https://opennet.ru/openforum/vsluhforumID3/93971.html Компьютерная команда экстренной готовности США (US-CERT) опубликовала (https://www.us-cert.gov/ncas/alerts/TA14-017A) обновление отчёта с оценкой эффективности методов усиления трафика. Смысл атаки сводится к тому, что запросы поражённых компьютеров, входящих в состав ботнетов, направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом. Кроме методов усиления через DNS и NTP в отчёте представлен ряд других UDP-служб, которые используются в качестве усилителей трафика:<br><br><br><br>- DNS: 28-54 (коэффициент усиления пропускной способности, показывающий во сколько раз приумножается трафик)<br>- NTP: 556.9<br>- SNMPv2:6.3<br>- NetBIOS:3.8<br>- SSDP:30.8<br>- CharGEN:358.8<br>- QOTD:140.3<br>- BitTorrent:3.8<br>- Kad:16.3<br>- Quake Network Protocol:63.9<br>- Steam Protocol:5.5<br><br><br><br>URL: https://www.us-cert.gov/ncas/alerts/TA14-017A<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=39058<br> https://opennet.ru/openforum/vsluhforumID3/93971.html#59 Sun, 23 Feb 2014 12:09:39 GMT &gt;&gt; Да и очень сомнительно что в этом ДЦ честно сдан СОРМ..<br>&gt; Очевидно, вы из тех, кто на "наг"-е обсуждают как бы быстрее и <br>&gt; дешевле подстелиться под бредовые запросы индивидуумов, работающих в органах. Буду рад <br>&gt; ошибиться.<br><br>Я, уж извините, работаю в стране где есть закон ( пусть дурной, но есть), который следует соблюдать. <br><br>&gt; Я вас успокою, наше оборудование в ДЦ не расположенном на территории России. <br>&gt; В контрактах оговорены все ньюансы (sorry about that) подключения и какая-либо <br>&gt; фильтрация &#8212; недопустима. Шибко вумные провайдеры сразу пойдут лесом. Таковых, правда, <br>&gt; пока не встречалось. Один провайдер систематически несоблюдал SLA &#8212; контракт пришлось <br>&gt; закрыть (несмотря на вкусные цены за трафик), плюс оплачивал неустойку.<br><br>Приходило к нам нечто, которое хотело много чего непонятного, в том числе и отсутвие фильтрации на выход , пошло лесом - кажется в Нидерланды .. Это не Вы были ( ДЦ в Москве на Космодемьянских). <br><br>&gt;&gt; Провайдеры - держитесь подальше от к https://opennet.ru/openforum/vsluhforumID3/93971.html#58 Thu, 13 Feb 2014 03:01:57 GMT &gt; свой ДатаЦентр прям возле главного интернет узла во Франкфурте, <br><br>Да-да! Самый главный, главнее не бывает!<br><br><br> https://opennet.ru/openforum/vsluhforumID3/93971.html#57 Thu, 13 Feb 2014 02:59:03 GMT &gt; и поддержание сего статус-кво, оченно выгодное -<br>&gt; оченно продавливается и лоббируется североамериканским <br>&gt; правительством.<br>&gt; понятно для чего.<br><br>Сетка изначально военного применения. Американская. Имеют право.<br>Создавайте какой-нибудь RusNet на основе православного протокола &#8212; будете там заправлять. Богомерзкий спуфинг-там запрещать, то-сё, пятое-десятое...<br> https://opennet.ru/openforum/vsluhforumID3/93971.html#56 Thu, 13 Feb 2014 02:51:15 GMT &gt; Да и очень сомнительно что в этом ДЦ честно сдан СОРМ.. <br><br>Очевидно, вы из тех, кто на "наг"-е обсуждают как бы быстрее и дешевле подстелиться под бредовые запросы индивидуумов, работающих в органах. Буду рад ошибиться.<br><br>Я вас успокою, наше оборудование в ДЦ не расположенном на территории России. В контрактах оговорены все ньюансы (sorry about that) подключения и какая-либо фильтрация &#8212; недопустима. Шибко вумные провайдеры сразу пойдут лесом. Таковых, правда, пока не встречалось. Один провайдер систематически несоблюдал SLA &#8212; контракт пришлось закрыть (несмотря на вкусные цены за трафик), плюс оплачивал неустойку.<br><br>&gt; Провайдеры - держитесь подальше от клиентов, которые хотят чего -<br>&gt; то за пределами нормальной процедуры <br><br>Отсутствие фильтрации маршрутизируемых IP &#8212; и есть нормальная практика. А вот фильтрация &#8212; это пионэрия инфантильных админов, заигравшихся в провайдерство.<br><br>&gt; RFC 2267<br><br>Вы сами-то читали? Там же английски по белому написано, что такая фильтрация рубит https://opennet.ru/openforum/vsluhforumID3/93971.html#55 Tue, 11 Feb 2014 19:48:47 GMT &gt; а можно и вообще ничего не делать. потому что ddos-атаки создают проблемы <br>&gt; не ботам, а целям атаки.<br><br>Если вам доставляет удовольствие ощущение, что вас поимели, как уличную девку - то да.<br>А вот мне эта идея не нравится.<br> https://opennet.ru/openforum/vsluhforumID3/93971.html#54 Tue, 11 Feb 2014 19:46:58 GMT &gt; Me с интересом вспоминает вид ящика в Закрытом шкафу, логи о том, что ящик явно работает (есть процедура проверки), подключение билинга к API СОРМ и прочие радости.. <br><br>А что делать, если контракт обязывает и подключить, и регламентное ТО проводить... но коробка с радиодеталями работать от этого не начнет.<br><br>&gt; - у вас нет равного по размеру конкурента со сданным СОРМ, который толкнет идею своим деньгополучателям " какого фига у него конкурентные преимущества". <br><br>Ну что вы, как маленький. В госсекторе все решается не конкурентными преимуществами, а знакомствами и откатами.<br><br>&gt; - никто из сети провайдера не сотворил ничего по настоящему интересного для спецслужб<br><br>Такие вещи обычно решаются на уровне сотрудничества с соц. сетями и другими сайтами. Потому что самое интересное, что можно сделать в интернете, а потом за это огрести - призывы "краба на мыло", "вали хачей" и т.д.<br><br>Кроме того, существует куда более отработанный подход - оперативные мероприятия. Проще говоря, человеческий фактор. И https://opennet.ru/openforum/vsluhforumID3/93971.html#53 Tue, 11 Feb 2014 17:22:25 GMT &gt;&gt; Да и очень сомнительно что в этом ДЦ честно сдан СОРМ..<br>&gt; Немного инсайдерской инфы: СОРМ-2 не работает. Там все попилено. А вот СОРМ-1 <br>&gt; (прослушка телефонов) - вполне.<br><br>Me с интересом вспоминает вид ящика в Закрытом шкафу, логи о том, что ящик явно работает (есть процедура проверки), подключение билинга к API СОРМ и прочие радости.. <br>Понимает что это галлюцинация. <br>СОРМ на Internet можно не сдавать пока: <br>- у вас нет равного по размеру конкурента со сданным СОРМ, который толкнет идею своим деньгополучателям " какого фига у него конкурентные преимущества". <br>- никто из сети провайдера не сотворил ничего по настоящему интересного для спецслужб<br>- у провайдера нет больших клиентов, которые постоянно кого - нибудь интересуют. <br> https://opennet.ru/openforum/vsluhforumID3/93971.html#52 Tue, 11 Feb 2014 17:11:50 GMT angra,булшит это вы! У этих ребят в отличии от многих продавцов ддос защиты, имеется свой ДатаЦентр прям возле главного интернет узла во Франкфурте, и технология защиты от DDoS своя!<br> https://opennet.ru/openforum/vsluhforumID3/93971.html#51 Tue, 11 Feb 2014 17:01:48 GMT Остальные не башляют Ed, а значит все они хуже(с точки зрения Ed). Ну а если объективно, то сайт этих ребят ничего кроме маркетоидного булшита не содержит, можно сразу забывать. <br><br>