The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

DDoS-атака в 400 Гбит/с была совершена с привлечением всего 4529 NTP-серверов

14.02.2014 17:39

Опубликованы подробности разбора DDoS-атаки, в результате которой на систему жертвы был направлен поток в 400 Гбит/с. Трафик в 400 Гбит/сек был сгенерирован с использованием всего 4529 уязвимых NTP-серверов, размещённых в 1298 различных сетях. В среднем каждый NTP-сервер генерировал в сторону жертвы поток с пропускной способностью 87 Mбит/сек. Для сравнения, в атаке на Spamhaus было задействовано 30956 открытых DNS-резолверов.

Примечательно, что теоретически, так как NTP позволяет усилить трафик в 206 раз, для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт и размещённым в сети, допускающей спуфинг IP-адреса получателя. Прогнозируется, что следующим шагом атакующих может стать вовлечение SNMP-серверов в качестве усилителей трафика. Теоретически, проблемный SNMP-сервер может обеспечить усиление трафика в 650 раз. В настоящее время уже фиксируются отдельные эксперименты атакующих с использованием SNMP.

  1. Главная ссылка к новости (http://blog.cloudflare.com/tec...)
  2. OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с (дополнено)
  3. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
  4. OpenNews: Волна DDoS-атак, использующих NTP-серверы для усиления трафика
  5. OpenNews: Google и Arbor Networks подготовили интерактивную карту для визуализации DDoS-атак
  6. OpenNews: Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/39089-ddos
Ключевые слова: ddos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (63) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Нанобот (ok), 19:00, 14/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    по одной ссылке написано, что увеличение в 206 раз, по другой - что в 556.9 раз...

    а насчёт snmp вообще непонятно, откуда информация

     
  • 1.4, linux must _RIP__ (?), 19:38, 14/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а при помощи dns sec можно получить тоже не слабое усиление.. что-то в районе 2-3кб ответа в ответ на < 100 байт запрос..
     
     
  • 2.5, Аноним (-), 19:47, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    3кб на 100б - это усиление в x30 раз.
    По сравнению с x200 и x600, о которых идет речь - это ерунда.
     
     
  • 3.21, Аноним (-), 21:39, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30 Гбит - тогда расскажешь как тебе такая "ерунда".
     
     
  • 4.64, csdoc (ok), 16:33, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, когда атакующий с 1 серванта с гигабитом нальет тебе 30
    > Гбит - тогда расскажешь как тебе такая "ерунда".

    Проблема с DNS тоже решаема с помощью Response Rate Limiting.

    https://www.opennet.ru/opennews/art.shtml?num=37962
    Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак

    https://www.opennet.ru/opennews/art.shtml?num=38304
    Релиз DNS-сервера NSD 4.0
    ...
    Поддержка технологии RRL (Response Rate Limiting) для ограничения интенсивности отправки ответов в привязке к адресу получателя (ограничения действуют только на исходящие запросы и не влияют на входящие). RRL является одним из способов противодействия использования DNS-сервера в качестве усилителя в DDoS-атаках;

     

  • 1.6, имя (?), 19:47, 14/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт

    Что-что, простите?

     
     
  • 2.7, Аноним (-), 19:48, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> для организации атаки в 200 Гбит/сек достаточно лишь получение злоумышленником контроля над одним сервером, подключенным через гигабитный порт
    > Что-что, простите?

    Именно так. Попробуйте прочитай новость и понять ее смысл, а не бежать комментировать.

     
     
  • 3.9, имя (?), 19:54, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И как эти 200 Гбит пролезут в гигабитный порт, по-вашему?
     
     
  • 4.10, AlexAT (ok), 20:11, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В гигабитный порт пролезет гигабит запросов. А "усиляющие" серверы NTP/DNS/whatever дадут 200 гигабит ответов в сторону жертвы. Контроль над ними не требуется. Это ДОТ.
     

  • 1.8, Аноним (-), 19:52, 14/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Все это очень занимательно, но не надо забывать и про суть: "спецы" CloudFlare, "гарантировавшие" "абсолютную" защиту от DoS-атак, феерично лажанулись и теперь пытаются свести такую атаку к "неодолимой силе".
    А раз сила неодолимая и все равно никто ни за что не отвечает - нафиг нужна CloudFlare?
     
     
  • 2.11, AlexAT (ok), 20:13, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > нафиг нужна CloudFlare?

    Боюсь, что именно так - и антидосеры сами по себе даже уже не интересны, тут скорее фатальнее то, что ложатся магистрали по пути к жертве... Причем победить заразу практически никак, разве что разом устранить дыры во всех серверах на планете.

     
     
  • 3.25, Аноним (-), 21:47, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > к жертве... Причем победить заразу практически никак, разве что разом устранить
    > дыры во всех серверах на планете.

    При 4500 серверов в атаке таки достаточно реально просто нанять человека который разошлет 4500 абуз и будет иметь мозг причастным пока они не сдадутся.

     
     
  • 4.31, Аноним (-), 22:48, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Абузы рассылаются. Не помогает. Пока-то до админа дойдет, пока согласуется. Немало железок выставленных голой жопой в мир или пропсаны в DMZ-хост (например, старенькие видеорегистраторы с древней прошивкой). Блокировали, по возможности, на уровне провайдера - так оперативнее. Но, в любом случае, такие абузы - не панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают.
     
     
  • 5.32, Аноним (-), 22:51, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Абузы рассылаются. Не помогает.

    Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик за то что с него ддос идет - сразу вылетит гора кирпичей и побежит чинить, как миленький.

    > - так оперативнее. Но, в любом случае, такие абузы - не
    > панацея. К тому же, "иметь мозг" далеко не всем выйдет. Многие забивают.

    Тогда просто отрубить им канал. Или если плохо доходит - развернуть атаку в их сторону, может так быстрее дойдет. Не до них так до их провайдера хотя-бы.

     
     
  • 6.42, Аноним (-), 02:29, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Абузы рассылаются. Не помогает.
    > Значит надо рассылать абузы выше по иерархии. Как завалится у кулсисопа интернетик
    > за то что с него ддос идет - сразу вылетит гора
    > кирпичей и побежит чинить, как миленький.

    Так можно пол-интернета уронить. Роскомнадзор за такое орден даст.

     
     
  • 7.45, Аноним (-), 02:46, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    дык если ничего не делать - можно уровнить Весь.
    даже Роскомнадзор - обрыдается.
    да что там, даже талибан и каннибалы с острова Бали - пойдут сдаваться в Интерпол.
     
  • 7.46, Аноним (-), 04:34, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Так можно пол-интернета уронить. Роскомнадзор за такое орден даст.

    Можно. И если вы еще не заметили - вообще-то уже падает. Детишки нашли спички. Вот я за то чтобы таки доабузить до состояния когда это привлечет внимание настолько что это более-менее починят.

     
  • 6.56, AlexAT (ok), 08:58, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вот сразу видно, что человек с операторским бизнесом слегка не знаком. Точечные отрубания NTP/DNS/... еще возможны, но вот отрубание канала - почти 100% потеря клиента, особенно если клиент не 100% технически вменяем (а таких абсолютное и подавляющее большинство).
     
     
  • 7.65, Аноним (-), 16:42, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да бывают такие "отрубатели". Особенно среди админов локалхоста.
    Далеко не всегда есть возможность даже сослаться на вредоносную деятельность. А в некоторых случаях в договоре вообще отсутствует какое-либо ограничение на использование канала и провайдер, без решения суда вообще не в праве что-либо "обрубать", а за "технические неисправности" неустойку платить придется такую, что дешевле будет в авральном порядке апгрейдить провайдерскую сеть.
    Абузик от какой-то там ddos-response@nfoservers.com - вообще филькина грамота и юридической силы не имеет в наших краях.
     
     
  • 8.66, csdoc (ok), 16:48, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    какой смысл провайдеру делать возможным IP address spoofing чтобы потом в авра... текст свёрнут, показать
     
     
  • 9.67, Аноним (-), 17:50, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что иногда, например, используется BGP Или хитрые схемы с маршрутизируе... текст свёрнут, показать
     
     
  • 10.68, csdoc (ok), 18:04, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Защита от спуфа не на входящем, а на исходящем трафике Например, захотел клиент... большой текст свёрнут, показать
     
     
  • 11.69, Аноним (-), 18:14, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Либо это делают поголовно все до единой AS, либо это бесполезно, поскольку даже ... текст свёрнут, показать
     
     
  • 12.70, csdoc (ok), 18:24, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас - это делают уже более 75 провайдеров И они не считают, что это бесполе... текст свёрнут, показать
     
     
  • 13.80, Аноним (-), 15:59, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема только в том что хватит и 25 И даже 5 И дожать всех врядли получитс... текст свёрнут, показать
     
     
  • 14.83, csdoc (ok), 18:40, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как есть разница между 100 уязвимых сетей и 25 уязвимых сетей, так и есть разн... текст свёрнут, показать
     
  • 3.53, Аноним (-), 04:57, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По логике вещей у защитника может быть дофига серверов по всей планете Вместо... большой текст свёрнут, показать
     
     
  • 4.57, AlexAT (ok), 09:00, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А так оно у cloudflare и есть - они распределенные. Хитрость последних атак в том, что пролегли некоторые каналы на пути от атакующих серверов до их инфраструктуры :) Т.е. атака уже толком даже не на клиента или cloudflare, а на саму инфраструктуру доставки трафика до оных. В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.
     
     
  • 5.81, Аноним (-), 16:00, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В итоге доступность клиентов все равно оказалась нарушенной, просто не везде.

    Знаешь, при этом не только доступность cloudflare оказалась нарушенной.

     
     
  • 6.82, AlexAT (ok), 17:37, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Знаешь, при этом не только доступность cloudflare оказалась нарушенной.

    А атакующим, знаешь, наплевать. Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.

     
     
  • 7.84, csdoc (ok), 18:44, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Знаешь, при этом не только доступность cloudflare оказалась нарушенной.
    > А атакующим, знаешь, наплевать.
    > Даже если при этом вся сеть ляжет - цель всё равно будет достигнута.

    Не факт. DDoS-атака на сайт могла быть вызвана конкурентами, владельцами другого сайта.
    Если они положат в результате всю сеть - они не только сайту конкурента навредят,
    но и своему собственному тоже. Тогда получится что они за-DDoS-или свой собственный
    сайт, если их сайт в результате такой атаки на сайт конкурента станет не доступен.
    Это будет Пиррова победа. Кому такое надо?

    Или те кто делает DDoS-атаки - это луддиты, которые хотят уничтожить весь интернет полностью?

     
  • 2.14, csdoc (ok), 20:48, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > "спецы" CloudFlare, "гарантировавшие" "абсолютную" защиту от DoS-атак

    где и когда они такое гарантировали?

    > А раз сила неодолимая и все равно никто ни за что не
    > отвечает - нафиг нужна CloudFlare?

    99% защита - это лучше, чем 0% защита.

     
     
  • 3.15, AlexAT (ok), 20:55, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В данном случае, увы, получается уже 0% защита. По сути приходится иметь дело с трафиком непреодолимой силы. 400 Гбит - это только начало экспериментов.


     
     
  • 4.16, csdoc (ok), 21:02, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > В данном случае, увы, получается уже 0% защита. По сути приходится иметь
    > дело с трафиком непреодолимой силы. 400 Гбит - это только начало
    > экспериментов.

    0% защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит.

    Доля таких атак - меньше 0.00001%, так что в целом защита CloudFlare - это больше 99.9%.

    P.S.

    In theory, there is no difference between theory and practice. But, in practice, there is.

     
     
  • 5.18, Аноним (-), 21:04, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > 0% защита - это только на сегодняшний день и только от ддос-атак
    > на 400 Гбит.
    > Доля таких атак - меньше 0.00001%, так что в целом защита CloudFlare
    > - это больше 99.9%.

    Сейчас - да. Но после того, как CloudFlare публично слились, а технология опубликована - таких атак будет 99%.

     
     
  • 6.20, csdoc (ok), 21:37, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> 0% защита - это только на сегодняшний день и только от ддос-атак на 400 Гбит.
    >> Доля таких атак - меньше 0.00001%, так что в целом защита CloudFlare
    >> - это больше 99.9%.
    > Сейчас - да. Но после того, как CloudFlare публично слились,

    Что значит "публично слились" ? У них в блоге написано "On Monday we mitigated a large DDoS that targeted one of our customers". То есть сайт клиента продолжал работать.

    > а технология опубликована

    Потому что "Security through obscurity" - это всеравно что прятать голову в песок.
    Те, кто атакует сайты - и так уже знают про эту возможность, и умеют ей пользоваться.

    > - таких атак будет 99%.

    Количество криво настроенных NTP серверов может быть при желании сведено к нулю.

    Кроме того, "If you're running a network then you should ensure that you are following BCP38 and preventing packets with spoofed source addresses from leaving your network"
    - это даст защиту от очень большого количества DDoS-атак разных типов:

    NTP and all other UDP-based amplification attacks rely on source IP address spoofing.

    Так что не надо драматизировать, все будет хорошо.

     
     
     
    Часть нити удалена модератором

  • 8.59, 55039 (?), 11:16, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема не только в протоколе Операторов не проверяющих соср адрес своих клиен... текст свёрнут, показать
     
     
  • 9.63, csdoc (ok), 16:29, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, сейчас в мире осталось всего 24 6 сетей, которые позволяют IP Spoofing ... текст свёрнут, показать
     
  • 5.26, Аноним (-), 21:56, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > 0% защита - это только на сегодняшний день и только от ддос-атак
    > на 400 Гбит.

    Подсказка для йуных пЫонеров "как сделать ддос на 400 гбит у себя на кухне". Берем несколько серваков с жирным каналом, гигабита хватит. Можно несколько по 100мбит, тоже хватит. Для начала пускаем с них zmap и сканим весь IPv4 на NTP сервера. Этот чудный инструментец за несколько часов соберет полный список NTP по всему IPv4, просто перебрав его втупую. Далее пишем какой-нибудь простой тул который проверит умеют ли сервера отвечать нужным пакетом. После этого образуется чудный списочек усилителей траффика. Ну а дальше остается только отсылать им трафф и слушать грохот паке^W кирпичей.

     
     
  • 6.28, csdoc (ok), 22:03, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > "как сделать ддос на 400 гбит у себя на кухне".
    > Берем несколько серваков с жирным каналом, гигабита хватит. Можно
    > несколько по 100мбит, тоже хватит. Для начала пускаем с них zmap
    > и сканим весь IPv4 на NTP сервера. Этот чудный инструментец за
    > несколько часов соберет полный список NTP по всему IPv4, просто перебрав
    > его втупую.

    Это приведет только к тому, что количество криво настроенных NTP-серверов очень быстро
    начнет стремиться к нулю. А то и вообще позакрывают дырки с source IP address spoofing.

     
     
  • 7.30, Аноним (-), 22:33, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > начнет стремиться к нулю. А то и вообще позакрывают дырки с source
    > IP address spoofing.

    А вы думаете что я очень хочу видеть юных пЫонеров с 400Гбит ддосами? Просто клин клином вышибают - в данном случае для осознания проблемы необходим ее массовый абуз с максимально разрушительными последствиями. Вот тогда начнут чесаться :).

     
  • 3.17, Аноним (-), 21:03, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > где и когда они такое гарантировали?

    Это их специализация, вообще-то.

    > 99% защита - это лучше, чем 0% защита.

    Да. Но тут речь идет о 1% защите за кучу бабок.

     
     
  • 4.24, csdoc (ok), 21:46, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> где и когда они такое гарантировали?
    > Это их специализация, вообще-то.

    https://www.cloudflare.com/business
    действительно, здесь написано про 100% uptime guarantee.

    >> 99% защита - это лучше, чем 0% защита.
    > Да. Но тут речь идет о 1% защите за кучу бабок.

    Здесь речь идет о 100% гарантии за 200 USD / месяц.
    Это не так уж и много, по сравнению с другими аналогичными решениями.

    Откуда Вы взяли цифру 1% защиты?

    CloudFlare использует технологию IP anycast, так что DDoS-атака приходит
    не на один сервер, а распределяется среди всех 24 ихних датацентров:
    https://www.cloudflare.com/network-map - они и больше чем 400 Гбит/с могут выдержать.

     
     
  • 5.37, Аноним (-), 02:21, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Откуда Вы взяли цифру 1% защиты?

    Посчитал на пальцах.

    > они и больше чем 400 Гбит/с могут выдержать.

    Во-первых, пока они даже 400 не выдержали, во-вторых, NTP-серверов в мире значительно больше, чем 4529.

     
     
  • 6.49, Аноним (-), 04:48, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > больше, чем 4529.

    Но большинтсво из них не умеет нужный усилительный пакет :).

     
  • 6.61, csdoc (ok), 16:12, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> они и больше чем 400 Гбит/с могут выдержать.
    > Во-первых, пока они даже 400 не выдержали

    Они 400 Гбит/с выдержали. И могут выдержать еще больше.

    > во-вторых, NTP-серверов в мире значительно больше, чем 4529.

    Из них криво настроенных NTP-серверов - значительно меньше, чем нормально настроенных.

     
  • 6.50, Аноним (-), 04:49, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    С другой стороны, они и правда же вполне могут встретить крутой флуд могучей распределенной структурой, для которой 400Гбит совершенно не фатальны. Никакой ракетной науки, клин клином вышибается. Если единичная система не может переварить 400Гбитов - надо поставить географически распределенную структуру. До некоторых дошло.
     
  • 5.73, Аноним (-), 22:52, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > здесь написано про 100% uptime guarantee

    uptime и availability - разные вещи! 100% uptime у них был! А вот 100% availability cloudflare не обещали. Утверждение "your website and network are performant, secure and always available" не является SLA

     

  • 1.33, Аноним (-), 23:19, 14/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да пусть хоть 50 дата центров у cloudflare, факт остается фактом от DDoS 100% защитить ни кто не может, почему спросите вы. Да потому что это аксиома тысячи различных устройств смотрят в инет, а прогресс не стоит на месте, и эти устройства подключены по самым минимальным оценкам к 2-х мегабитному инету. Разнообразие этих устройств самое огромное, от роутеров до душевых кабинок. В общем 100% защиты от DDoS это маркетинговый и не более, эта проблема существует с того момента как появился интернет, а тут бац появились титаны способные усмирить этого древнего зверя.
     
     
  • 2.34, Аноним (-), 23:59, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Есть только 1 метод защититься от распределенной атаки. Ответить тем же самым - своей распределенной структурой, которая справится с нагрузкой.
     
     
  • 3.41, Аноним (-), 02:27, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть только 1 метод защититься от распределенной атаки. Ответить тем же самым
    > - своей распределенной структурой, которая справится с нагрузкой.

    Этот метод работал против атак без усиления. На принимающей стороне вот так, за здорово живешь, в несколько сотен раз полосу не увеличить.

     
     
  • 4.48, Аноним (-), 04:39, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Этот метод работал против атак без усиления.

    Этот метод работает против всего. Вот смотрите, возьмем битторент. Завалить сервер трекера таким манером - как 2 байта переслать. А теперь попробуйте завалить DHT. И как, получается?

     
  • 4.51, Аноним (-), 04:51, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, метод Неуловимого Джо.

    Или отвечать атакующим их же методами - выставив распределенную структуру. Наплодившиеся противоддосовые конторы именно этим и занимаются, позволяя за некоторую мзду использовать их распределенную инфраструктуру.

     
  • 2.35, csdoc (ok), 00:04, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Чем больше у них датацентров - тем лучше уровень защиты от DDoS Подробности h... большой текст свёрнут, показать
     
  • 2.74, Аноним (-), 22:53, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В предыдущем комментарии опять одна и та же реклама. С цифрами 100%, мне нет дела до назойливой рекламы от компании которая исключает фактор реальности. Перефразирую тысячи различных устройств могут генерировать куда более мощный паразитный трафик чем могут выдержать подобные сервисы, это простое превосходство количеством. В контексте данной новости речь идет о 4529 устройствах способных создать такое количество паразитного трафика, всего то 4529 но какой эффект. Так что гарантия 100% не более чем маркетинг.
     
     
  • 3.75, csdoc (ok), 23:19, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В предыдущем комментарии опять одна и та же реклама. С цифрами 100%, мне нет
    > дела до назойливой рекламы от компании которая исключает фактор реальности.

    400 Гбит/с разделить на 24 датацентра == 16.7 Гбит/с - это не так уж и много.

    > Перефразирую тысячи различных устройств могут генерировать куда более мощный
    > паразитный трафик чем могут выдержать подобные сервисы,
    > это простое превосходство количеством.

    Сервисы могут выдержать и больше - им не надо весь этот трафик никак обрабатывать.
    Все что делает CloudFlare грубо говоря, это фильтрует трафик на 80 и 443 порт,
    просто игнорируя все остальные пакеты на другие порты, особенно UDP пакеты.

    > В контексте данной новости речь идет о 4529 устройствах способных создать
    > такое количество паразитного трафика, всего то 4529 но какой эффект. Так
    > что гарантия 100% не более чем маркетинг.

    Service Level Agreement - это [b]не[/b] гарантии.
    Подробнее про SLA: http://www.gnuman.ru/stuff/SLA/

     

  • 1.54, Аноним (-), 06:30, 15/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем такое количество NTP серверов вообще существует?
     
     
  • 2.55, Аноним (-), 08:22, 15/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем такое количество NTP серверов вообще существует?

    Затем что если все будут долбить несколько серверов - 400Гбит траффика прилетит туда :). Ибо например всякие сетевые железки при старте время синкают, etc.

     

  • 1.62, Аноним (-), 16:22, 15/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Скажите спасибо FreeBSD, у них только во FreeBSD 10 по дефолту запретили эти запросы к ntpd штатному, а в нормальных ОС типа Debian / RHEL из коробки запросы закрыты, да и версия ntpd не такая замшелая
     
     
  • 2.76, xM (ok), 14:35, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не запускался.
    Отсюда ваши претензии не по адресу.
     
     
  • 3.77, Аноним (-), 15:16, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Начнём с того, что во FreeBSD по дефолту ntpd вообще никогда не
    > запускался.
    > Отсюда ваши претензии не по адресу.

    Ага, и все, основанное на SSL, тихо идет фхтагн - потому что там требуется, в частности, для многих применений, точное время на обоих концах. А не так, чтобы погоду показывать.

     
     
  • 4.78, xM (ok), 15:48, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Очень может быть. Только не понятно, какое это отношение имеет к самой системе?
     

  • 1.85, Аноним (-), 12:39, 17/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хочу чтобы на мой компьютер была совершена такая атака, а компьютер бы глючил и тормозил. Потом бы я его перезагрузил и пошел дальше играть на своем супер-компьютере в аватара по сети, и чтоб приходящий трафик от игрушки был 380Гбит/с.

    эх..

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру