kostich Posted July 29, 2011 Posted July 29, 2011 Лично мне из всего этого не ясно почему ЖЖ все еще имеет дела с веризоном, причем я не то что там со стороны, а можно даже сказать как-то совсем рядом... нас конечно же при жопным ситуациях рекомендуют, в том числе и ЖЖ рекомендовали... да много кому, конечно же общаемся со всеми... но каждый раз лично меня поражали разные эксперты по атакам... иногда ценами, иногда размерами, иногда технологиями... мне очень не хочется перечислять людей по фамилиям, но в случае с ЖЖ отмечаются практически все. Недавно на одного нашего клиента была синфлудная атака размером под 3mpps-а, что для нас теперь какие-то дежурные мелочи... но надо заметить, что эта атака не пролезает через 3 гигабитных дырки из-за проблем с физическими гиговыми портами... т.е. защищаться от такого возможно только с наличием десятошной дырки и соответствующего софта/железа. Мне не хочется описывать архитектуру ЖЖ, которую описывали уже где только можно, как и остальных крупняков... так вот вопрос больше по части сколько портов у сервиса наружу смотрит, которые разные веризоны по сей день прикрыть не могут. Собственно возвращаясь к атаке в 3mpps на нашего клиента, которую держали достаточно долго... стоят у людей генераторы где-то в р-не NTT, спуфят они сины как хотят, поливают полками определенными... скажем после 1.5mpps на графике сразу пошло 2.6 mpps, т.е. либо еще потоки флудилки на серверах запускают, либо доп. мощности подключают. К чему я про это всё... каким образом известная антивирусная компания и стадо экспертов может видеть или не видеть атаку с генераторов на транзитных узлах? Что бы такое видеть надо netflow с ближних пиров собирать и анализовать... плюс для определения локации надо с BGP надцать раз играться, иначе можно обмануться сильно. пысы. недавно на одной известной атаке через неуправляемый свич в ДЦ один дедик атаковал другой... как вы думаете что эксперты в СМИ наговорили? пыпыпысы. помятуя про мнение Евгения Касперского про ЖЖ и лукавство с их стороны скажу, что у нашей фирмы просетаплены на них даже рауты в BGP, в т.ч. и в whois, написаны все письма на тему BGP и бабла с ЖЖ за какой-то тест не требуется... но по каким-то причинам ЖЖ нравится валяться. Вставить ник Quote
HelgS Posted July 29, 2011 Posted July 29, 2011 пысы. недавно на одной известной атаке через неуправляемый свич в ДЦ один дедик атаковал другой... как вы думаете что эксперты в СМИ наговорили? Просим-просим, расскажите. пыпыпысы. помятуя про мнение Евгения Касперского про ЖЖ и лукавство с их стороны скажу, что у нашей фирмы просетаплены на них даже рауты в BGP, в т.ч. и в whois, написаны все письма на тему BGP и бабла с ЖЖ за какой-то тест не требуется... но по каким-то причинам ЖЖ нравится валяться. Касперские сами любители рассказывать сетевые страшилки, пуганные потребители денежки несут. Вставить ник Quote
kostich Posted July 29, 2011 Author Posted July 29, 2011 пысы. недавно на одной известной атаке через неуправляемый свич в ДЦ один дедик атаковал другой... как вы думаете что эксперты в СМИ наговорили? Просим-просим, расскажите. так все подробности описаны, а ссылки указывать не хочется. Вставить ник Quote
jab Posted July 29, 2011 Posted July 29, 2011 К чему я про это всё... каким образом известная антивирусная компания и стадо экспертов может видеть или не видеть атаку с генераторов на транзитных узлах? Что бы такое видеть надо netflow с ближних пиров собирать и анализовать... плюс для определения локации надо с BGP надцать раз играться, иначе можно обмануться сильно. Вы точно понимете разницу между DoS и DDoS ? Что дадут игры с BGP и определение локации если хороший ботнет лупит с десятка тысяч префиксов одновременно ? Для анализа не нужен собственно netflow, миррорится порт на снифер и записывается секундный трафик, потом вдумчиво анализируется на предмет поиска сигнатур. Вставить ник Quote
jab Posted July 29, 2011 Posted July 29, 2011 Для русских ЖЖ под ддосом Для всех остальных - "мы тут улучшали улучшали и все немного поломали" У них как появляется новая свистелка или перделка так сразу "жж под ддосом" http://lj-maintenance.livejournal.com/131031.html Законы Мерфи не мешают обоим событиям произойти одновременно... ;-) Вставить ник Quote
nuclearcat Posted July 29, 2011 Posted July 29, 2011 Можно поспрашивать http://sm.moikrug.ru/ http://aleksandr-myagkov2.moikrug.ru/ там работали работают: http://aleksey-hotulyov.moikrug.ru/ и т.д. http://moikrug.ru/companies/62242117/positionchanges/?filter=comming&perpage=20&page=1 Вставить ник Quote
nuclearcat Posted July 29, 2011 Posted July 29, 2011 А вот еще, хотя и не совсем то http://red-alf.livejournal.com/39062.html и http://slonik-v-domene.livejournal.com/98763.html#cutid1 Вставить ник Quote
jab Posted July 30, 2011 Posted July 30, 2011 В прошлый раз они прикручивали варниш вместо нгинкса - у них ВНЕЗАПНО случился ддос В позапрошлый раз они прикрутили LJ Times - и снова ддос ! Так что выбирать прийдется между дуростью и криворукостью :) У линузятников всегда так, 20 лет дурости и криворукости... :-) Вставить ник Quote
netime Posted July 30, 2011 Posted July 30, 2011 Что-то иксперты не могут победить постоянные глюки жж. Да и вообще жж умирает... есть blogspot есть wordpress, народ потихоньку перелезает.. Вставить ник Quote
Sonne Posted August 1, 2011 Posted August 1, 2011 Что-то иксперты не могут победить постоянные глюки жж. Да и вообще жж умирает... есть blogspot есть wordpress, народ потихоньку перелезает.. То что вы назвали вообще никак не заменяет ЖЖ. Вы наверно думаете что общего там слово blog. На самом деле у ЖЖ социальный граф, все остальное дерьмовое и малоудобное. Кому было насрать на граф, тот давно уже на вордпрессе стендалон. Кому не насрать, тем некуда пока податься, к сожалению. Вставить ник Quote
kostich Posted August 1, 2011 Author Posted August 1, 2011 Вы точно понимете разницу между DoS и DDoS ? Что дадут игры с BGP и определение локации если хороший ботнет лупит с десятка тысяч префиксов одновременно ? Для анализа не нужен собственно netflow, миррорится порт на снифер и записывается секундный трафик, потом вдумчиво анализируется на предмет поиска сигнатур. блин... каких сигнатур? какие ботнеты? в нетфлоу один син от другого чем-то отличается? за последнее время атаки от которых разные железки складываются делают при помощи пары-тройки дедиков с разрешенным спуфингом. только атака идёт на мир, а от мира прилетает уже к тебе... это к слову об отличии доса от дидоса. Вставить ник Quote
kostich Posted August 1, 2011 Author Posted August 1, 2011 2jab, раньше два дурака, одного из которых недавно выпустили из тюрьмы, флудили синфлудом с фиксированным win... это единственная сигнатура, которая могла быть.. сейчас у синфлуда набор паттернов примерно такой же какой и описан в /etc/pf.os на фряшке... нету сигнатур, флуд полностью валидный обычно. Вставить ник Quote
kostich Posted August 1, 2011 Author Posted August 1, 2011 http://lj.rossia.org/users/dolboeb/2140838.html?mode=reply http://galeonis.dreamwidth.org/1235341.html http://dil.dreamwidth.org/1010133.html юзеров в ЖЖ отфильтровали очередной супер железкой для защиты от дидоса... так сказать защитила она жж от юзеров. Вставить ник Quote
kostich Posted August 1, 2011 Author Posted August 1, 2011 http://www.zaks.ru/new/archive/view/82530 - отжыг продолжается... "Прошу вас установить и привлечь к уголовной ответственности неизвестных мне лиц, (:) которые начиная с 12:30 25 июля осуществляли и продолжают осуществлять до настоящего времени распределенную атаку, направленную на отказ в обслуживании сайта www.livejournal.com", - говорится в тексте заявления гендиректора ЗАО "Суп Фабрик" Лилии Омашевой на имя Р.Нургалиева, распространенного в понедельник, передает "Интерфакс". интересно... а причем тут Нургалиев и атака на сервера и железяки совсем в другой стране? всё улетает в какую-то политическую плоскость - атака на сервера в другой стране, наши правоохранители бездействуют, блоггеры в панике... Вставить ник Quote
kostich Posted August 2, 2011 Author Posted August 2, 2011 или вы придумали ДДоС на ЖЖ, и теперь героически с ним боретесь ? мы с ним не боремся, т.к. ЖЖ не наши клиенты... Вставить ник Quote
jab Posted August 2, 2011 Posted August 2, 2011 2jab, раньше два дурака, одного из которых недавно выпустили из тюрьмы, флудили синфлудом с фиксированным win... это единственная сигнатура, которая могла быть.. сейчас у синфлуда набор паттернов примерно такой же какой и описан в /etc/pf.os на фряшке... нету сигнатур, флуд полностью валидный обычно. Это все спор о терминологии... паттерн по пакету != сигнатуре потока. Вставить ник Quote
kostich Posted August 2, 2011 Author Posted August 2, 2011 jab, ну что лукавить. если хотите обмануть сенсор, то не плодите лишних флоу в статистике. в переводе на русский злые мальчики могут не баловаться рандомом даже с одного хоста, в случае с ботнетом, и в нетфлоу никакой сигнатуры как таковой не будет, за исключением скачка айпишных сорцов и pps-ов. просто в том же netflow нету ничего про фиксированный win или какие-то более детальные подробности относительно конкретного пакета, потому как пишется там самое мелкое по самому флоу. Вставить ник Quote
kostich Posted August 2, 2011 Author Posted August 2, 2011 Что дадут игры с BGP и определение локации если хороший ботнет лупит с десятка тысяч префиксов одновременно ? Для анализа не нужен собственно netflow, миррорится порт на снифер и записывается секундный трафик, потом вдумчиво анализируется на предмет поиска сигнатур. мне вот на эту часть поподробнее хочется ответить. в случае использования серверов с разрешенным спуфингом всё в разы сложнее, потому как это не ботнеты и там поле для деятельности более большое... относительно базы ip sources, различных пакетных комбинаций и т.д... мирорить порт можно только тогда, когда его можно мирорить. если спуфинг прилетает через IX, а тема уже про девятку тут была, то не у всех есть техническая возможность для установления MAC адреса участника IX сливающего спуфинг... если через какой-то большой и толстый транзит прилетает, то там тоже не всегда есть возможности для поиска. в одном домике игры с BGP конечно мало что дадут, но когда домиков очень много, то локейшен мусорогенерилок устанавливается более или менее. потом не у всех есть возможность мирорить десятку... а если там несколько десяток? это в контексте поиска спуфинга на IX. пысы. а то что у нас в стране управление К начало заниматься расследованием атаки из Южной-Африки на сервера в Монтане это очень круто... Вставить ник Quote
Дятел Posted August 2, 2011 Posted August 2, 2011 пысы. а то что у нас в стране управление К начало заниматься расследованием атаки из Южной-Африки на сервера в Монтане это очень круто... После того, как во время кризиса 2008 года Правительство разрешило Центробанку выдавать кредиты российским компаниям под залог акций (чтоб они не достались западным банкам), и Центробанк выдал 2 млд баксов Кипрской конторе - я уже таким мелочам не удивляюсь ))) Вставить ник Quote
kostich Posted August 2, 2011 Author Posted August 2, 2011 В первую очередь у СУП-а спросят на кого они думают, потом почему они решили что это DDOS, а далее зачем им нужен весь этот цирк с обращением к Нургалиеву... дальнейшего развития следствия в рамках нашего правового поля быть не может. Вставить ник Quote
uraeus Posted August 3, 2011 Posted August 3, 2011 Все уже украдено расследовано до нас: Security experts have discovered the biggest series of cyber attacks to date, involving the infiltration of the networks of 72 organizations including the United Nations, governments and companies around the world. Security company McAfee, which uncovered the intrusions, said it believed there was one "state actor" behind the attacks but declined to name it, though one security expert who has been briefed on the hacking said the evidence points to China. The long list of victims in the five-year campaign include the governments of the United States, Taiwan, India, South Korea, Vietnam and Canada; the Association of Southeast Asian Nations (ASEAN); the International Olympic Committee (IOC); the World Anti-Doping Agency; and an array of companies, from defense contractors to high-tech enterprises. тыц! Вставить ник Quote
jab Posted August 3, 2011 Posted August 3, 2011 jab, ну что лукавить. если хотите обмануть сенсор, то не плодите лишних флоу в статистике. в переводе на русский злые мальчики могут не баловаться рандомом даже с одного хоста, в случае с ботнетом, и в нетфлоу никакой сигнатуры как таковой не будет, за исключением скачка айпишных сорцов и pps-ов. просто в том же netflow нету ничего про фиксированный win или какие-то более детальные подробности относительно конкретного пакета, потому как пишется там самое мелкое по самому флоу. Ээээ... Вы вообще с кем сейчас разговариваете ? Перечитайте мой пост пять раз, пожалуйста. Особенно ту фразу, где я говорил про netflow. Какие слова в фразе "не нужен собственно netflow" Вам непонятны ? мирорить порт можно только тогда, когда его можно мирорить. если спуфинг прилетает через IX, а тема уже про девятку тут была, то не у всех есть техническая возможность для установления MAC адреса участника IX сливающего спуфинг... Это их проблемы, сэкономили - пусть платят. Либо пусть идут семечками у метро торговать. Вставить ник Quote
kostich Posted August 3, 2011 Author Posted August 3, 2011 jab, я не знаю какой сетью Вы заведуете и куда подключаете снифферы для анализа потоков. так же я не знаю какую сигнатуру можно найти в трафике при дидосе валидным син-пакетом со спуфингом. рассуждаю не с позиции атакованного юзера с одной дыркой во внешний мир, скорее с позиции оператора связи, клиент которого столкнулся с атакой. в операторской сети, в большой сети, найти источник спуфинга сложно... особенно в сетях с большим количеством транзитных стыков. антивирусные компании и разные мониторщики ботнетов такие атаки не видят и не могут видеть, видят только те через кого такая атака идёт. Вставить ник Quote
jab Posted August 3, 2011 Posted August 3, 2011 jab, я не знаю какой сетью Вы заведуете и куда подключаете снифферы для анализа потоков. Насколько я понимаю, возможность анализировать трафик в ключевых точках, это азы построения сетевой инфраструктуры. Я даже не буду произносить слово СОРМ, так как смысл аббревиатуры похоже для многих потерялся. найти источник спуфинга сложно... А кому щаз легко ? Назвался оператором - крутись. Вставить ник Quote
kostich Posted August 3, 2011 Author Posted August 3, 2011 jab, я не знаю какой сетью Вы заведуете и куда подключаете снифферы для анализа потоков. Насколько я понимаю, возможность анализировать трафик в ключевых точках, это азы построения сетевой инфраструктуры. Я даже не буду произносить слово СОРМ, так как смысл аббревиатуры похоже для многих потерялся. jab, а зачем его анализировать? Вваливает абсолютно валидный трафик, толку от анализа? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.