České zpravodajské weby čelí útoku (živě)

cheprer

Banky jsou na dnesnim poradu dne.... RB ma web pod utokem ddos. da se na internetbanking dostat prez https://klient2.rb.cz

jeste by se mnel rozjet i https://klient3.rb.cz

reset

jojo, hlasim RB ma taky problemy ,

alespon se tam nebubou tolik nudit ,

.... ze bych jim zavolal , ze potrebuju akutne neco zaplatit ?

raket

jojo, hlasim RB ma taky problemy ,

Od rana nejedou weby vsech moznych bank - ceska sporitelna, csob, rb, fio, kb,..

Myslim, ze tem amikum co prodavaji produkty na ochranu pred DDoS pribude nekolik novych solventich klientu

hapi

http://www.zive.cz/bleskovky/ceske-bank ... fault.aspx

lwq

RAket: jaky mas na mysli ? Jak se rozumne branit masivnimu DDoS utoku ? Podle me to je pekna svinarna, kdy ty tezko rozlisis "spravny" provoz od utoku a tedy to tezko odstinis ... To maji analyzatory na L7 ? 8)

EDIT: By me zajimalo, kdo zastane zasah zitra ... Zda statni sektor, operatory ci neco jineho ... :

hapi

ddosu se nedá bránit. To je jako kdyby vzrostlo 100x návštěvníků. Těžko odhalit kdo je útočník a kdo ne. Možná nějakym delšim analyzováním na způsob toho že se bude zpětně dívat kdo chtěl jenom page a kdo i ostatní linky na page (img atd...). No ale stejně, zdrojovou IP si můžeš vymyslet když to routery po cestě nekontrolujou takže takhle můžou odstřihnout i normální návštěvníky což se děje.

Když sem začínal se síťařinou tak v kernelu byla volba jestli kontrolovat zdrojové IP paketů a na tomto základě je dropoval nebo ne. Zjednodušeně řečeno pokud pokud paket se zdrojovou IP přišel od jinud než měl tak drop. Jistě, v případě zakruhování je to špatně nicméně většina ISPíků má pak všechny kruhy svedené do jedný mašiny. Pokud tedy z mého veřejného subnetu 95.80.230.0/24 odchází něco s jinou src ip tak drop. To by mohly ISPíci všude ošetřit.

Pletu se?

raket

RAket: jaky mas na mysli ? Jak se rozumne branit masivnimu DDoS utoku ? Podle me to je pekna svinarna, kdy ty tezko rozlisis "spravny" provoz od utoku a tedy to tezko odstinis ... To maji analyzatory na L7 ? 8)

EDIT: By me zajimalo, kdo zastane zasah zitra ... Zda statni sektor, operatory ci neco jineho ... :

Technologie, jak tomu brani do detialu neznam, ale pro velke weby je to proste nutnost. Myslim, ze v tomto tydnu to resi spousta manageru a vedoucich provoznich oddeleni.

Znamy je prolexic.com, firmy poskytujici CDN jako akamai, cloudflare maji taky nejaka reseni a hromada firem dodavajici blackboxy napr. fortinet atd.

Kazdopadne existuji reseni jak se branit, pak uz zalezi kolik $ na to mas aktualne v prkenici.

leeonek

Sice se nemůžu dostat do raifky, ale zase na druhou stranu, ať dostanou pěkně na prdel, nenažranci :)

aliney

Pokud tedy z mého veřejného subnetu 95.80.230.0/24 odchází něco s jinou src ip tak drop. To by mohly ISPíci všude ošetřit.

Pletu se?

No myslim, ze na tohle prece bohate staci hranicni firewall, kde mas seznam zakazniku forward - src.adresa - allow a na konci forward - out int. internet > drop.

Pokud si to nekdo nehlida, kdo leze ven, tak je asi neco spatne.

Teoreticky src. = 10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16 allow, jinak drop. Na co se to prelozi a pod cim to leze ven je prece vzdy na ISPikovi

hapi

to je taky fakt.

V tom případě to musí pocházet pouze z počítačů který sedeji přímo na veřejných IP adresách.

aliney

A to zase muze ISP, ktery mu je pridelil taky lehce hlidat... na portu 28 ma byt rozsah 263.12.33.124/30 jinak drop.

hapi

mno tak jistě ale kdo to dělá?

aliney

ja treba ano a prijde mi to logicke a spravne :

majklik

Já bych odhadl, že tak třetina sítí toto vůbec neřeší. Soudím dle používání mobile IP klienta. Zkrátka tak v třetině případů nepotřebuje používat zpětný tunel kanál (odesílá data ven pod svoji domácí IP adresou přímo a projdou skrz cizí síť, kam ta adresa nepatří). Jo, je pár konfigurací, kde to filtrovat je problém, ale většina koncových ISPpíků to odfiltrovat může snadno a dělá.

Tenhle útok není postaven na odesílání pod falešnou IP, pokud je toho hodně a chodí to i pravých IP, tak odfiltrovat, pokud je to distribuováno mezi tisíce počítačů po různých sítí, je celkem problém netriviálně řešitelný (vyjma velkých CDN to skoro nikdo neřeší). A třeba je to celé náborová akce pod křídla firem nabízejících "to jediné správné řešení". :-)

aliney

tyjo tak to me netrklo, ono je to vlastne cele REKLAMA :-D

dobry tah

dalibortoman

mno tak jistě ale kdo to dělá?

na BGP routerech si hlidam, co poustim ven (jen svoje rozsahy) a co poustim k sobe (rozhodne ne packety s IP mych rozsahu jako src). Pokud tohle udela kazdy ISP, pak je IP spoofing k nicemu - vzdy by slo rict od ktereho AS to leze. Pripoustim u vetsich operatoru, kteri maji spoustu zakazniku s vlastnim AS je to problem - ale zase ti jejich zakaznici si to mohou pohlidat take.

No a filtrace IP na koncovych zarizenich (maji-li verejne IP) pred zakaznikem by mela byt take samozrejmost.

radek1

V případě detekovaného DDOS, nebylo by řešením dočasně povolit přístup do sítě jen IP adresám z ČR?

darklogic

V případě detekovaného DDOS, nebylo by řešením dočasně povolit přístup do sítě jen IP adresám z ČR?

V případě zaškrcení hlavní vlny asi jo, ostatně to tak prý někteří udělali. Ale je potřeba myslet na to, že jsou případy, kdy i český zákazník má rozsah, který je lokačně evidován v jiné zemi. Typickým příkladem jsou třeba satelitní internetové přípojky.

pcwifi

opravte me mylim li se, ale dnes to vidim na utok na tmobile a O2 web : VDF zatim jede... na tm se ani nedopingnu...

telleke

nj je to tak : A že si vybírají opravdu jenom významné weby...

« Předchozí stránka Další stránka »