Comments 83
Не нетбота, а ботнета :)
ИМХО, сначала надо создавать правовую базу. Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.
ИМХО, сначала надо создавать правовую базу. Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.
0
Ошибку исправил, спасибо.
> Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.
> Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.
0
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.
Хотелось бы более развернутый комментарий на тему дампа (сохранения) всего трафика (кто, на Ваш взгляд этим действительно занимается). Интернет провайдерам в РФ такая деятельность запрещена Законом о связи, однако каждый интернет-провайдер (в РФ) обязан обеспечить поддрежку СОРМ (проще говоря, возможность наблюдения за трафиком в реальном времени).
0
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.Бред. Ёмкостей не хватит всё сохранять. Пару дней или неделю могут хранить и всё, но дальше — только выжимки ибо за год через Сеть проходит гораздо больше информации, чем может поместиться на всех существующих в мире винтах…
0
Вообще проблема многогранна, тут и правовое обеспечение, и железо с ПО способное фильтровать такой траффик на преемлемой для провайдера скорости… Есть 3 направления: 1) на стороне сервера(забота хостера) 2) на стороне телекома (транспортная сеть) 3) на стороне зараженного клиента (вариант, когда антивирусное ПО устанавливается вместе с ОС и постоянно обновляется, более умный и защищенный брэндмауэр в ОС...)
+2
UFO just landed and posted this here
ээ, хабрачитель — это хабрачитатель или хабражитель? ;)
0
китайцы просто сидят в интернете, но их много за 1 IP, а их считают флудерами...=)))
+6
Ересь все это. На трубах в 10 гб что то откидывать фильтровать просто не реально так что создать один большой фильтрационный центр не возможно. На более тонких клиентских линках установить множество центров очистки тоже не рентабельно — нужно содержать штат сравнимый со штатом всех остальных подразделений. Вопщем дело спасения утопающих… либо фильтруйтесь сами, либо платите проффи за защиту?
0
UFO just landed and posted this here
Всё гораздо проще: надо отключить китайцам интернет!
-4
нет, их просто надо пересадить с XP SP1, чтобы они не были центром ботнетов.
+3
ЭЭЭ центры управления ботнетом восновном базируются на серверах с юникс — образными системами. на ХР живут боты а не их центры управления. Если пересадить китайцев на линукс ботов напишут и под линукс, но только эти боты станут еще злее — например научатся син спуф.
-5
непонятно что я тут такого сказал что вызывает гнев и не одобрение =)
0
//«центр ботнета» — я имел ввиду основную массу зомби-машин.
все верно, только ЦУ в ддос бизе — вещь переменная, и может стоять не только в Китае.
имхо, «проще» устранять именно возможность заражения машины, или хотябы свести её к минимуму, а то часть китайских машин до сих пор можно пробить lsass експлоитом =/
все верно, только ЦУ в ддос бизе — вещь переменная, и может стоять не только в Китае.
имхо, «проще» устранять именно возможность заражения машины, или хотябы свести её к минимуму, а то часть китайских машин до сих пор можно пробить lsass експлоитом =/
0
А боты и так есть под линукс. Мало их потому, что не принято там сидеть под рутом и тем более запускать что попало.
0
Подумать только, несколько китайцев-то топик читают!
Поднажмите, ребята, минисуйте активнее, Поднебесная в опасности.
Поднажмите, ребята, минисуйте активнее, Поднебесная в опасности.
-2
мелкие провайдеры(в городах до 1 миллиона человек) часто склонны к лени, цены понижать не хотят (пока кто-то другой это не сделает), клиентов новых подключают медленно и еще куча бреда.
0
Так везде. Просто в мелких городах это более заметно, т.к. конкуренция или отсутствует вовсе или вопрос о «неснижении цен» решается совместно «всеми двумя» провайдерами где-нибудь в сауне в промежутке между парилкой и девочками. Им, несколько, не до китайцев с их ботнетами. ):
0
Та нет, как можно сравнить местного провайдера и Укртелеком. Какие там сауны, их даже к секретарю не пустят :). Благо пользователя в данном случае спасает конкуренция и попытка задавить конкурентов :).
0
Вы где в маленьких городах конкуренцию видели? Я не видел.
Это вокруг Москвы по 5 провайдеров на квадратный километр, а чуть дальше отъехать — есть в городе 2 провайдера — владельцы вместе бухают каждую субботу, нет никакой конкуренции.
Это вокруг Москвы по 5 провайдеров на квадратный километр, а чуть дальше отъехать — есть в городе 2 провайдера — владельцы вместе бухают каждую субботу, нет никакой конкуренции.
0
Китайцев вообще отключить надо!
-1
ну ironPort защиты от спама и вирусного траффика ставят и он неплохо справляется — тоже самое можно ставить для ддос — вот только вопрос захочет ли кто-то вкладывать в этом деньги
0
Рассуждения прекрасны, но проблема от этого не решается сама собой. Хотелось бы о средствах фильтрации. О практической части, так сказать.
Отбивался от такой заразы. И основной траффик валил из рунета.
Отбивался от такой заразы. И основной траффик валил из рунета.
+2
Я пишу большую статью где собираю и очень подробно описываю все известные мне и самое главное опробованные методы борьбы с атаками. Думаю осилю к концу следующей недели.
+3
Буду весьма признателен.
Интересно посмотреть на решения.
Интересно посмотреть на решения.
0
а у вас чего линукс или бсд на сервере?
0
Linux Ubuntu.
Писал скрипт на руби, который парсил логи и отстреливал через ip route add blackhole _ip_, потому как iptables реагировал на правила ох как не сразу, и посему правил набивалось по 100-200 для каждого IP. От чего iptables чувствовал себя еще хуже. Роутами же блочится наура.
И все было бы хорошо — но скрипт использовал sqlite3 и ел процессор из-за этого. Буду в скором будущем переделывать на TokyoCabinet, там вроде бы не должно быть загвоздок с производительностью.
Мои скромные потуги можно лицезреть на
github.com/daemon/bananoid/tree/master
Писал скрипт на руби, который парсил логи и отстреливал через ip route add blackhole _ip_, потому как iptables реагировал на правила ох как не сразу, и посему правил набивалось по 100-200 для каждого IP. От чего iptables чувствовал себя еще хуже. Роутами же блочится наура.
И все было бы хорошо — но скрипт использовал sqlite3 и ел процессор из-за этого. Буду в скором будущем переделывать на TokyoCabinet, там вроде бы не должно быть загвоздок с производительностью.
Мои скромные потуги можно лицезреть на
github.com/daemon/bananoid/tree/master
0
Под Ubuntu у меня ничего нет… У меня везде стоит FreeBSD, вот под нее есть очень эффективный скрипт на perl. Заточен именно под отражение http-флуда.
0
ты вот это пробовал? www.opennet.ru/base/net/pf_faq.txt.html
0
Это будут примеры под конкретный случай атак. В большинстве случаев разработка (если это скрипт) используется лишь однажды, в случае новой атаки приходится адаптироваться под новые условия. С «железными» помошниками немного попроще в этом плане.
0
Атака как раз та что описана — куча валидных запросов. Synflood тоже имел место, но с ним уже боролись роутеры и ядро.
А вот приложение убивали (
А вот приложение убивали (
0
Есть готовые инструменты для фильтрации например пф-фильтр для бсд — систем и они достаточно универсальны, в случае использования линукса и его встроенного фаервола и надстроек к ниму тоже можно добиться универсальности используя статистические методы выявления ботов
0
> Работая в довольно крупной телекоммуникационной компании, я понял, что ведь интернет- провайдеру особого труда не составит настроить свое оборудование на фильтрацию трафика.
А при чем тут настройка? Настроить можно, но что делать с резко возрастающей нагрузкой на операторское оборудование?
> Предупреждаем массовые атаки как таковые
Простите, а почему вы думаете, что этого не происходит прямо сейчас и именно в этот момент? Любой провайдер, заметивший паразитный трафик идущий от его клиента, как–минимум сделает тому предупреждение.
> если продуманную систему фильтрации ввести хотя бы у основных магистральных провайдеров
Давайте на минуточку представим магистрального оператора, у которого, например, общая ёмкость внешних каналов составляет около 30Gbps. Каждый пакетик, что проходит по ним нужно просмотреть. Держать дорогущее оборудование, которое будет простаивать в лучшем случае 80% времени? Вы такие тарифы оплачивать не захотите.
А при чем тут настройка? Настроить можно, но что делать с резко возрастающей нагрузкой на операторское оборудование?
> Предупреждаем массовые атаки как таковые
Простите, а почему вы думаете, что этого не происходит прямо сейчас и именно в этот момент? Любой провайдер, заметивший паразитный трафик идущий от его клиента, как–минимум сделает тому предупреждение.
> если продуманную систему фильтрации ввести хотя бы у основных магистральных провайдеров
Давайте на минуточку представим магистрального оператора, у которого, например, общая ёмкость внешних каналов составляет около 30Gbps. Каждый пакетик, что проходит по ним нужно просмотреть. Держать дорогущее оборудование, которое будет простаивать в лучшем случае 80% времени? Вы такие тарифы оплачивать не захотите.
+2
Денис, вот Ты пишешь по поводу магистральных провайдеров, возникает по моему очень правильный вопрос, нужно ли им это? Ведь анализ любого трафика, а тем более «отсеивание» не желательного — это ресурсы, ресурсы — это деньги, а деньги это прибыль, поэтому думаю что провайдерам как раз этот вопрос не интересен, если конечно речь не идёт об атаке на самого провайдера.
0
как человек с магистрали скажу однозначно — это не та тема куда руководство выделит деньги
0
Тимофей, то что им это не нужно сейчас — факт, но если их обязуют это сделать на законодательном уровне, то они будут вынуждены это сделать. Статистика говорит о том, что количество, мощность DDoS — атак с каждым годом возрастает чуть ли не в разы, так что лет через несколько мы придем к тому, как я думаю, что придется фильтровать весь трафик. Опять же это мое мнение, я не навязываю его всем.
0
Нельзя обязывать на законодательном уровне вкладывать в оборудование миллионы долларов. В результате канальные операторы поднимут цены и это вызовет замедление роста информатизации общества и недовольство у конечных пользователей.
0
А как же системы определенного назначения которые мы обязаны ставить по закону, делать линки до органов за свой счет? В маштабах крупного провайдера это тоже немалые средства. И тут и там — безопасность!
0
а ты сравнивал цены на это оборудование? СОРМ стоит копейки по сравнению с анализаторами фильтрами для 10 гб каналов. Плюс это оборудование никто никогда не испытывал и его просто нет в России. И цели сорм нельзя сравнивать с твоими предложениями.
0
Да, оно дорогое, бесспорно! Но разве информационная безопасность не стоит таких денег? Я не говорю что ради моего сайта с невысокой посещаемостью надо покупать это оборудование, речь немного о другом — разве у нас так мало интернет-проектов государственной важности? У нас выборы в онлайне уже тестируют, это ли не есть безопасность государства? Или поставим перед этими серверами по циске и все? А Вашу же магистраль забьют под потолок и толку от этих цисок?
-1
Не забывайте, что роль отдельно взятой машины при DDOS незначительная. Может быть один запрос в секунду, а может и в минуту. Когда таких маших сотни (тысячи?) — появляется нагрузка и сервера не выдерживают. И как скажите оборудование провайдера может определить, что именно этот запрос — атака? Посмотрите на число запросов при открытии обычного Invision PowerBoard, там одних gif'ов больше сотни. Сто запросов подряд — это атака?
Я даже больше скажу, стоял у меня сервер на collocation у masterhost, который часто атаковали. Несколько дней подряд шел UDP-flood с одного IP адреса, но настолько мощный, что за пару часов атаки мой баланс уходил на 100$ в минус (сбивалось соотношение 1 к 4). Так вот думаете masterhost заблокировал этот IP? Нет, потому что у них нет такой услуги. Писал и в abuse провайдера с IP которого шла атака — бесполезно. И знаете что пришлось сделать? Направить такой же UDP-flood в ответ. В итоге, к концу месяца непрерывного сливания трафика получилось выравнять соотношение входящего к исходящему (сбитого всего за несколько дней). И masterhost опять же не обратил на это никакого внимания. А тут ведь речь идет о data центре, а не об обычном домашнем провайдере.
Я даже больше скажу, стоял у меня сервер на collocation у masterhost, который часто атаковали. Несколько дней подряд шел UDP-flood с одного IP адреса, но настолько мощный, что за пару часов атаки мой баланс уходил на 100$ в минус (сбивалось соотношение 1 к 4). Так вот думаете masterhost заблокировал этот IP? Нет, потому что у них нет такой услуги. Писал и в abuse провайдера с IP которого шла атака — бесполезно. И знаете что пришлось сделать? Направить такой же UDP-flood в ответ. В итоге, к концу месяца непрерывного сливания трафика получилось выравнять соотношение входящего к исходящему (сбитого всего за несколько дней). И masterhost опять же не обратил на это никакого внимания. А тут ведь речь идет о data центре, а не об обычном домашнем провайдере.
+1
Я с Вами полностью согласен, но опять же все что мной написано — это личные наблюдения. Не далее как 5 дней шла очень сильная атака с Китая. Сеть компьютеров одного провайдера с маской /24. Это-то можно отследить. Да, если из сети провайдера досит 1-5 компов — это не возможно проследить… но когда 200-500 компов… тут уже все на лицо.
0
Все не совсем так. Выделить паразитный трафик можно. Для этого используются анализаторы статистики (netflow). Другое дело что провайдеры этим не занимаются для выявления ДДоС.
0
Мы занимаемся. Весь трафик по каждой базе, по каждому сектору базовой станции мониторится круглосуточно, и случаи DDоS и спам — атак выявленных только у нас в городе через наши каналы далеко не единичны. И это при том, что на магистралях безлимы — купленные трубы.
0
Значит вы прогрессивны, но к сожалению это не общеупотребимая практика
0
а можно мы к вам обращаться будем для отлова ботов?
0
Хм… интересно как ты себе это представляешь? Завернуть магистральный трафик на нас? Как же его тогда тарифицировать :)
0
нет не так, если мы увидим атакующий траффик из вашего города, можем мы просить вас записать дамп бота?
0
А не является ли этот ваш будущий труд велосипедоизобретательством? Ведь есть уже серьезные организации www.webappsec.org, да и русскоязычные также есть.
Известные вам будете описывать? Это будет узко и, соответственно, не интересно.
Известные вам будете описывать? Это будет узко и, соответственно, не интересно.
-2
ну если оренлаб выложит конкретные скрипты это будет полезно для определенных слоев читателей
0
а мне кажется будет полезнее в этой теме сделать хорошую подборку с ссылками на авторитетные источники рекомендаций в последовательности на тему типа «Как надо делать правильно и как не надо делать чего», потому как эта область очень профессиональная и компиляции непрофессионалов, конечно может и помогут кому… чем-то, но не дадут знаний. А вот знания-то в таких сферах важнее, чем конкретный скрипт. Конкретный скрипт уводит в сторону, типа взял-вставил-забыл. «Определенным слоям» все-таки полезнее знания, чем шпаргалки-выручалки.
0
Ну важность практического опыта нельзя недооценивать. Как нельзя переоценивать важность «авторитетных источников».
Вопервых «авторитетные источники» в большинстве своем буржуи, а русская ддос действительность куда более суровая чем западная. Те войны, которые ведуться в рунете еще не скоро осчастливят мировые просторы. Например в юго — восточной азии очень актуальна проблема irc-ботнетов. У нас я их уже года 3 не видел в серьезных атаках.
Вовторых только кажется, что авторитеты хорошо все документируют. Мы ставили центр очистки на pf и столкнулись с рядом проблем которые не лежат на поверхности. Перерыли Интернет и все что мы нашли за бугром это аналагичные нашим вопросы на форумах оставленные без ответа. В конечном счете все решили но только сами поплясав с бубнами в течении суток.
Мне кажется баланс между источниками и опытом будет самое то.
Вопервых «авторитетные источники» в большинстве своем буржуи, а русская ддос действительность куда более суровая чем западная. Те войны, которые ведуться в рунете еще не скоро осчастливят мировые просторы. Например в юго — восточной азии очень актуальна проблема irc-ботнетов. У нас я их уже года 3 не видел в серьезных атаках.
Вовторых только кажется, что авторитеты хорошо все документируют. Мы ставили центр очистки на pf и столкнулись с рядом проблем которые не лежат на поверхности. Перерыли Интернет и все что мы нашли за бугром это аналагичные нашим вопросы на форумах оставленные без ответа. В конечном счете все решили но только сами поплясав с бубнами в течении суток.
Мне кажется баланс между источниками и опытом будет самое то.
0
Согласен. Баланс — он и в Африке баланс.
Короче, я первоначально хотел сказать, что рассказ «о моей личной точке зрения на очень специальную и профессиональную проблему (ы)» не интересен в самой постановке задачи написания таких рассказов. Скорее это должно быть либо писано профессионалом, либо иметь некую другую форму написания об этом, но не просто рассказ «ах, какой я умный!» :-)
Другими словами, любая литература интересна, роме… неинтересной.
Короче, я первоначально хотел сказать, что рассказ «о моей личной точке зрения на очень специальную и профессиональную проблему (ы)» не интересен в самой постановке задачи написания таких рассказов. Скорее это должно быть либо писано профессионалом, либо иметь некую другую форму написания об этом, но не просто рассказ «ах, какой я умный!» :-)
Другими словами, любая литература интересна, роме… неинтересной.
0
Мой труд будет носить информационно- аналитический характер, и я надеюсь что он поможет начинающим, да и не только специалистам понять структуру атак, методологию борьбы с ними. Все это я приправлю реальными примерами атак и возможными способами защиты от них, как на программном уровне, так и с использованием аппаратных фаерволов.
Поймите Вы одно, что практически нет 2-х одинаковых атак, если говорить о серьезных атаках, поэтому дать конкретные скрипты и конфиги фаерволов на все случаи жизни просто не возможно. Практически под каждую атаку я вынужден разрабатывать новое решение. Но основой для меня стали не буржуйские сайты, а именно та информация, которую я почерпнул из собственного опыта. Этим опытом, как возможно источником базовых знаний, я и хочу поделиться.
Поймите Вы одно, что практически нет 2-х одинаковых атак, если говорить о серьезных атаках, поэтому дать конкретные скрипты и конфиги фаерволов на все случаи жизни просто не возможно. Практически под каждую атаку я вынужден разрабатывать новое решение. Но основой для меня стали не буржуйские сайты, а именно та информация, которую я почерпнул из собственного опыта. Этим опытом, как возможно источником базовых знаний, я и хочу поделиться.
0
Предложенный Вами метод уже активно используется. Реализация: stopddos.ru
Автор доступен на форуме Нага: forum.nag.ru/forum/index.php?showtopic=42554
Автор доступен на форуме Нага: forum.nag.ru/forum/index.php?showtopic=42554
0
Sign up to leave a comment.
DDoS — мысли вслух…