет, не понимающий "302".

 

Вы мне сейчас предлагаете выложить подробное описание работы нашей системы в паблик? Даже многие новые боты 302 редирект не понимают. У нас это всё эффективно и без ложных срабатываний работает за достаточно бюджетный ценник. С нас это много кто передрал конечно, но надо заметить что современные ботнеты много чего обходят... из готовых коробочных решений.

 

 

Нет, я не предлагаю Вам раскрывать Ваше ноу-хау, если таковое есть. Просто предлагаю обосновать, спокойно без понтов и личностей, почему мы должны иметь серьезный повод для каких-либо телодвижений на основании отчетов от Вашего комплекса? Видите ли, я как потенциальный потребитель услуги, не верю в магические "черные коробки", да при том еще коробки, которые типа лучше всех. Скепсис у меня, знаете ли, отрос с годами. :)

Если у Вас нет возможности формально описать Вашу разработку, при этом не раскрывая "изюма", то почему бы не поставить ее публично под серьезную нагрузку и затем показать отчеты? То что сейчас показано на stopddos.ru, это блеск от усов черной кошки в темной комнате. Уж простите мне такую аллегорию.:)

Изменено 5 мая, 2011 пользователем StSphinx

[dvolodin]

Во первых - где изменение кода исходной программы? Вам это видно из логов?

 

в законе ничего не говориться про внесение изменений в чужой код.

Хорошо, где факт наличия в природе вредоносной программы? На чем основаны ваши подозрения, что она есть?

Для доказательства надо, грубо говоря, вломиться в жилье злоумышленника (а это уже следственные мероприятия + ордер),

осуществить изъятие (опять же - следственное мероприятие + постановление об изъятии), найти или положить

жертве некие коды вредоносной программы, сам факт обладания которыми может считаться преступлением, провести экспертизу,

да еще убедить суд в умышленности деяния, доказать факт ущерба и сам факт того, что это именно эта программа вызвала сбой и так далее.

То есть сходу - без следственных мероприятий ничего не установить даже предварительно. Ну телефоны послушать можно еще.

Статья несерьезная и возни с ней много. А потом еще прокурора уговаривать, слова непонятные ему говорить.

По тем случаям, что я знаю, если за ручку привести и сдать тепленьким, то возьмут в дело. Хотя, кто ваш Брянск знает.

 

прямой умысел был у того кто это написал и кто это распространил, а так же кто это всё использовал. что не ясного?

Кто все эти люди? Или я дурак, или у вас с самыми азами проблемы.

 

Вы не пробовали слать заявления в УВД, что в Брянской области совершаются, о ужас, убийства, и прикладывать на диске статистику преступлений и требовать установить личности всех убитых и покарать всех преступников? Или заявлять, что в россии уклоняются от уплаты налогов? Детей от педофилов тоже полезно попросить защитить.

 

Или все-таки вы будете писать, что знаете, что гражданин такой-то замочил гражданку такую-то, а труп кинул в колодец, что предприниматель Х не уплатил налоги такие-то, или гражданка Y растлевает несовершеннолетних в такой-то форме, или, черт с ним, программист Сидоров пишет и распространяет вирусы и ваши подозрения подкреплены тем-то.

 

Разницу видите?

[kostich]

Если у Вас нет возможности формально описать Вашу разработку, при этом не раскрывая "изюма", то почему бы не поставить ее публично под серьезную нагрузку и затем показать отчеты?

 

Мы уже предагали дидосерам бонус в размере 500 WMZ если они завалят stopddos.ru или ddos-protection.ru ... максимум что прилетало 0.5mpps синфлуда и http флуд с пары тысяч ботов. Сайт провалялся там 2 минуты, по нашей внутренней договоренности руками мы не вмешивались... автоматика отработала... иногда интересно смотреть как это всё в динамике разруливается. И, кстати, от 0.5mpps синфлуда любой сервер с гиговой дыркой ляжет. Собственно можете на любых форумах заказывать тестовые атаки на stopddos.ru... можете даже без предупреждения да бы дежурные инженеры не расслаблялись. Только у меня сомнения есть, что на этот сайт где-то там что-то сможете заказать.

 

зы. только не надо с генераторов спуфом в р-не м9-ix баловаться.

Изменено 5 мая, 2011 пользователем kostich

[dvolodin]

[Мы уже предагали дидосерам бонус в размере 500 WMZ, если они завалят stopddos.ru или ddos-protection.ru ... максимум что прилетало 0.5mpps синфлуда и http флуд с пары тысяч ботов. Сайт провалялся там 2 минуты, т.к. по нашей внутренней догворенности руками мы не вмешивались... автоматика отработала... иногда интересно смотреть как это всё в динамике разруливается. И, кстати, от 0.5mpps синфлуда любой сервер с гиговой дыркой ляжет. Собственно можете на любых форумах заказывать тестовые атаки на stopddos.ru... можете даже без предупреждения да бы дежурные инженеры не расслаблялись. Только у меня сомнения есть, что на этот сайт где-то там что-то сможете заказать.

0.5 mpps SYN тот же SRX5xxx или ISG2000 срежет без проблем. Тот же VIRPION syncookies в железе считает и тоже срежет. Собственно, это даже не атака а просто мелкий незаметный мусор, который только на счетчиках и виден.

[StSphinx]

Если у Вас нет возможности формально описать Вашу разработку, при этом не раскрывая "изюма", то почему бы не поставить ее публично под серьезную нагрузку и затем показать отчеты?

 

Мы уже предагали дидосерам бонус в размере 500 WMZ если они завалят stopddos.ru или ddos-protection.ru ... максимум что прилетало 0.5mpps синфлуда и http флуд с пары тысяч ботов. Сайт провалялся там 2 минуты, по нашей внутренней договоренности руками мы не вмешивались... автоматика отработала... иногда интересно смотреть как это всё в динамике разруливается. И, кстати, от 0.5mpps синфлуда любой сервер с гиговой дыркой ляжет. Собственно можете на любых форумах заказывать тестовые атаки на stopddos.ru... можете даже без предупреждения да бы дежурные инженеры не расслаблялись. Только у меня сомнения есть, что на этот сайт где-то там что-то сможете заказать.

 

зы. только не надо с генераторов спуфом в р-не м9-ix баловаться.

 

 

Да нет у меня желания что-то там заказывать. И думаю ни у кого из Ваших потенциальных клиентов, тоже нет желания заниматься этим.

Ребячество какое-то. Я не должен себя в чем-то убеждать. Продавец, условно говоря, Вы. Вам и карты в руки.

[kostich]

Хорошо, где факт наличия в природе вредоносной программы? На чем основаны ваши подозрения, что она есть?

 

Факт потока запросов имитирующих браузеры зафиксирован.

 

Для доказательства надо, грубо говоря, вломиться в жилье злоумышленника (а это уже следственные мероприятия + ордер),

 

Вы сразу думаете о том, что кто-то сорвется и пойдет в дома физ. лиц. Начать могут с ведомственных организаций, т.е. с бюджетников. Или Вы хотите сказать, что начальник бюджетной структуры будет стоять на пороге своей конторы с адвокатом и не пускать туда силовиков?

 

Кто все эти люди? Или я дурак, или у вас с самыми азами проблемы.

 

если погуглите, то найдете массу объявлений о заражении компьютеров... ценник от 10$ за 1 тысячу. или я дурак, или ничего противозаконного не происходит.

 

Или все-таки вы будете писать, что знаете, что гражданин такой-то замочил гражданку такую-то, а труп кинул в колодец, что предприниматель Х не уплатил налоги такие-то, или гражданка Y растлевает несовершеннолетних в такой-то форме, или, черт с ним, программист Сидоров пишет и распространяет вирусы и ваши подозрения подкреплены тем-то.

 

Разницу видите?

 

Если мы напишем на Сидорова, то Вы будете ораторствовать примерно в таком же ключе, а компы с вредоносами как были с вредоносами так и останутся. Дело по Сидорову не возбудят, т.к. какой либо доказательной базы нету. А если будет дело по факту наличия вредоносов на большом кол-ве компьютеров, то Сидорова к этому делу могут присовокупить в качестве подозреваемого... со всеми вытекающими. Разницу понимаете?

 

0.5 mpps SYN тот же SRX5xxx или ISG2000 срежет без проблем. Тот же VIRPION syncookies в железе считает и тоже срежет. Собственно, это даже не атака а просто мелкий незаметный мусор, который только на счетчиках и виден.

 

да, действительно, есть масса ДОРОГИХ железок срезающих это без всяких проблем. а что делать тем у кого этих железок нету? или тем кому за все эти мегабиты мусора платить? а что делать если прилетело 3mpps-а и ДОРОГОЙ железки не хватает? тут можно всяко рассуждать на предмет покупать быстроустаревающие и обесценивающиеся железки или пользоваться готовым сервисом.

[kostich]

http://www.securitylab.ru/news/405305.php

 

"Мы весьма удивлены тем, что представители LiveJournal до сих пор не обратились в правоохранительные органы с заявлением по поводу атаки... В СМИ звучат заявления о том, что «такое уголовное дело не имеет перспективы». C нашей точки зрения, в данной атаке налицо все признаки преступления, классифицируемого по 273 статье УК РФ «Создание и распространение вредоносных программ». У российских правоохранительных органов и судов уже накоплен хороший опыт применения этой статьи", пишет в блоге Мария Гарнаева.

 

dvolodin, в Касперском тоже идиоты и дураки, которые так же считают что тут 273 УК РФ

[dvolodin]

Если мы напишем на Сидорова, то Вы будете ораторствовать примерно в таком же ключе, а компы с вредоносами как были с вредоносами так и останутся. Дело по Сидорову не возбудят, т.к. какой либо доказательной базы нету. А если будет дело по факту наличия вредоносов на большом кол-ве компьютеров, то Сидорова к этому делу могут присовокупить в качестве подозреваемого... со всеми вытекающими. Разницу понимаете?

Виновным в преступлении человека признает суд. До решения суда - вы все - козлы, которые портят жизнь обычному человеку. Вас такая позиция удивляет?

В данном случае вы целенаправленно не имея доказательной базы пытаетесь привлечь к ответсвенности конкретного Сидорова. Типа Кашники его попрессуют, поопугают, он сдури во всем сознается,

лишь бы его помиловали и дали условный. Сами понимаете, что чисто и без нарушений привлечь Сидорова не получится.

 

А если продолжать думать в вашем направлении, то вы даете возможность кашникам вломиться в любую контору, на липовом основании, и парализовать ее работу на любой требуемый срок.

Возвращаемся к теме о коррупции. Их и так только начали отучать от этого.

 

0.5 mpps SYN тот же SRX5xxx или ISG2000 срежет без проблем. Тот же VIRPION syncookies в железе считает и тоже срежет. Собственно, это даже не атака а просто мелкий незаметный мусор, который только на счетчиках и виден.

да, действительно, есть масса ДОРОГИХ железок срезающих это без всяких проблем. а что делать тем у кого этих железок нету? или тем кому за все эти мегабиты мусора платить? а что делать если прилетело 3mpps-а и ДОРОГОЙ железки не хватает? тут можно всяко рассуждать на предмет покупать быстроустаревающие и обесценивающиеся железки или пользоваться готовым сервисом.

Если для вас дорого, то я молчу. Древний ISG2000 тянет 4Mpps. Мало будет - ставится два, три, и так далее, точно так же, как вы делаете. На серваки точно так же ставятся интеловский десяточные карты с multi-queue. Вопрос не в этом -- SYN flood легко срезается стандартными методами и можно даже не париться. Накрайняк можно задействовать для фильтрации оборудование датацентра, если своего нет. Вопрос в позиционировании конкретно вашего сервиса - с SYN'ами пока неубедительно.

 

Важен другой момент - у всего упомянутого оборудования алгоритмы работы и методы защиты подробно описаны в документации. Стороннему сервису не мешает иметь не менее подробную документацию. Заявления о том, что патентованная технология чистит трафик и улучшает карму смотрятся как-то неубедительно.

 

dvolodin, в Касперском тоже идиоты и дураки, которые так же считают что тут 273 УК РФ

Ну так пусть они этим и занимаются, специально для них в 273-й исключение сделано

[kostich]

Виновным в преступлении человека признает суд. До решения суда - вы все - козлы, которые портят жизнь обычному человеку. Вас такая позиция удивляет?

В данном случае вы целенаправленно не имея доказательной базы пытаетесь привлечь к ответсвенности конкретного Сидорова. Типа Кашники его попрессуют, поопугают, он сдури во всем сознается,

лишь бы его помиловали и дали условный. Сами понимаете, что чисто и без нарушений привлечь Сидорова не получится.

 

Володин, это как его Кшники попрессуют? Они у него даже обыск сделать не смогут. Вызовут повесткой - придет с адвокатом и откажется давать объяснения... вот и весь пресс.

 

 

А если продолжать думать в вашем направлении, то вы даете возможность кашникам вломиться в любую контору, на липовом основании, и парализовать ее работу на любой требуемый срок.

Возвращаемся к теме о коррупции. Их и так только начали отучать от этого.

 

Почему на липовом? Почему вломятся?

 

 

Вопрос в позиционировании конкретно вашего сервиса - с SYN'ами пока неубедительно.

 

это не я позиционировал, а Вы... если бы всё так красиво было как описываете, то многие понакупвшие железок тупо бы не валялись...

 

 

Важен другой момент - у всего упомянутого оборудования алгоритмы работы и методы защиты подробно описаны в документации. Стороннему сервису не мешает иметь не менее подробную документацию. Заявления о том, что патентованная технология чистит трафик и улучшает карму смотрятся как-то неубедительно.

 

всегда можно попробовать.

 

Ну так пусть они этим и занимаются, специально для них в 273-й исключение сделано

 

а на каком основании они этим заниматься будут?

 

да, про документацию интересно. вот есть одна железка с TCP safe reset, но она без куки... это если согласно доке слать второй син, то пролетит он сразу к клиенту. да и авторизовать там 10-20 тыщ айпи так же большого ума не надо... а потом как вдуть туда на вылет. меня иногда просят принять участие в тестировании подобного рода решений. вот смысл расписывать в документации все алгоритмы? с одной стороны её продать сложнее, а сдругой стороны любой почитавший документацию знает как это привалить дешевым способом.

Изменено 5 мая, 2011 пользователем kostich

[dvolodin]

Володин, это как его Кшники попрессуют? Они у него даже обыск сделать не смогут. Вызовут повесткой - придет с адвокатом и откажется давать объяснения... вот и весь пресс.

Изъятие оборудование без постановления и допросы без повесток - увы, не единичный случай. Это уже не для форума.

 

А если продолжать думать в вашем направлении, то вы даете возможность кашникам вломиться в любую контору, на липовом основании, и парализовать ее работу на любой требуемый срок.

Возвращаемся к теме о коррупции. Их и так только начали отучать от этого.

Почему на липовом? Почему вломятся?

Вы сами расписали про то, как они вламываются в бюджетную организацию, фактически на основании данных вашего патентованного показометра.

 

Вопрос в позиционировании конкретно вашего сервиса - с SYN'ами пока неубедительно.

 

это не я позиционировал, а Вы... если бы всё так красиво было как описываете, то многие понакупвшие железок тупо бы не валялись...

Да и не валяются, если головой думают. На худой конец идут к специалистам, чтобы настроили эти чудо-железки. Какая разница, если своих

спецов нет, придется идти к чужим.

 

да, про документацию интересно. вот есть одна железка с TCP safe reset, но она без куки... это если согласно доке слать второй син, то пролетит он сразу к клиенту. да и авторизовать там 10-20 тыщ айпи так же большого ума не надо... а потом как вдуть туда на вылет. меня иногда просят принять участие в тестировании подобного рода решений. вот смысл расписывать в документации все алгоритмы? с одной стороны её продать сложнее, а сдругой стороны любой почитавший документацию знает как это привалить дешевым способом.

Методы, основанные на том, что атакующая сторона что-то не знает, всегда порочны. Ситуация, когда атакующий куда лучше знает, как работает система защиты атакуемого неприятны всегда.

Вопрос в масштабах и в относительности. Для сервиса, которым одновременно пользуются 5M человек, ваши дополнительные 20k адресов и 0.5Mpps вообще что слону дробина, мы в свое время syn-атаки

считали по логарифмической шкале. 11-й порядок даже атакой не считается. С другой стороны 1kpps флуда угробят хомяка Васи Пупкина.