The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с (дополнено)

12.02.2014 23:18

Компания CloudFlare зафиксировала одну из самых крупных DDoS-атак, поток трафика на систему жертвы при которой превысил отметку в 400 Гбит/с, что на 100 Гбит/с больше, чем в результате прошлогодней атаки на Spamhaus.org. Почти в то же время c атакой с интенсивностью в 350 Гбит/с столкнулся французский хостинг-оператор OVH.

Атаки были организованы с использованием техники усиления трафика через необновлённые NTP-серверы. Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массированных атак. Проверить свой NTP-сервис на уязвимость можно на сайте проекта OpenNTP.

Дополнение: Опубликована более подробная характеристика атаки. Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529 уязвимых NTP-серверов, размещённых в 1298 различных сетях. В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке на Spamhaus было задействовано 30956 открытых DNS-резолверов.

Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающией спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.

  1. Главная ссылка к новости (http://threatpost.com/ntp-ampl...)
  2. OpenNews: Волна DDoS-атак, использующих NTP-серверы для усиления трафика
  3. OpenNews: DNS серверы в роли сети для DDoS атак
  4. OpenNews: Google и Arbor Networks подготовили интерактивную карту для визуализации DDoS-атак
  5. OpenNews: На Spamhaus.org обрушилась крупнейшая в истории DDoS-атака
  6. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/39075-ddos
Ключевые слова: ddos, ntp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (85) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, EuPhobos (ok), 23:50, 12/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    > Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.

    Одни ленивые админы делают проблемы другим админам.

     
     
  • 2.2, pv47 (ok), 23:55, 12/02/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > ленивые

    а как же известное "работает - не трожь"?

     
     
  • 3.5, Добрый доктор (?), 00:19, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >> ленивые
    > а как же известное "работает - не трожь"?

    Простите, но «уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими» — сообщают, что как раз НЕ работает! :)

     
     
  • 4.8, ваноним (?), 01:13, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > сообщают, что как раз НЕ работает!

    у вас очень идеализированное представление о бизнесе

     
  • 4.30, Аноним (-), 10:02, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    К сожалению, в умах многих одминов отношение "не тронь - не воняет" обладает свойством транзитивности, так что из него следует "не воняет - не тронь".
     
     
  • 5.34, Нанобот (ok), 11:15, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > К сожалению, в умах многих одминов отношение "не тронь - не воняет"
    > обладает свойством транзитивности, так что из него следует "не воняет -
    > не тронь".

    такое отношение называется "симметричность", а не "транзитивность".

     
     
  • 6.40, Demo (??), 14:05, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/

    > такое отношение называется "симметричность", а не "транзитивность".

    Скорее, коммутативность.

     
  • 3.33, Нанобот (ok), 11:14, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >а как же известное "работает - не трожь"?

    по прежнему актуально. но кроме здравомыслящих админов ещё существуют админы-истерички, которые как раз и обновляют-переобновляют-патчат-исправляют-то-что-потом-отвалилось в бесконечном цикле. пожалейте их, убогих

     
     
  • 4.38, Аноним (-), 13:40, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>а как же известное "работает - не трожь"?
    > по прежнему актуально. но кроме здравомыслящих админов ещё существуют админы-истерички,
    > которые как раз и обновляют-переобновляют-патчат-исправляют-то-что-потом-отвалилось
    > в бесконечном цикле. пожалейте их, убогих

    Это лет 20 назад называлось "Синдром чрезмерного администрирования". И лечилось переводом в хелпдеск на пару месяцев.

    Здесь чуть более, чем половина им страдает.

     
  • 3.45, Аноним (-), 15:47, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а как же известное "работает - не трожь"?

    Если это приводит к проблемам у других людей - гнать таких админов взашей, с волчьим билетом.

     
  • 3.82, XoRe (ok), 20:33, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> ленивые
    > а как же известное "работает - не трожь"?

    Здесь достаточно правильно указать смысл для слова "работает".
    А вообще, тут хорошо подходит английский вариант, if it's not broken, don't fix it.

     
  • 2.42, Demo (??), 14:11, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Несмотря на то, что проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году и уведомления о необходимости изменения конфигурации NTP-серверов неоднократно публиковались US-CERT и другими организациями, в Сети остаётся достаточное количество уязвимых систем, которые вовлекаются для осуществления массивных атак.
    > Одни ленивые админы делают проблемы другим админам.

    На работе — да, можно и обновить, и то, после нагоняя от начальства за нереагирование на абузы. А дома — лениво. Хотя дома у меня OpenNTPd. Он не затронут этой фичей (не могу назвать ни багом, ни уязвимостью, ибо бай дизайн).

     
     
  • 3.59, Аноним (-), 20:15, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот пример админов которых надо гнать с волчьим билетов. Так, чтобы сеть была чище и абузы не прилетали.
     
     
  • 4.60, Аноним (-), 21:25, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Кричали те кого даже в админы не пустили
     
  • 2.66, svd (??), 04:43, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Дистрибутивы поставляют стабильные версии ntpd:
    Tarballs Stable: 4.2.6p5 2011/12/24
    Dev.: 4.2.7p421 2014/02/10
    (с сайта http://www.ntp.org/)
    Т.е.пока они сами не выпустят 4.2.8 Tarballs Stable ничего не изменится!
     
  • 2.79, re (?), 01:40, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это не лень, а недостаток сути
     

  • 1.3, Perain (?), 23:57, 12/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    Давно пора спамхаус уничтожить
     
     
  • 2.4, Добрый доктор (?), 00:17, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Чего ради?
     
     
  • 3.6, imprtat (ok), 00:36, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +13 +/
    А зачем нужны рэкетиры?
     
     
  • 4.11, Добрый доктор (?), 01:39, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И кого они рэкети?
     
     
     
     
    Часть нити удалена модератором

  • 7.50, Аноним (-), 15:59, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А не всех, у кого чуют гнильцу?

    Методы работы спамхауса метко описываются фразой "ядерный взрыв уничтожает вредителей сельского хозяйства на значительной территории". А потом еще и бабла выцыганивают за деактивацию территорий от радиоактивного заражения, заметьте.

     
     
  • 8.67, Добрый доктор (?), 11:12, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да вам, спамерам, ваще зубы плоскогубцами выдергивать нужно А выкалывать глаз... текст свёрнут, показать
     
  • 8.85, Аноним (-), 06:48, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    дык не спамьте все кто-то заставляет ... текст свёрнут, показать
     
  • 5.46, Аноним (-), 15:48, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И кого они рэкети?

    А всех, кого угораздило туда попасть, с поводом и без. Обычное такое вымогательство.

     
     
  • 6.68, Добрый доктор (?), 11:13, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> И кого они рэкети?
    > А всех, кого угораздило туда попасть, с поводом и без. Обычное такое
    > вымогательство.

    Не лги, грязный преступный спамер.
    Растоптать бы сапогом твою харю....

     
  • 4.17, Аноним (-), 03:28, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    не было бы спаммеров - не было бы спамхауза.
    не было бы спамхауза - не было бы рекета, ими.
    мораль: не рассылайте спам. и другим - не давайте это делать.
     
     
  • 5.22, Perain (?), 05:55, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Причем тут спам? Они банят целиком подсети Дата-Центров (AS) со всеми CIDR подсетями
     
     
  • 6.24, Добрый доктор (?), 06:04, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –6 +/
    И ссылка есть? Брехня ведь?
     
     
  • 7.26, Аноним (-), 07:17, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    То что здесь не пойдёт? http://stophaus.com/forum.php
     
  • 7.39, vvi (??), 13:49, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И ссылка есть? Брехня ведь?

    К сожалению не брехня. Лично сталкивался.
    Например, осенью 2012 года эти "чудаки" целиком блокирнули /17 сеть крупного провайдера, которая развёрнута в одном из крупных датацентров Москвы. И это при том, что комплейны были всего на пару десятков адресов.


     
     
  • 8.69, Добрый доктор (?), 11:14, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И очень правильно сделали ... текст свёрнут, показать
     
  • 7.49, Аноним (-), 15:54, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И ссылка есть? Брехня ведь?

    Не знаю как там насчет ссылок, а по личному опыту спамхауз весьма мерзкая контора, которым хочется дать в бубен не меньше чем самим спамерам. Блеклистят все подряд по желанию левой пятки, а потом еще и деньги вымогают.

     
     
  • 8.70, Добрый доктор (?), 11:16, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Блеклистит НЕ спамхауз Блеклистят АДМИНЫ ЛОКАЛЬНЫХ СИСТЕМ, которые не желают по... текст свёрнут, показать
     
     
  • 9.91, Юрий (??), 02:02, 04/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Блеклистят как раз пару человек из спамхаус-а Они уроды последние Кто не знает... текст свёрнут, показать
     
  • 7.58, Perain (?), 20:07, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Цитирую Товарищ Капитан Спамхаус не имеет отношения ни к закону, ни к здравому ... большой текст свёрнут, показать
     
     
  • 8.61, Аноним (-), 22:41, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    про РТК- да не, Ростелекому - проще дропать таких клиентов научиться чем вест... текст свёрнут, показать
     
     
  • 9.93, mailadmin (ok), 02:13, 04/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Есть порядок утвержденный МИНСВЯЗью все остальное в топку это как бандитам дан... текст свёрнут, показать
     
  • 8.77, nuclearcat (?), 16:11, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Кого колышат контракты РТКомм и российское законодательство вообще Так можно до... текст свёрнут, показать
     
     
  • 9.95, mailadmin (ok), 02:18, 04/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Хостеры бояться им деваться некуда Только на очень больше компании они редко н... текст свёрнут, показать
     
  • 5.47, Аноним (-), 15:49, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > мораль: не рассылайте спам. и другим - не давайте это делать.

    Мораль: спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том чтобы спама было как можно больше - так больше народа на рэкет поведется.

     
     
  • 6.62, Аноним (-), 22:42, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    так в ЭТОМ и был смысл написанного, внезапно.
    не хотите поддерживать спамхауз - не спамьте.
    а то и рыбку сесть и на хер сесть, извините мой французский.
     
     
  • 7.96, mailadmin (ok), 02:20, 04/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > так в ЭТОМ и был смысл написанного, внезапно.
    > не хотите поддерживать спамхауз - не спамьте.
    > а то и рыбку сесть и на хер сесть, извините мой французский.

    это верно! НО. есть одно НО.
    российский рынок спама это НИОЧЕМ.

    в АМЕРИКЕ это миллиарды $$$. Поэтому вся движуха там. Там же бизнас на спаме и бизнес на борьбе со спамом.

    (также как бизнес вирусописателей и антивирусных компаний... кто на вирусах больше зарабатывает - большой вопрос)

     
  • 6.94, mailadmin (ok), 02:17, 04/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> мораль: не рассылайте спам. и другим - не давайте это делать.
    > Мораль: спамхаус без спамеров ласты склеит, поэтому шкурно заинтересован в том чтобы
    > спама было как можно больше - так больше народа на рэкет
    > поведется.

    это точно.

    Но о том как спамхаус пытался закрыть стопхаус ходя легенды
    http://stophaus.com/showthread.php?2663-STOPHAUS-against-SPAMHAUS

     
  • 4.71, Добрый доктор (?), 11:22, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А к Apache претензий нет?
    Они Spamassasin хостят!!! :) :) :) :) :) :) :) :)

     
  • 2.20, Этот самый Анонимус (?), 04:18, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    спамхаус должен быть разрушен как Вавилон
     
     
  • 3.25, Аноним (-), 06:50, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > должен быть разрушен как Вавилон

    Назад, не туда! Разворачивай оглобли! На Карфаген -- во-о-о-он туда.

     
  • 3.72, Добрый доктор (?), 11:24, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > спамхаус должен быть разрушен как Вавилон

    Для тупых? И еще тупее?
    Спамхаус не прописывается сам в конфигах МТА?
    Его туда самостоятельно вносят МИЛЛИОНЫ ПОЛЬЗОВАТЕЛЕЙ ?

    Разбить бы спамерам щи кирпичом.

     
     
  • 4.92, Юрий (??), 02:07, 04/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> спамхаус должен быть разрушен как Вавилон

    для этого надо свергнуть или подкосить то на чем они делают свой бизнес.

     

  • 1.7, Аноним (-), 00:56, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Без картинок как-то неубедительно…
     
     
  • 2.10, xex (?), 01:29, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +9 +/
    нарисовать 16 болванок, падающих каждую секунду? :)))
     
     
  • 3.53, Аноним (-), 16:17, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > нарисовать 16 болванок, падающих каждую секунду? :)))

    Или два камаза болванок в день. Если не очень понятно - разгрузить их неудачнику в огород, так уж точно дойдет :)

     

  • 1.9, Аноним (-), 01:22, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    В Ъ-стабильных системах не обновляются не только фичи, но и баги. Старый баг - лучше новых двух! Так победим!
     
     
  • 2.12, Добрый доктор (?), 01:42, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> В Ъ-стабильных системах не обновляются не только фичи, но и баги.

    Такими словами вы иллюстрируете сообщение «проблема устранена в выпуске ntpd 4.2.7p26 ещё в 2010 году»?

     
  • 2.15, SAF0001 (?), 03:01, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Автоматическое обновление" - реальное зло. Достаточно большой шанс, после очередного обновления, превратить критичный работающий сервер в кирпич. Да, конечно, можно что-нить где-нить откатить, тока это время, которое клиенты будут курить бамбук, а для бизнеса это плохо. Поэтому, если все работает ровно - да и хай с ним.
    А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с помощью фаера, ширину канала резать или еще как. Мало какой сервис будет нормально жить при таком Досе, и поэтому я думаю что виноватых нужно искать в первую очередь у себя, а то получилось что всему виной оказался какие-то Васи, не обновившие у себя систему. Звучит как кривое оправдание. Если так судить, то тогда, если представить, что это были не боты, а реальные клиенты - тогда получается что клиенты виноваты в том что сервисы загнулись. Сервис не должен падать от нагрузки, а если он у вас такой широкий канал не тянет - мля, сделайте его уже, либо выдавайте какую-нить статику типа "извнините, сервер перегружен" и не будет проблем. Каждый сам кузнец своего счастья и нечего показывать пальцем на других.
     
     
  • 3.27, Eugene Ryabtsev (?), 08:34, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с помощью фаера

    Эээ... вы можете фаерить как угодно, а у людей попроще коннект со скоростью 1 Тбит есть не всегда и когда им на вход летит 400 Гбит UDP трафика, до фаера оно всё даже не доходит.

    Или имеется в виду, что фаерить в ваших интересах должен магистральный провайдер, у которого видимо есть какой-то договор с провайдером вашего провайдера? Good luck.

     
  • 3.28, uk (?), 08:42, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы не совсем понимаете суть процесса=)
    Это не атака на исчерпание ресурсов серверов, с которой можно бороться файрволами. Сотни Гбод --- это атака на каналы. В дц может вообще не быть открыто нужных портов, но udp-трафик все равно идет, дропается и зафлуживает. Единственное, что поможет --- иметь внешний канал порядка Тбод.
     
  • 3.29, Аноним (-), 09:04, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, тут некоторые любят говорить, что линух типа не венда, "поставил и забыл". Вот так вот оно потом и бывает. Причем я еще не видел ни одного гентушника, бздуна, слакварщика или хоть даже убунтуя, который бы считал западло обновляться, а вот среди поклонников шляпы или бебиана очень много дятлов, считающих, что чем тухлее, тем стабильнее и что обновления накатывать необязательно.
     
     
  • 4.32, milkman (?), 10:31, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот так вот оно потом и бывает.

    Если эти "специалисты" годами не закрывают известные дыры. Представьте какое раздолье малолетним хакерам. Странно что их только для DDOSa попользовали

     
     
  • 5.44, Аноним (-), 14:26, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >Странно что их только для DDOSa попользовали

    Почему - "только"? Ах да, в новостях на опеннете не написали. Негодяи, фу такими быть.

     
  • 4.48, Аноним (-), 15:51, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > бебиана очень много дятлов, считающих, что чем тухлее, тем стабильнее и
    > что обновления накатывать необязательно.

    Бывает, увы. Потом оказывается что т.к. это не дыра в собственной безопасности - незай флудит других, стабилизец важнее.

     
  • 3.54, Аноним (-), 16:22, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А такие вещи, типа слишком большого кол-ва коннектов, нужно решать например с
    > помощью фаера, ширину канала резать или еще как.

    Проблема в том что это не слишком большое число конектов а слишком дофига траффика в вашем канале. Вы его не просили, но он вам летит, потому что сети так работают.

    > либо выдавайте какую-нить статику типа "извнините, сервер перегружен"

    Вот только если некто добрый перегрузил вам канал - с отдачей статики тоже будут проблемы. Хотя-бы потому что пакеты от клиентов с запросом странички будут жестоко теряться наравне с пакетами флудерасов. В зависимости от соотношения толщины канала и мощности атаки качество сервиса может просесть вплоть до состояния "страница за 5 минут так и не загрузилась вообще". При том не важно статичная она там или где.

     

  • 1.13, Аноним (-), 01:52, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Тренируются пока
     
  • 1.18, Аноним (-), 03:31, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    настолько жопа на корпоративных и даже федеральных онлайн-ресурса в NA, была, что и CERT и Европейские коллеги - начали ПРЕВЕНТИВНО расслать уведомление и настояние, с просьбой переконфигурировать NTP и DNS, причем нередко - по Abuse-каналам а то и через и-копов(если ресурс социальный/значимый был). что в общем-то - беспрецендентно. как и ущерб, потенциальный(о фактическом - пока отмалчиваются. но судя по суммам в поспешно(примерно в 8х разы быстрее обычного заключенных ИБ-контрактах, сразу после-неслабо тряхнуло их)
     
     
  • 2.55, Аноним (-), 16:23, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > заключенных ИБ-контрактах, сразу после-неслабо тряхнуло их)

    А ты посмотри коэффициент усиления атаки - так десяток мобил на ведроиде может нехило флудить целый датацентр.

     
     
  • 3.63, Аноним (-), 22:44, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    там крупные контракторы минобороны, госдепа и цру - поотваливались )
    и кластеры id и игровые, вместе с катакомбами DARPA )
    что как бы намекает, бо они за весьма слоистом и "с запасом", сидели )
     
     
  • 4.90, Аноним (-), 17:10, 17/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ну ты и писака...
     

  • 1.19, DwarfPool (?), 03:47, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мой майнинг- Dwarfpool оказался в самом эпицентре атаки, как вебморда под клоудфларе, так и один из серверов пула у ovh.
    Надо отдать обоим должное - траблы были недолго, а у клоудфларе задеты были только некоторые европейские регионы из его эникаста.
     
  • 1.21, undead (??), 05:01, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    + за cloudflare
     
  • 1.35, Аноним (-), 11:45, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Рекомендую посмотреть:

    http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

    DDoS-ить можно и при помощи Cisco, и Juniper...

     
     
  • 2.36, anonymous (??), 12:00, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    и через ipmi модули supermicro:

    http://www.supermicro.com/support/faqs/faq.cfm?faq=17908

     
     
  • 3.57, Michael Shigorin (ok), 20:01, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > и через ipmi модули supermicro:

    Если IPMI наружу торчит, то потенциал участия в DDoS -- как бы не наименьшая из проблем владельца...

     
     
  • 4.64, Аноним (-), 22:45, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    дык "наружу торчит" главная и неотключаемая(полностью, увы) "фича" IPMI :P
    как и SMI, вэтраст, вэпро и всякие расширения перфакунтеров с кремнии )
     
     
  • 5.83, Michael Shigorin (ok), 21:54, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > дык "наружу торчит" главная и неотключаемая(полностью, увы) "фича" IPMI :P

    Я о том, что нечего dedicated IPMI LAN port тыкать в общий сегмент...

     
  • 4.84, Forth (ok), 00:30, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> и через ipmi модули supermicro:
    > Если IPMI наружу торчит, то потенциал участия в DDoS -- как бы
    > не наименьшая из проблем владельца...

    Михаил, часто на дешевых машинах порт совмещен с первым контроллером, а хостинг провайдер не готов почему-то подать тегированный трафик на порт, или пользователь не готов его принять.

     
     
  • 5.88, Michael Shigorin (ok), 01:56, 17/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Михаил, часто на дешевых машинах порт совмещен с первым контроллером

    Можно переконфигурить на второй, если только это не что-то совсем кривое без нужных дорожек.  Ну и если это не настолько дешёвая машинка, что речь об администрировании просто не идёт...

     

  • 1.41, Аноним (-), 14:06, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще в таком количестве?
     
     
  • 2.52, Аноним (-), 16:16, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зачем они вообще пропускают этот незапрошенный трафик от ntpd серверов, да еще
    > в таком количестве?

    Затем что телепаты в отпуске и поэтому они не знают - запрошенный это траффик или не запрошенный.

     

  • 1.65, Аноним (-), 22:46, 13/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "нетелепаты" обычно используют НОРМАЛЬНЫЕ файровыл для этого, не conntrack.
    которые, сюрприз - МОГУТ это =)
     
     
  • 2.74, Forth (ok), 11:53, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Когда с магистрали льется трафик во всю ширину канала, чем тебе поможет "НОРМАЛЬНЫЕ файровыл", объясни?
     
     
  • 3.75, AS (??), 14:40, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -j DROP

    не ??

     
     
  • 4.76, Forth (ok), 15:09, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    > -A INPUT -j DROP
    > не ??

    Вот с магистрали сыпется 400 гигабит мусора со всего мира, с кучи разных сетей. Сколько пролезло нужного трафика? А сколько не пролезло? Какой толк от файрвола, если до него нужный трафик не дошел?

     
  • 3.86, Аноним (-), 06:51, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, передернуть тему обсуждения, когда "слились" остатки аргументов - так типично для Вас, мистер.
    а по-существу - тем и поможет, что фарвол, Видящий ЧТО через него льется, на котором соотв можно и должно реализовать консистентное полиси на эту тему.
     
     
  • 4.89, Forth (ok), 09:16, 17/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а по-существу - тем и поможет, что фарвол, Видящий ЧТО через него
    > льется, на котором соотв можно и должно реализовать консистентное полиси на
    > эту тему.

    Файрволл конечно будет резать нежелательный трафик, но это никак не поможет, поскольку желательный трафик попросту не пришел из-за забитого канала провайдера, что непонятного?
    Дано:
    У пользователя порт 10 гигабит, и на порт 10 гигабит адресовано трафика на 400 гигабит, 95% которого мусор.
    Задача: определить кол-во полезного трафика, который поступил на порт, если у провайдера best-effort.
    :)

     

  • 1.78, Anton (??), 21:27, 14/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ntpdc -n -c monlist ntp.mipt.ru
    до сих пор не добавили одну строчку в конфиг, даже после этой DDoS атаки...

    Подозреваю что если просканировать весб интернет таких найдется много.

     
     
  • 2.87, Perain (?), 16:51, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ntpdc -n -c monlist ntp.mipt.ru
    > до сих пор не добавили одну строчку в конфиг, даже после этой
    > DDoS атаки...
    > Подозреваю что если просканировать весб интернет таких найдется много.

    включая ipv6 сегмент

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру