forum.opennet.ru

"DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..."	+/–
Сообщение от csdoc (ok), 15-Фев-14, 18:04
> Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами > в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему > выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента). Защита от спуфа не на входящем, а на исходящем трафике. Например, захотел клиент себе /27 - получил /27. Только вот провайдер очень легко может настроить роутер так, что от этого клиента будут приниматься пакеты только из выделенной ему /27 подсети, а все остальное будет дропаться прямо на маршрутизаторе. Аналогично и все остальные клиенты - они имеют право отправлять трафик в сеть только со своего IP. Кому это мешает? BGP - это между автономными системами, разговор как раз о том, чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя. Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать спуф. > А вообще - в данной новости разговор идет не о тех хостах, > которые использовали спуф, Именно о них и идет речь в первую очередь. Если бы не было возможности использовать спуф - такая DDoS-атака в 400 Гбит/с была бы просто теоретически и практически невозможной. > а о тех, которые имели у себя дырявые NTP > и там даже при полной защите acl, ip source binding > и прочих L2<->L3 защитах ничего не спасает в связи с полной > легитимностью подобного трафика на этих уровнях Криво настроенные NTP - это уже вторичная причина. вместо NTP могут использовать DNS, SNMP и десятки других протоколов. Первопричина проблем - это именно IP Source Address Spoofing. Средство решения этой проблем: https://tools.ietf.org/html/bcp38 https://tools.ietf.org/html/bcp84 Надо внедрять, других способов нет.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

DDoS-атака в 400 Гбит/с была совершена с привлечением всего ..., opennews, 14-Фев-14, 17:51 [смотреть все]

по одной ссылке написано, что увеличение в 206 раз, по другой - что в 556 9 раз , Нанобот, 14-Фев-14, 19:00 (3)
а при помощи dns sec можно получить тоже не слабое усиление что-то в районе 2-, linux must _RIP__, 14-Фев-14, 19:38 (4) //
- 3кб на 100б - это усиление в x30 раз По сравнению с x200 и x600, о которых идет , Аноним, 14-Фев-14, 19:47 (5) //
  - Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30 Гбит - тогда расс, Аноним, 14-Фев-14, 21:39 (21) //
    - Проблема с DNS тоже решаема с помощью Response Rate Limiting http www opennet , csdoc, 15-Фев-14, 16:33 (64)
Что-что, простите , имя, 14-Фев-14, 19:47 (6) //
- Именно так Попробуйте прочитай новость и понять ее смысл, а не бежать комментир, Аноним, 14-Фев-14, 19:48 (7) //
  - И как эти 200 Гбит пролезут в гигабитный порт, по-вашему , имя, 14-Фев-14, 19:54 (9) //
    - В гигабитный порт пролезет гигабит запросов А усиляющие серверы NTP DNS whate, AlexAT, 14-Фев-14, 20:11 (10)
Все это очень занимательно, но не надо забывать и про суть спецы CloudFlare, , Аноним, 14-Фев-14, 19:52 (8) //
- Боюсь, что именно так - и антидосеры сами по себе даже уже не интересны, тут ско, AlexAT, 14-Фев-14, 20:13 (11) //
  - При 4500 серверов в атаке таки достаточно реально просто нанять человека который, Аноним, 14-Фев-14, 21:47 (25) //
    - Абузы рассылаются Не помогает Пока-то до админа дойдет, пока согласуется Нема, Аноним, 14-Фев-14, 22:48 (31)
      - Значит надо рассылать абузы выше по иерархии Как завалится у кулсисопа интернет, Аноним, 14-Фев-14, 22:51 (32)
        
        Так можно пол-интернета уронить Роскомнадзор за такое орден даст , Аноним, 15-Фев-14, 02:29 (42)
        
        дык если ничего не делать - можно уровнить Весь даже Роскомнадзор - обрыдается д, Аноним, 15-Фев-14, 02:46 (45)
        Можно И если вы еще не заметили - вообще-то уже падает Детишки нашли спички В, Аноним, 15-Фев-14, 04:34 (46)
        
        Вот сразу видно, что человек с операторским бизнесом слегка не знаком Точечные , AlexAT, 15-Фев-14, 08:58 (56)
        
        Да бывают такие отрубатели Особенно среди админов локалхоста Далеко не всегда, Аноним, 15-Фев-14, 16:42 (65)
        
        какой смысл провайдеру делать возможным IP address spoofing чтобы потом в аврал, csdoc, 15-Фев-14, 16:48 (66)
        
        Потому, что иногда, например, используется BGP Или хитрые схемы с маршрутизируе, Аноним, 15-Фев-14, 17:50 (67)
        
        Защита от спуфа не на входящем, а на исходящем трафике Например, захотел клиент , csdoc, 15-Фев-14, 18:04 (68)
        
        Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку даже , Аноним, 15-Фев-14, 18:14 (69)
        
        Сейчас - это делают уже более 75 провайдеров И они не считают, что это бесполе, csdoc, 15-Фев-14, 18:24 (70)
        Проблема только в том что хватит и 25 И даже 5 И дожать всех врядли получитс, Аноним, 16-Фев-14, 15:59 (80)
        Как есть разница между 100 уязвимых сетей и 25 уязвимых сетей,так и есть разни, csdoc, 16-Фев-14, 18:40 (83)
  - По логике вещей у защитника может быть дофига серверов по всей планете Вместо, Аноним, 15-Фев-14, 04:57 (53) //
    - А так оно у cloudflare и есть - они распределенные Хитрость последних атак в то, AlexAT, 15-Фев-14, 09:00 (57)
      - Знаешь, при этом не только доступность cloudflare оказалась нарушенной , Аноним, 16-Фев-14, 16:00 (81)
        
        А атакующим, знаешь, наплевать Даже если при этом вся сеть ляжет - цель всё рав, AlexAT, 16-Фев-14, 17:37 (82)
        
        Не факт DDoS-атака на сайт могла быть вызвана конкурентами, владельцами другого, csdoc, 16-Фев-14, 18:44 (84)
- где и когда они такое гарантировали 99 защита - это лучше, чем 0 защита , csdoc, 14-Фев-14, 20:48 (14) //
  - В данном случае, увы, получается уже 0 защита По сути приходится иметь дело с , AlexAT, 14-Фев-14, 20:55 (15) //
    - 0 защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит До, csdoc, 14-Фев-14, 21:02 (16)
      - Сейчас - да Но после того, как CloudFlare публично слились, а технология опубли, Аноним, 14-Фев-14, 21:04 (18)
        
        Что значит публично слились У них в блоге написано On Monday we mitigated a, csdoc, 14-Фев-14, 21:37 (20)
        
        Проблема не только в протоколе Операторов не проверяющих соср адрес своих клиен, 55039, 15-Фев-14, 11:16 (59)
        
        Кстати, сейчас в мире осталось всего 24 6 сетей, которые позволяют IP Spoofing , csdoc, 15-Фев-14, 16:29 (63)
      - Подсказка для йуных пЫонеров как сделать ддос на 400 гбит у себя на кухне Бер, Аноним, 14-Фев-14, 21:56 (26)
        
        Это приведет только к тому, что количество криво настроенных NTP-серверов очень , csdoc, 14-Фев-14, 22:03 (28)
        
        А вы думаете что я очень хочу видеть юных пЫонеров с 400Гбит ддосами Просто кли, Аноним, 14-Фев-14, 22:33 (30)
  - Это их специализация, вообще-то Да Но тут речь идет о 1 защите за кучу бабок , Аноним, 14-Фев-14, 21:03 (17) //
    - https www cloudflare com businessдействительно, здесь написано про 100 uptime, csdoc, 14-Фев-14, 21:46 (24)
      - Посчитал на пальцах Во-первых, пока они даже 400 не выдержали, во-вторых, NTP-се, Аноним, 15-Фев-14, 02:21 (37)
        
        Но большинтсво из них не умеет нужный усилительный пакет , Аноним, 15-Фев-14, 04:48 (49)
        Они 400 Гбит с выдержали И могут выдержать еще больше Из них криво настроенных , csdoc, 15-Фев-14, 16:12 (61)
        С другой стороны, они и правда же вполне могут встретить крутой флуд могучей рас, Аноним, 15-Фев-14, 04:49 (50)
      - uptime и availability - разные вещи 100 uptime у них был А вот 100 availabil, Аноним, 15-Фев-14, 22:52 (73)
Да пусть хоть 50 дата центров у cloudflare, факт остается фактом от DDoS 100 за, Аноним, 14-Фев-14, 23:19 (33) //
- Есть только 1 метод защититься от распределенной атаки Ответить тем же самым - , Аноним, 14-Фев-14, 23:59 (34) //
  - Этот метод работал против атак без усиления На принимающей стороне вот так, за , Аноним, 15-Фев-14, 02:27 (41) //
    - Этот метод работает против всего Вот смотрите, возьмем битторент Завалить серв, Аноним, 15-Фев-14, 04:39 (48)
    - Или отвечать атакующим их же методами - выставив распределенную структуру Напло, Аноним, 15-Фев-14, 04:51 (51)
- Чем больше у них датацентров - тем лучше уровень защиты от DDoS Подробности ht, csdoc, 15-Фев-14, 00:04 (35)
- В предыдущем комментарии опять одна и та же реклама С цифрами 100 , мне нет дел, Аноним, 15-Фев-14, 22:53 (74) //
  - 400 Гбит с разделить на 24 датацентра 16 7 Гбит с - это не так уж и много Сер, csdoc, 15-Фев-14, 23:19 (75)
Зачем такое количество NTP серверов вообще существует , Аноним, 15-Фев-14, 06:30 (54) //
- Затем что если все будут долбить несколько серверов - 400Гбит траффика прилетит , Аноним, 15-Фев-14, 08:22 (55)
Скажите спасибо FreeBSD, у них только во FreeBSD 10 по дефолту запретили эти зап, Аноним, 15-Фев-14, 16:22 (62) //
- Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не запускался Отсюд, xM, 16-Фев-14, 14:35 (76) //
  - Ага, и все, основанное на SSL, тихо идет фхтагн - потому что там требуется, в ча, Аноним, 16-Фев-14, 15:16 (77) //
    - Очень может быть Только не понятно, какое это отношение имеет к самой системе , xM, 16-Фев-14, 15:48 (78)
Хочу чтобы на мой компьютер была совершена такая атака, а компьютер бы глючил и , Аноним, 17-Фев-14, 12:39 (85)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру