Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

ODBRANA OD DDoS NAPADA

[es] :: IT pravo i politika razvoja :: ODBRANA OD DDoS NAPADA

[ Pregleda: 4920 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

torbica
Zoran Torbica
community manager
Vracar, Beograd

Član broj: 187
Poruke: 1780
*.tehnicom.net

ICQ: 36726092
Sajt: www.aikstednja.rs


+1 Profil

icon ODBRANA OD DDoS NAPADA11.08.2001. u 22:08 - pre 248 meseci
Posle teksta objavljenog u Blicu 8.8.2001. godine, oznacen sam kao moguci organizator DDoS po telekomu. Digla se velika dzeva, te su ljudi iz Telekoma, ostalih ISP-ova i organa bezbednosti poceli da posecuju ES.

Kako ja znam sta je DDoS?
Posedijem server koolociran kod domaceg ISP-a. U januaru i februaru bio je s prekidima jedan veliki DDoS napad, tada je osim domacih provajdera, stradao i Internet CG, Slovenci, Serbian Caffe i jos nekoliko veeeeeelikih mreza u inostranstvu. Naravno da sam bio nezadovoljan jel su me klijenti pitali zasto se njihove prezentacije ne vide, raspitao sam se i saznao i sta je DDoS i kako se brani od njega.

Sta je DDoS?
DDoS je gomila paketa poslata sa nekog servera koja zagusi link ili "ubije" ruter, odnosno zatrpa ga vecom kolicinom informacija nego sto on moze da obradi i tako ruter padne.
Obzirom da ljudi koji rade DDoS prave ogromnu stetu, potpadaju pod udar zakona oni se trude da ostanu anonimni (ne daju izjave u novinama pod imenom i prezimenom). Obicno dodju do root naloga na raznim serverima sirom sveta, prave razlicite alate za razlicite napade i onda ih pustaju.

KAKO SE ODBRANITI OD DDoS-a?
Prosto, system inzinjer treba da odgovarajucim softverom analizira pakete i utvrdi sa kojih mreza (na kojim su serveri) dolazi napad. Te podatke salje svom nadprovajderu (svojim nadprovajderima) koji unose i aktiviraju access listu na svojim ruterima i blokiraju mreze dok traje napad.

MOJE PREDPOSTAVKE ZASTO SE TELEKOM SLABO BRANI...
1. Njihov MOC radi iskljucivo u radno vreme radnim danima, sto je i dosad bio problem kad padne link...
2. Italijanski nadprovajder je neazuran oko pravljena access lista ili ih ne aktivira zbog prepterecenosti njihovog rutera

pozdrav Zoran


www.aikstednja.rs mesec stednje 2010/ www.snajper.rs servis za media planiranje na Internetu
 
Odgovor na temu

alex
Aleksandar Radulovic
Senior Software Engineer, Spotify
Stockholm, Sweden

Član broj: 71
Poruke: 2194
194.144.203.*

Jabber: alex@a13x.info
ICQ: -1
Sajt: www.a13x.info


+1 Profil

icon Re: ODBRANA OD DDoS NAPADA12.08.2001. u 13:09 - pre 248 meseci
Citat:
torbica je napisao:
KAKO SE ODBRANITI OD DDoS-a?
Prosto, system inzinjer treba da odgovarajucim softverom analizira pakete i utvrdi sa kojih mreza (na kojim su serveri) dolazi napad. Te podatke salje svom nadprovajderu (svojim nadprovajderima) koji unose i aktiviraju access listu na svojim ruterima i blokiraju mreze dok traje napad.


Hmm, da je bas "prosto" odbraniti se od DDoS napada i nije bas, ukoliko je rec o sofisticiranijim napadima.
Nisam se u poslednje vreme bavio analiziranjem i istrazivanjem DDoS napada i kako se odbraniti od njih,
ali na sledeca dva linka mozete procitati interesantne analize dva malo starija DDoS paketa, TFN (Tribal
Flood Network) i Trinoo (trin00). Ta dva paketa su stara skoro 2 godine, ne smem ni da pomislim kakva
je sad situacija.

http://a13x.net/stuff/tfn_analysis.txt
http://a13x.net/stuff/trinoo_analysis.txt

U svakom slucaju, DDoS napade nikako (!!!) ne treba potcenjivati, jer odbrana od njih je daleko od toga
da bude "prosta".

Pozdrav,
alex.


Alex: My favorite site is http://localhost/
R.J. Oppenheimer: "I am become death, destroyer of worlds" (1945 AD)
tweet.13x ||
linkedin.13x
 
Odgovor na temu

Ivan Tanasic
BGD-SRBIJA

Član broj: 220
Poruke: 965
*.041net.co.yu

Jabber: Autoexes@jabber.sk
ICQ: 129145438


Profil

icon Re: ODBRANA OD DDoS NAPADA12.08.2001. u 17:55 - pre 248 meseci
Uvek ce ostajati pitanje zasto se telekom nebrani efikasno....

1) Nemaju dovoljno dobrog osoblja?????
2)Osoblje slabo placeno i demoralisano????
3)Ko ce ga znati....

Na ovoim forumima sam postavio pismo koje sam dobio od viruskrew, i kako sam cuo dosta njih je dobilo... u tom pismu pozivaju i na smurf.....

U pc pressu (neki stari broj) pise da nije tesko odbraniti mrezu od tih napada. Potrebno je analizirati odakle ti paketi dolaze, i u podesiti ruter da ih odbija (pogadjate primeri su za cisco).... Ceo postupak je detaljno opisan, i kolko sam ja zakljucio ne preterano tezak, tako da torbice ako ti bude trebalo mogu da ti ga bacim nekako....
Ivan Tanasic - Autoexes

>cd pub
>more beer
 
Odgovor na temu

angel

Član broj: 442
Poruke: 38
*.ptt.yu

Sajt: www.bug.co.yu/angel


Profil

icon Re: ODBRANA OD DDoS NAPADA12.08.2001. u 18:47 - pre 248 meseci
Filtriranje na ruteru pomaze, ali zamislite sledeci scenarijo ... vas ISP je pod ddos-om. Vi ste u panici. Gledate traffic i zakljucujete da se radi o spoofed ddos gde paketi dolaze bash od onih adresa koje vashi korisnici najcesce posecuju ( neki mp3/sex/porn sajtovi ... ircserveri ... freemail i sl.)
Ostaje vam da sve to zabranite - oterate korisnike
ili da ostavite sve kako jeste - opet oterate korisnike

Inace, informacija da se predstavnici zakona aktivno rade na ispitivanju ucesnika ovog foruma je tacna. Samo se meni cini da pucaju na potpuno pogreshnu stranu. Ako nam je za utehu, bar smo ih ( telekom/sudstvo/mup ) naterali da citaju ove nase postove :)
A.


A.
 
Odgovor na temu

Ivan Tanasic
BGD-SRBIJA

Član broj: 220
Poruke: 965
*.041net.co.yu

Jabber: Autoexes@jabber.sk
ICQ: 129145438


Profil

icon Re: ODBRANA OD DDoS NAPADA12.08.2001. u 21:51 - pre 248 meseci
Citat:
angel je napisao:
Filtriranje na ruteru pomaze, ali zamislite sledeci scenarijo ... vas ISP je pod ddos-om. Vi ste u panici. Gledate traffic i zakljucujete da se radi o spoofed ddos gde paketi dolaze bash od onih adresa koje vashi korisnici najcesce posecuju ( neki mp3/sex/porn sajtovi ... ircserveri ... freemail i sl.)
Ostaje vam da sve to zabranite - oterate korisnike
ili da ostavite sve kako jeste - opet oterate korisnike

Inace, informacija da se predstavnici zakona aktivno rade na ispitivanju ucesnika ovog foruma je tacna. Samo se meni cini da pucaju na potpuno pogreshnu stranu. Ako nam je za utehu, bar smo ih ( telekom/sudstvo/mup ) naterali da citaju ove nase postove :)
A.



Cinimi se da to nije bas tako.... postoje neka podesavanja da on ne odbija sve pakete, vec samo ako su u velikim kolicinama il tako nesto......

Bas cu da procitam ponovo pa da kazem sta pise!

Ivan Tanasic - Autoexes

>cd pub
>more beer
 
Odgovor na temu

Prethorian
Aleksandar Spasojevic
Kragujevac

Član broj: 567
Poruke: 47
*.205.EUnet.yu

ICQ: 15989926


+2 Profil

icon Re: ODBRANA OD DDoS NAPADA13.08.2001. u 01:51 - pre 248 meseci
Hm, tacno je da je odbrana jednog ISP-a moguca sa deny listama na routerima nadprovidera, ali, sta se desava:
Paketi i dalje stizu do tog routera koji su usmereni podprovideru kome su namenjeni, router ih prima ali ih ne prosledjuje do podprovidera, medjutim, opet je zagusen saobracaj jer veliki deo bandwidth-a koji je namenjan podprovideru jer opterecen i dalje tj smanjen je ODLAZECI link podprovideru.
E sad , nadprovider ako njegova mreza trpi zbog nekog podprovidera, moze da prati dalje pakete i ide redom, dok se ne dodje do lose podesenih routera koji imaju veliki LAN i upravo se koriste za DDoS , ili da jednostavno raskinu ugovor sa podproviderom, isplate ga (to je manji trosak nego sto imaju dok trpe te napade zbog podprovidera) i ugase mu link (znam najmanje 4 slucaja), i time na neki nacin pomognu hackerima .

Nazalost jedino resenje za odbranu od DDoS-a je upravo sprecavanje istog, tj da su sys admini na odgovarajucem nivou, i da LEPO podese svoje routere,kao i oni koji imaju puno racunara u LAN-u sa izlazom na WAN da lepo podese GATE da ne bi bilo broadcastova koji vracaju na jedan ping i po 700 reply-a !!!!

Ovo je samo jedan od problema, za jednu vrstu DDoS-a a ima ih jos puno.

Zato RTFM i nek admini zagreju stolice, pa nek rade malo
Where you want to go today?
To kill Bill !!
 
Odgovor na temu

stinger
Luka Gerzic
DELTA M, IT Department
DELTA M HQ

Član broj: 126
Poruke: 1099
*.drenik.net

ICQ: 57419599
Sajt: www.gerzic.net


Profil

icon Re: ODBRANA OD DDoS NAPADA14.08.2001. u 11:49 - pre 248 meseci
Cemu ova vasa rasprava, kad smo svi svesni da od jaceg DDoS napada nema odbrane, barem ne u YU. Za one manje upucene, dacu jednu klasicnu ilustraciju, naime ako uzmete crevo (bolje receno crevce) koje moze da propusti 1 litar vode u sekundi i srokate 1000 litara vode pod pritiskom, desice se jedna od sledece dve stvari, ili ce crevo da pukne (totalan prekid linka) ili ce na odredjenim mestima na crevu poceti da prskaju manje fontanice (gubljenje podataka preko 90% ili ti usporenje linka jel svaki paket koji se ne posalje kako treba preko TCP/IP protokola mora biti ponovo poslat - izvod iz TCP/IP dokumentacije) tako da u obe varijante znate koje su posledice, e u svakom slucaju postavlja se dalje
pitanje kako se odbraniti od ovakve napasti, pa jednom reciju mozemo da uradimo recimo deny listu (kao sto su ovde neki rekli vec) medjutim time se nepostize prevelika zastita iz jednog vrlo jednostavnog razloga a to je da je link toliko zagusen (jel paket ce doci do vaseg rutera, dzabe vama sto ste vi odsekli te pakete kad se oni tek kod rutera zaustavljaju - ili ti dzaba vama ventil kad se kod voda dodje do ventila pa se tu nagomilava dok ne pukne) tu postoji solucija glavnog ventila znaci otici kod nad provajdera i njemu reci koje deny liste da postavi, ali tu mozemo slobodno da kazemo da postavljanje deny listi za spoofed adrese je cisto igranje, no sad se verovatno pitate kako onda to ljudi van nase zemlje resavaju, pa jednostavno prvo imaju barem 10-20 puta jace linkove od svagog od nas ponaosob, zatim imaju alternativne linkove prema drugim nad provajderima, zatim uplink prema satelitu, i naravno njihovi NOC (network operation center) radi 24h 365d u godini. Kod nas je znate i sami kakva situacija, koja ne da ne moze da parira svemu ovome vec nije ni blizu, e jos kad na sve ovo dodate i cinjenicu da u .de .fr .it .hl .fi ljudi mogu za "po kuci" da instaliraju linkove kakve mi svi zajedno imamo, onda vam se acunica jednostavno poklopi, i mi se nadjemo negde skroz na dnu, sta da radimo, takva je situacija. A onda kao kruna svega ovoga Telekom podigne cene svojih usluga na zastarelim linkovima katastrofalnim predratnim centralama, i njihovom garantovanom protoku od 9660 b/s sto je ne smesno, nego tuzno,

ajd u zdravlje...

 
Odgovor na temu

[es] :: IT pravo i politika razvoja :: ODBRANA OD DDoS NAPADA

[ Pregleda: 4920 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.