The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от opennews (??) on 14-Фев-14, 17:51 
Опубликованы (http://blog.cloudflare.com/technical-details-behind-a-400gbp...) подробности, зафиксированные в процессе блокирования DDoS-атаки (https://www.opennet.ru/opennews/art.shtml?num=39075), в результате которой на систему жертвы был направлен поток в 400 Гбит/с.
Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529  уязвимых NTP-серверов, размещённых в 1298 различных сетях (https://docs.google.com/spreadsheet/ccc?key=0AhuvvqAkGlindHF...). В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке (https://www.opennet.ru/opennews/art.shtml?num=36525) на Spamhaus было  задействовано 30956  открытых DNS-резолверов.

Примечательно, что теоретически, так как NTP позволяет усилить (https://www.opennet.ru/opennews/art.shtml?num=38855) трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающей спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.


URL: http://blog.cloudflare.com/technical-details-behind-a-400gbp...
Новость: https://www.opennet.ru/opennews/art.shtml?num=39089

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Нанобот (ok) on 14-Фев-14, 19:00 
по одной ссылке написано, что увеличение в 206 раз, по другой - что в 556.9 раз...

а насчёт snmp вообще непонятно, откуда информация

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  –1 +/
Сообщение от linux must _RIP__ on 14-Фев-14, 19:38 
а при помощи dns sec можно получить тоже не слабое усиление.. что-то в районе 2-3кб ответа в ответ на < 100 байт запрос..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +1 +/
Сообщение от Аноним (??) on 14-Фев-14, 19:47 
3кб на 100б - это усиление в x30 раз.
По сравнению с x200 и x600, о которых идет речь - это ерунда.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

21. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 14-Фев-14, 21:39 
Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30 Гбит - тогда расскажешь как тебе такая "ерунда".
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

64. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от csdoc (ok) on 15-Фев-14, 16:33 
> Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30
> Гбит - тогда расскажешь как тебе такая "ерунда".

Проблема с DNS тоже решаема с помощью Response Rate Limiting.

https://www.opennet.ru/opennews/art.shtml?num=37962
Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак

https://www.opennet.ru/opennews/art.shtml?num=38304
Релиз DNS-сервера NSD 4.0
...
Поддержка технологии RRL (Response Rate Limiting) для ограничения интенсивности отправки ответов в привязке к адресу получателя (ограничения действуют только на исходящие запросы и не влияют на входящие). RRL является одним из способов противодействия использования DNS-сервера в качестве усилителя в DDoS-атаках;

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

6. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  –3 +/
Сообщение от имя on 14-Фев-14, 19:47 
> для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт

Что-что, простите?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +2 +/
Сообщение от Аноним (??) on 14-Фев-14, 19:48 
>> для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт
> Что-что, простите?

Именно так. Попробуйте прочитай новость и понять ее смысл, а не бежать комментировать.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  –4 +/
Сообщение от имя on 14-Фев-14, 19:54 
И как эти 200 Гбит пролезут в гигабитный порт, по-вашему?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +3 +/
Сообщение от AlexAT (ok) on 14-Фев-14, 20:11 
В гигабитный порт пролезет гигабит запросов. А "усиляющие" серверы NTP/DNS/whatever дадут 200 гигабит ответов в сторону жертвы. Контроль над ними не требуется. Это ДОТ.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

8. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +3 +/
Сообщение от Аноним (??) on 14-Фев-14, 19:52 
Все это очень занимательно, но не надо забывать и про суть: "спецы" CloudFlare, "гарантировавшие" "абсолютную" защиту от DoS-атак, феерично лажанулись и теперь пытаются свести такую атаку к "неодолимой силе".
А раз сила неодолимая и все равно никто ни за что не отвечает - нафиг нужна CloudFlare?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от AlexAT (ok) on 14-Фев-14, 20:13 
> нафиг нужна CloudFlare?

Боюсь, что именно так - и антидосеры сами по себе даже уже не интересны, тут скорее фатальнее то, что ложатся магистрали по пути к жертве... Причем победить заразу практически никак, разве что разом устранить дыры во всех серверах на планете.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 14-Фев-14, 21:47 
> к жертве... Причем победить заразу практически никак, разве что разом устранить
> дыры во всех серверах на планете.

При 4500 серверов в атаке таки достаточно реально просто нанять человека который разошлет 4500 абуз и будет иметь мозг причастным пока они не сдадутся.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 14-Фев-14, 22:48 
Абузы рассылаются. Не помогает. Пока-то до админа дойдет, пока согласуется. Немало железок выставленных голой жопой в мир или пропсаны в DMZ-хост (например, старенькие видеорегистраторы с древней прошивкой). Блокировали, по возможности, на уровне провайдера - так оперативнее. Но, в любом случае, такие абузы - не панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 14-Фев-14, 22:51 
> Абузы рассылаются. Не помогает.

Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик за то что с него ддос идет - сразу вылетит гора кирпичей и побежит чинить, как миленький.

> - так оперативнее. Но, в любом случае, такие абузы - не
> панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают.

Тогда просто отрубить им канал. Или если плохо доходит - развернуть атаку в их сторону, может так быстрее дойдет. Не до них так до их провайдера хотя-бы.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

42. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 02:29 
>> Абузы рассылаются. Не помогает.
> Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик
> за то что с него ддос идет - сразу вылетит гора
> кирпичей и побежит чинить, как миленький.

Так можно пол-интернета уронить. Роскомнадзор за такое орден даст.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

45. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 02:46 
дык если ничего не делать - можно уровнить Весь.
даже Роскомнадзор - обрыдается.
да что там, даже талибан и каннибалы с острова Бали - пойдут сдаваться в Интерпол.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

46. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 04:34 
> Так можно пол-интернета уронить. Роскомнадзор за такое орден даст.

Можно. И если вы еще не заметили - вообще-то уже падает. Детишки нашли спички. Вот я за то чтобы таки доабузить до состояния когда это привлечет внимание настолько что это более-менее починят.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

56. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от AlexAT (ok) on 15-Фев-14, 08:58 
Вот сразу видно, что человек с операторским бизнесом слегка не знаком. Точечные отрубания NTP/DNS/... еще возможны, но вот отрубание канала - почти 100% потеря клиента, особенно если клиент не 100% технически вменяем (а таких абсолютное и подавляющее большинство).
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

65. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 16:42 
Да бывают такие "отрубатели". Особенно среди админов локалхоста.
Далеко не всегда есть возможность даже сослаться на вредоносную деятельность. А в некоторых случаях в договоре вообще отсутствует какое-либо ограничение на использование канала и провайдер, без решения суда вообще не в праве что-либо "обрубать", а за "технические неисправности" неустойку платить придется такую, что дешевле будет в авральном порядке апгрейдить провайдерскую сеть.
Абузик от какой-то там ddos-response@nfoservers.com - вообще филькина грамота и юридической силы не имеет в наших краях.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

66. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от csdoc (ok) on 15-Фев-14, 16:48 
> Далеко не всегда есть возможность даже сослаться на вредоносную деятельность. А в
> некоторых случаях в договоре вообще отсутствует какое-либо ограничение на использование
> канала и провайдер, без решения суда вообще не в праве что-либо
> "обрубать", а за "технические неисправности" неустойку платить придется такую, что дешевле
> будет в авральном порядке апгрейдить провайдерскую сеть.
> Абузик от какой-то там ddos-response@nfoservers.com - вообще филькина грамота и юридической
> силы не имеет в наших краях.

какой смысл провайдеру делать возможным IP address spoofing?

чтобы потом "в авральном порядке апгрейдить провайдерскую сеть", выбрасывая деньги на ветер?

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

67. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 17:50 
Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента).

А вообще - в данной новости разговор идет не о тех хостах, которые использовали спуф, а о тех, которые имели у себя дырявые NTP и там даже при полной защите acl, ip source binding и прочих L2<->L3 защитах ничего не спасает в связи с полной легитимностью подобного трафика на этих уровнях

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

68. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от csdoc (ok) on 15-Фев-14, 18:04 
> Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами
> в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему
> выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента).

Защита от спуфа не на входящем, а на исходящем трафике. Например, захотел клиент
себе /27 - получил /27. Только вот провайдер очень легко может настроить роутер так,
что от этого клиента будут приниматься пакеты только из выделенной ему /27 подсети,
а все остальное будет дропаться прямо на маршрутизаторе.

Аналогично и все остальные клиенты - они имеют право
отправлять трафик в сеть только со своего IP. Кому это мешает?

BGP - это между автономными системами, разговор как раз о том,
чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать спуф.

> А вообще - в данной новости разговор идет не о тех хостах,
> которые использовали спуф,

Именно о них и идет речь в первую очередь. Если бы не было возможности использовать спуф -
такая DDoS-атака в 400 Гбит/с была бы просто теоретически и практически невозможной.

> а о тех, которые имели у себя дырявые NTP
> и там даже при полной защите acl, ip source binding
> и прочих L2<->L3 защитах ничего не спасает в связи с полной
> легитимностью подобного трафика на этих уровнях

Криво настроенные NTP - это уже вторичная причина.
вместо NTP могут использовать DNS, SNMP и десятки других протоколов.

Первопричина проблем - это именно IP Source Address Spoofing.

Средство решения этой проблем:

https://tools.ietf.org/html/bcp38

https://tools.ietf.org/html/bcp84

Надо внедрять, других способов нет.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

69. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 18:14 
> BGP - это между автономными системами, разговор как раз о том,
> чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
> Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать
> спуф.

Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку даже один провайдер, поленившийся внедрить - ставит под удар всю сеть.

> Надо внедрять, других способов нет.

Никто и не спорит. Это вообще бай-дезайн уязвимость подавляющего числа реализаций протокола.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

70. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от csdoc (ok) on 15-Фев-14, 18:24 
>> BGP - это между автономными системами, разговор как раз о том,
>> чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
>> Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать
>> спуф.
> Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку
> даже один провайдер, поленившийся внедрить - ставит под удар всю сеть.

Сейчас - это делают уже более 75% провайдеров. И они не считают, что это бесполезно.

Будет 100% внедрение и про DDoS-атаки этого типа будем вспоминать как про вирус Морриса.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

80. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 16-Фев-14, 15:59 
> Сейчас - это делают уже более 75% провайдеров.

Проблема только в том что хватит и 25%. И даже 5%. И дожать всех врядли получится.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

83. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от csdoc (ok) on 16-Фев-14, 18:40 
>> Сейчас - это делают уже более 75% провайдеров.
> Проблема только в том что хватит и 25%. И даже 5%.

Как есть разница между 100% уязвимых сетей и 25% уязвимых сетей,
так и есть разница между 25% уязвимых сетей и 5% уязвимых сетей.

> И дожать всех врядли получится.

Возможно. Но всеравно к этому надо стремиться.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

53. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +1 +/
Сообщение от Аноним (??) on 15-Фев-14, 04:57 
> Боюсь, что именно так - и антидосеры сами по себе даже уже
> не интересны, тут скорее фатальнее то, что ложатся магистрали по пути к жертве...

По логике вещей у "защитника" может быть дофига серверов по всей планете. Вместо защищаемого сервера внешнему миру подсовывается инфраструктура "защитника", а уже потом, после фильтрации оно отправляет трафф на защищаемый сервер. И вот это, распределенное и могучее, вполне может сдюжить в сумме и 400Гбит. А в магистральные каналы жертвы это не полетит. Осев на фильтрах "защитника". Покуда суммарной емкости каналов по всем ДЦ и прочая у защитника хватает - клиент может достаточно успешно работать в условиях ддоса. На самом деле логичная и красивая идея: на распределенную атаку логично отвечать распределенной системой защиты, которая имеет реальные шансы прожевать такой поток.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

57. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от AlexAT (ok) on 15-Фев-14, 09:00 
А так оно у cloudflare и есть - они распределенные. Хитрость последних атак в том, что пролегли некоторые каналы на пути от атакующих серверов до их инфраструктуры :) Т.е. атака уже толком даже не на клиента или cloudflare, а на саму инфраструктуру доставки трафика до оных. В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

81. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 16-Фев-14, 16:00 
> В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.

Знаешь, при этом не только доступность cloudflare оказалась нарушенной.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

82. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от AlexAT (ok) on 16-Фев-14, 17:37 
> Знаешь, при этом не только доступность cloudflare оказалась нарушенной.

А атакующим, знаешь, наплевать. Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

84. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от csdoc (ok) on 16-Фев-14, 18:44 
>> Знаешь, при этом не только доступность cloudflare оказалась нарушенной.
> А атакующим, знаешь, наплевать.
> Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.

Не факт. DDoS-атака на сайт могла быть вызвана конкурентами, владельцами другого сайта.
Если они положат в результате всю сеть - они не только сайту конкурента навредят,
но и своему собственному тоже. Тогда получится что они за-DDoS-или свой собственный
сайт, если их сайт в результате такой атаки на сайт конкурента станет не доступен.
Это будет Пиррова победа. Кому такое надо?

Или те кто делает DDoS-атаки - это луддиты, которые хотят уничтожить весь интернет полностью?

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

14. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  –5 +/
Сообщение от csdoc (ok) on 14-Фев-14, 20:48 
> "спецы" CloudFlare, "гарантировавшие" "абсолютную" защиту от DoS-атак

где и когда они такое гарантировали?

> А раз сила неодолимая и все равно никто ни за что не
> отвечает - нафиг нужна CloudFlare?

99% защита - это лучше, чем 0% защита.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от AlexAT (ok) on 14-Фев-14, 20:55 
В данном случае, увы, получается уже 0% защита. По сути приходится иметь дело с трафиком непреодолимой силы. 400 Гбит - это только начало экспериментов.


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  –4 +/
Сообщение от csdoc (ok) on 14-Фев-14, 21:02 
> В данном случае, увы, получается уже 0% защита. По сути приходится иметь
> дело с трафиком непреодолимой силы. 400 Гбит - это только начало
> экспериментов.

0% защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит.

Доля таких атак - меньше 0.00001%, так что в целом защита CloudFlare - это больше 99.9%.

P.S.

In theory, there is no difference between theory and practice. But, in practice, there is.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 14-Фев-14, 21:04 
> 0% защита - это только на сегодняшний день и только от ддос-атак
> на 400 Гбит.
> Доля таких атак - меньше 0.00001%, так что в целом защита CloudFlare
> - это больше 99.9%.

Сейчас - да. Но после того, как CloudFlare публично слились, а технология опубликована - таких атак будет 99%.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  –3 +/
Сообщение от csdoc (ok) on 14-Фев-14, 21:37 
>> 0% защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит.
>> Доля таких атак - меньше 0.00001%, так что в целом защита CloudFlare
>> - это больше 99.9%.
> Сейчас - да. Но после того, как CloudFlare публично слились,

Что значит "публично слились" ? У них в блоге написано "On Monday we mitigated a large DDoS that targeted one of our customers". То есть сайт клиента продолжал работать.

> а технология опубликована

Потому что "Security through obscurity" - это всеравно что прятать голову в песок.
Те, кто атакует сайты - и так уже знают про эту возможность, и умеют ей пользоваться.

> - таких атак будет 99%.

Количество криво настроенных NTP серверов может быть при желании сведено к нулю.

Кроме того, "If you're running a network then you should ensure that you are following BCP38 and preventing packets with spoofed source addresses from leaving your network"
- это даст защиту от очень большого количества DDoS-атак разных типов:

NTP and all other UDP-based amplification attacks rely on source IP address spoofing.

Так что не надо драматизировать, все будет хорошо.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору
Часть нити удалена модератором

59. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от 55039 on 15-Фев-14, 11:16 
Проблема не только в протоколе. Операторов не проверяющих соср адрес своих клиентов быть не должно.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

63. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от csdoc (ok) on 15-Фев-14, 16:29 
> Проблема не только в протоколе. Операторов не проверяющих соср адрес своих клиентов
> быть не должно.

Кстати, сейчас в мире осталось всего 24.6% сетей, которые позволяют IP Spoofing.

Подробности - 14 слад из презентации внутри страницы
http://blog.cloudflare.com/understanding-and-mitigating-ntp-...

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

26. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +3 +/
Сообщение от Аноним (??) on 14-Фев-14, 21:56 
> 0% защита - это только на сегодняшний день и только от ддос-атак
> на 400 Гбит.

Подсказка для йуных пЫонеров "как сделать ддос на 400 гбит у себя на кухне". Берем несколько серваков с жирным каналом, гигабита хватит. Можно несколько по 100мбит, тоже хватит. Для начала пускаем с них zmap и сканим весь IPv4 на NTP сервера. Этот чудный инструментец за несколько часов соберет полный список NTP по всему IPv4, просто перебрав его втупую. Далее пишем какой-нибудь простой тул который проверит умеют ли сервера отвечать нужным пакетом. После этого образуется чудный списочек усилителей траффика. Ну а дальше остается только отсылать им трафф и слушать грохот паке^W кирпичей.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

28. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  –3 +/
Сообщение от csdoc (ok) on 14-Фев-14, 22:03 
> "как сделать ддос на 400 гбит у себя на кухне".
> Берем несколько серваков с жирным каналом, гигабита хватит. Можно
> несколько по 100мбит, тоже хватит. Для начала пускаем с них zmap
> и сканим весь IPv4 на NTP сервера. Этот чудный инструментец за
> несколько часов соберет полный список NTP по всему IPv4, просто перебрав
> его втупую.

Это приведет только к тому, что количество криво настроенных NTP-серверов очень быстро
начнет стремиться к нулю. А то и вообще позакрывают дырки с source IP address spoofing.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +1 +/
Сообщение от Аноним (??) on 14-Фев-14, 22:33 
> начнет стремиться к нулю. А то и вообще позакрывают дырки с source
> IP address spoofing.

А вы думаете что я очень хочу видеть юных пЫонеров с 400Гбит ддосами? Просто клин клином вышибают - в данном случае для осознания проблемы необходим ее массовый абуз с максимально разрушительными последствиями. Вот тогда начнут чесаться :).

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

17. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 14-Фев-14, 21:03 
> где и когда они такое гарантировали?

Это их специализация, вообще-то.

> 99% защита - это лучше, чем 0% защита.

Да. Но тут речь идет о 1% защите за кучу бабок.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

24. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  –4 +/
Сообщение от csdoc (ok) on 14-Фев-14, 21:46 
>> где и когда они такое гарантировали?
> Это их специализация, вообще-то.

https://www.cloudflare.com/business
действительно, здесь написано про 100% uptime guarantee.

>> 99% защита - это лучше, чем 0% защита.
> Да. Но тут речь идет о 1% защите за кучу бабок.

Здесь речь идет о 100% гарантии за 200 USD / месяц.
Это не так уж и много, по сравнению с другими аналогичными решениями.

Откуда Вы взяли цифру 1% защиты?

CloudFlare использует технологию IP anycast, так что DDoS-атака приходит
не на один сервер, а распределяется среди всех 24 ихних датацентров:
https://www.cloudflare.com/network-map - они и больше чем 400 Гбит/с могут выдержать.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

37. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 02:21 
> Откуда Вы взяли цифру 1% защиты?

Посчитал на пальцах.

> они и больше чем 400 Гбит/с могут выдержать.

Во-первых, пока они даже 400 не выдержали, во-вторых, NTP-серверов в мире значительно больше, чем 4529.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

49. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 04:48 
> больше, чем 4529.

Но большинтсво из них не умеет нужный усилительный пакет :).

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

61. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от csdoc (ok) on 15-Фев-14, 16:12 
>> они и больше чем 400 Гбит/с могут выдержать.
> Во-первых, пока они даже 400 не выдержали

Они 400 Гбит/с выдержали. И могут выдержать еще больше.

> во-вторых, NTP-серверов в мире значительно больше, чем 4529.

Из них криво настроенных NTP-серверов - значительно меньше, чем нормально настроенных.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

50. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 04:49 
С другой стороны, они и правда же вполне могут встретить крутой флуд могучей распределенной структурой, для которой 400Гбит совершенно не фатальны. Никакой ракетной науки, клин клином вышибается. Если единичная система не может переварить 400Гбитов - надо поставить географически распределенную структуру. До некоторых дошло.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

73. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 22:52 
> здесь написано про 100% uptime guarantee

uptime и availability - разные вещи! 100% uptime у них был! А вот 100% availability cloudflare не обещали. Утверждение "your website and network are performant, secure and always available" не является SLA

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

33. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 14-Фев-14, 23:19 
Да пусть хоть 50 дата центров у cloudflare, факт остается фактом от DDoS 100% защитить ни кто не может, почему спросите вы. Да потому что это аксиома тысячи различных устройств смотрят в инет, а прогресс не стоит на месте, и эти устройства подключены по самым минимальным оценкам к 2-х мегабитному инету. Разнообразие этих устройств самое огромное, от роутеров до душевых кабинок. В общем 100% защиты от DDoS это маркетинговый и не более, эта проблема существует с того момента как появился интернет, а тут бац появились титаны способные усмирить этого древнего зверя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 14-Фев-14, 23:59 
Есть только 1 метод защититься от распределенной атаки. Ответить тем же самым - своей распределенной структурой, которая справится с нагрузкой.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

41. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 02:27 
> Есть только 1 метод защититься от распределенной атаки. Ответить тем же самым
> - своей распределенной структурой, которая справится с нагрузкой.

Этот метод работал против атак без усиления. На принимающей стороне вот так, за здорово живешь, в несколько сотен раз полосу не увеличить.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

48. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +1 +/
Сообщение от Аноним (??) on 15-Фев-14, 04:39 
> Этот метод работал против атак без усиления.

Этот метод работает против всего. Вот смотрите, возьмем битторент. Завалить сервер трекера таким манером - как 2 байта переслать. А теперь попробуйте завалить DHT. И как, получается?

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

51. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 04:51 
> Да, метод Неуловимого Джо.

Или отвечать атакующим их же методами - выставив распределенную структуру. Наплодившиеся противоддосовые конторы именно этим и занимаются, позволяя за некоторую мзду использовать их распределенную инфраструктуру.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

35. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  –5 +/
Сообщение от csdoc (ok) on 15-Фев-14, 00:04 
> Да пусть хоть 50 дата центров у cloudflare,

Чем больше у них датацентров - тем лучше уровень защиты от DDoS.
Подробности: http://blog.cloudflare.com/cloudflares-architecture-eliminat...

> факт остается фактом от DDoS 100% защитить ни кто не может

и тем не менее, у них в Service Level Agreement написано именно так: "100% Uptime.
The Service will serve Customer Content 100% of the time without qualification."

https://www.cloudflare.com/business-sla

а если CloudFlare предоставляет сервис, который не соответсвует заявленному SLA
- тогда "1.2 Penalties. If the Service fails to meet the above service level,
the Customer will receive a credit equal to the result of the Service
Credit calculation in Section 6 of this SLA."

> В общем 100% защиты от DDoS это маркетинговый и не более

Нет, 100% Uptime - это Service Level Agreement.
https://www.cloudflare.com/business-sla
(также - см. подробнее инфу про ITIL)

> эта проблема существует с того момента как появился интернет,
> а тут бац появились титаны способные усмирить этого древнего зверя.

Да, именно так. Вот и с крупнейшей на сегодня DDoS-атакой в 400 Гбит/с они справились.

P.S.

Это ведь не теория. Это практика. Например, когда идет DDoS-атака на сервер -
хостер поступает очень жестко - просто "ложит" IP сервера и присылает емейл
с уведомлением:

We regret to inform you that your server with the IP address mentioned in the above subject line has been the target of an attack.

As a result, this has placed a considerable strain on network resources and consequently a segment of our network has been very adversely affected.

The IP address of your server has therefore been blocked.

Причем, это происходит буквально через несколько минут после начала мощной DDoS-атаки.

После того, как атакуемые сайты были перенесены на другой физический сервер с защитой CloudFlare - теперь этим сайтам Layer 3/4 DDoS-атаки не страшны, так что уровень защиты от Layer 3/4 DDoS вырос с 0% до 100%, ибо весь тот IP Flood терминируется на серверах CloudFlare. Подробности здесь: https://www.cloudflare.com/ddos

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

74. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 22:53 
В предыдущем комментарии опять одна и та же реклама. С цифрами 100%, мне нет дела до назойливой рекламы от компании которая исключает фактор реальности. Перефразирую тысячи различных устройств могут генерировать куда более мощный паразитный трафик чем могут выдержать подобные сервисы, это простое превосходство количеством. В контексте данной новости речь идет о 4529 устройствах способных создать такое количество паразитного трафика, всего то 4529 но какой эффект. Так что гарантия 100% не более чем маркетинг.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

75. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от csdoc (ok) on 15-Фев-14, 23:19 
> В предыдущем комментарии опять одна и та же реклама. С цифрами 100%, мне нет
> дела до назойливой рекламы от компании которая исключает фактор реальности.

400 Гбит/с разделить на 24 датацентра == 16.7 Гбит/с - это не так уж и много.

> Перефразирую тысячи различных устройств могут генерировать куда более мощный
> паразитный трафик чем могут выдержать подобные сервисы,
> это простое превосходство количеством.

Сервисы могут выдержать и больше - им не надо весь этот трафик никак обрабатывать.
Все что делает CloudFlare грубо говоря, это фильтрует трафик на 80 и 443 порт,
просто игнорируя все остальные пакеты на другие порты, особенно UDP пакеты.

> В контексте данной новости речь идет о 4529 устройствах способных создать
> такое количество паразитного трафика, всего то 4529 но какой эффект. Так
> что гарантия 100% не более чем маркетинг.

Service Level Agreement - это не гарантии.
Подробнее про SLA: http://www.gnuman.ru/stuff/SLA/

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

54. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 06:30 
Зачем такое количество NTP серверов вообще существует?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 15-Фев-14, 08:22 
> Зачем такое количество NTP серверов вообще существует?

Затем что если все будут долбить несколько серверов - 400Гбит траффика прилетит туда :). Ибо например всякие сетевые железки при старте время синкают, etc.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

62. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +1 +/
Сообщение от Аноним (??) on 15-Фев-14, 16:22 
Скажите спасибо FreeBSD, у них только во FreeBSD 10 по дефолту запретили эти запросы к ntpd штатному, а в нормальных ОС типа Debian / RHEL из коробки запросы закрыты, да и версия ntpd не такая замшелая
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от xM (ok) on 16-Фев-14, 14:35 
Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не запускался.
Отсюда ваши претензии не по адресу.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

77. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 16-Фев-14, 15:16 
> Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не
> запускался.
> Отсюда ваши претензии не по адресу.

Ага, и все, основанное на SSL, тихо идет фхтагн - потому что там требуется, в частности, для многих применений, точное время на обоих концах. А не так, чтобы погоду показывать.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

78. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от xM (ok) on 16-Фев-14, 15:48 
Очень может быть. Только не понятно, какое это отношение имеет к самой системе?
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

85. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."  +/
Сообщение от Аноним (??) on 17-Фев-14, 12:39 
Хочу чтобы на мой компьютер была совершена такая атака, а компьютер бы глючил и тормозил. Потом бы я его перезагрузил и пошел дальше играть на своем супер-компьютере в аватара по сети, и чтоб приходящий трафик от игрушки был 380Гбит/с.

эх..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру