Comments 135
>обязательная рекламная ссылка
Восхитительно! Так легко и непринуждённо показать нелепость требований об «обязательности» вставки ссылки к месту и не к месту.
Это талант.
:)
Восхитительно! Так легко и непринуждённо показать нелепость требований об «обязательности» вставки ссылки к месту и не к месту.
Это талант.
:)
Мне кажется, что в настоящее время, успехом бы пользовалась частная контора, занимающаяся расследованием киберпреступлений. Отражать атаки наверное интересно, но виновников найти — не менее увлекательная задача.
как-то отвечал на этот вопрос на лепре:
вот представьте себе гипотетическую схему организации атаки
1) человек приходит с ноутом к кафе, цепляется к местному вайфаю
2) подключается к китайской проксе, в случае паранойи к нескольким
3) подключается к управляющим центру (ам) ботнета и отдает команду
4) уходит из кафе
действия защищающей стороны:
1) 100500 ботов атакует, система их фильтрует
2) видим живые IP адреса ботнета
— FAIL в случае spoof флуда на сетевом уровне
3) изымаем зараженную машинку, дезассемблируем тело бота, взламываем протокол взаимодействия с центром
— FAIL в случае ботнета без четких управляющих центров (P2P)
4) изымаем центр ботнета, смотрим лог, устанавливаем IP с которого отдана команда на начало атаки
5) разворачиваем список прокси–серверов
6) получаем адрес кафе, едем туда, снимаем данные видео наблюдения, и, КОНЕЧНО, видим номер машины, которая приехала–уехала во время отправки команды на начало атаки
причем 1)–5) за 12 часов — время хранения информации на прокси серверах
для решения поставленной задачи необходимо:
* немеренный административный ресурс
* мана, очень много маны:
вероятность успеха считайте сами ;)
вот представьте себе гипотетическую схему организации атаки
1) человек приходит с ноутом к кафе, цепляется к местному вайфаю
2) подключается к китайской проксе, в случае паранойи к нескольким
3) подключается к управляющим центру (ам) ботнета и отдает команду
4) уходит из кафе
действия защищающей стороны:
1) 100500 ботов атакует, система их фильтрует
2) видим живые IP адреса ботнета
— FAIL в случае spoof флуда на сетевом уровне
3) изымаем зараженную машинку, дезассемблируем тело бота, взламываем протокол взаимодействия с центром
— FAIL в случае ботнета без четких управляющих центров (P2P)
4) изымаем центр ботнета, смотрим лог, устанавливаем IP с которого отдана команда на начало атаки
5) разворачиваем список прокси–серверов
6) получаем адрес кафе, едем туда, снимаем данные видео наблюдения, и, КОНЕЧНО, видим номер машины, которая приехала–уехала во время отправки команды на начало атаки
причем 1)–5) за 12 часов — время хранения информации на прокси серверах
для решения поставленной задачи необходимо:
* немеренный административный ресурс
* мана, очень много маны:
вероятность успеха считайте сами ;)
Тем не менее порой грабители свои паспорта на месте преступлений оставляют =)
Мы даже однажды таких злоумышленников «задержали» (см.). Но это везение, бизнес на этом не построишь.
Group-IB занимается оперативной работой, вроде бы даже результативно (сам не видел), но стоимость у них ой-ёй-ёй.
Group-IB занимается оперативной работой, вроде бы даже результативно (сам не видел), но стоимость у них ой-ёй-ёй.
Это люди из Сколково? На сайте много слов, но ничего конкретного. Даже диапазона цен нет.
На эту услугу не может быть прейскуранта, так как условия и обстоятельства, от которых напрямую зависит успех расследования, в каждом случае разные.
Я повторюсь: я сам скептически отношусь к стремлению расследовать каждую DDoS-атаку на свой ресурс (с учётом требуемых для этого ресурсов), но тредстартер спросил — я ответил.
Я повторюсь: я сам скептически отношусь к стремлению расследовать каждую DDoS-атаку на свой ресурс (с учётом требуемых для этого ресурсов), но тредстартер спросил — я ответил.
UFO just landed and posted this here
Такие задачи решаются не айтишными методами.
А если это не кафе, а компьютерный клуб в полуподвальном помещение в котором не то что камер, даже норм компов нет и через час уже не кто не вспомнит что кто то приходил.
Найти тогда практически не реально.
Найти тогда практически не реально.
Надо «злоумышленнику» оставаться в кафе. А как тогда искать? :)
Открытых Wifi точек по городу как бродячих кошек. И даже без них это не проблема, у меня во дворе видно восемь WiFi точек, шесть из них поддерживают WPS. Думаю можно не продолжать.
Вы все допускаете одну и ту же общую ошибку, думая, что искать вас будут «по айпи» и прочими техногиковскими методами. Впрочем, со стороны Group-IB есть заинтересованность не развеивать это заблуждение ;)
Может назовете хоть один достоверный не «техногиковский» способ идентификации исполнителя DDoS или заказчика? Без напускания тумана вроде «у нас длинные руки» или «у нас есть такие методы о которых вы даже не догадываетесь, но мы вам не скажем».
Нет, конечно! ;D
Может по MACу? Вычислить думаю не очень то и сложно. При сотрудничестве с крупными провайдерами отследить откуда подключались с одинаковым MAC тоже займет не много времени.
причем 1)–5) за 12 часов — время хранения информации на прокси серверах
Ну что за глупости? Вы можете наверняка сказать, какой прокси вообще имеет логи и сколько их хранит?
«Развернуть» список прокси серверов (естественно, рассматривать transparent HTTP proxy, палящие исходный IP-адрес в заголовках ответа, совершенно бессмысленно), имхо, доступно только лишь правоохранительным органам или при активном содействии соответствующих подсетей (что крайне маловероятно).
Так именно потому задача и увлекательна. Когда появились первые детективные агенства тоже никто не знал про отпечатки пальцев и типы пишущих машинок.
Заказчиков искать — опасно для жизни, исполнителей — зачем?
QRator нашел свою нишу: предотвращает падение защищаемых ресурсов, зарабатывает деньги.
PS: «обязательна рекламная ссылка» действительно выглядит как насмешка.
QRator нашел свою нишу: предотвращает падение защищаемых ресурсов, зарабатывает деньги.
PS: «обязательна рекламная ссылка» действительно выглядит как насмешка.
Кроме простейших случаев, заговоров упячки. (Или аццкого Мавродия :-)
Эта задача не разрешима. DDoS не организуют, его заказывают, причём не на прямую.
Тот кому заказали, покупает услуги запуска скриптов на разных ботнетах. Или заказывает DDoS от ботнета.
В общем, дело тёмное, а у вас есть лишь айпишники ни в чём не повинных людей.
Я расследовал такие случаи, точнее не расследовал, а просто отбивал охоту DDoSисть.
Ловушки собирали нечисть, её трафик анализировался, управляющие сервера банились хостерами, а так как это носило массовый характер, «бизнесменам» это не нравилось они взвинчивали цены, отказывались брать заказ на конкретный ресурс :-) Но технологии не стоят на месте, и так отбиться можно только от желторотых кулхацкеров скачавших олдовый зевс и иже с ним.
Эта задача не разрешима. DDoS не организуют, его заказывают, причём не на прямую.
Тот кому заказали, покупает услуги запуска скриптов на разных ботнетах. Или заказывает DDoS от ботнета.
В общем, дело тёмное, а у вас есть лишь айпишники ни в чём не повинных людей.
Я расследовал такие случаи, точнее не расследовал, а просто отбивал охоту DDoSисть.
Ловушки собирали нечисть, её трафик анализировался, управляющие сервера банились хостерами, а так как это носило массовый характер, «бизнесменам» это не нравилось они взвинчивали цены, отказывались брать заказ на конкретный ресурс :-) Но технологии не стоят на месте, и так отбиться можно только от желторотых кулхацкеров скачавших олдовый зевс и иже с ним.
любая задача разрешима, это вопрос ресурсов (денег, связей и времени). Если что-бы-то-ни-было покупалось по цепочке — ничто не мешает пройти по этой цепочке обратно. Но это должен делать опытный специалист. Почему то я уверен, что такие специалисты есть, но им нет необходимости писать сообщения на хабре.
Только при наличии двусторонней связи между каждыми звеньями цепочки. Если заказчик сам выходит на исполнителя и общение происходит только по его инициативе, а канал связи не отслеживаем — никакие деньги и ресурсы не помогут.
Ну, да конечно, Дядя Стёпа — Милиционер! Всё видит, всех посадит :-)
Ваши представления о практических возможностях проведения следственных действий более чем наивны как и вера в бабло всемогущее.
Интернет это всего лишь набор технологий, вполне доступных для осознания, как игра в крестики-нолики где победитель предопределён, если конечно не будет тупить.
Ваши представления о практических возможностях проведения следственных действий более чем наивны как и вера в бабло всемогущее.
Интернет это всего лишь набор технологий, вполне доступных для осознания, как игра в крестики-нолики где победитель предопределён, если конечно не будет тупить.
А можно поподробнее про метод отбивания охоты DDoSить? Насколько я понял, вы видите айпишники ботов, которые вас атакуют. Потом каким-то образом вы добираетесь до некоторых из них и собираете весь их трафик. Часть этого трафика просто обязана содержать управляющие команды из центра ботнета, и таким образом можно узнать айпишник этого центра. После чего написать хостеру, все подробно объяснить и попросить заблокировать сервак с этим айпишником. Но как добраться до ботов и перехватить весь их трафик?
Вот эти ребята: www.group-ib.ru. И не только они, правда, цены таких услуг велики, а сами услуги затратны и сложны.
Интересно, как поведет себя сайт во время рабочей нагрузки во время выборов, когда посещаемость будет спровоцирована интересом самих голосующих, а если в это время запустят новую атаку?
Для неспециалиста объясните, пожалуйста, насколько профессиональный является группа атакующих и приблизительный бюджет этой атаки. Можно ли говорить, что навалилось целое государство как рисуют некоторые? Или тут больше собственных ошибок?
Будите смеяться, но там в основном Америка-Европа, хотя злоумышленник может приплатить и россиян, дабы не быть тупо зарезанным по диапазону.
Ошибки проектирования в приложении (или некомпетентность программистов) там присутствовали.
Бюджет на написание JS LOIC, размещённого на Народе… кхм, нулевой там бюджет. Домен у uCoz и армянское доменное имя тоже стоят недорого. Ботнет уже подороже, к тому же надо найти организатора. Навскидку расценки тут от 300 до 800 у. е./день (но я могу жестоко ошибаться).
Если даже у злоумышленников и были какие-то серьёзные ресурсы, они предпочли их не «светить». При нынешней дешевизне DDoS-атак сделать это довольно просто.
В целом, строя публичные сервисы на платформе от Microsoft, полезно учитывать, что Microsoft крайне активно использует термин Advanced persistent threat. Соответственно, если у вас есть этот самый APT, его нельзя недооценивать.
Если даже у злоумышленников и были какие-то серьёзные ресурсы, они предпочли их не «светить». При нынешней дешевизне DDoS-атак сделать это довольно просто.
В целом, строя публичные сервисы на платформе от Microsoft, полезно учитывать, что Microsoft крайне активно использует термин Advanced persistent threat. Соответственно, если у вас есть этот самый APT, его нельзя недооценивать.
Для неспециалиста — пожалуйста!
И атакующие собрали все на коленке и защитники не специалисты а майкософтовские дрочеры.
У этих чудиков упала база. Простите, но написать свою говносистему так, чтобы она падала от каких-то 4 тысяч запросов в секунду? используя вот это habrahabr.ru/post/155225/ и правильную архитектуру системы можно вообще было повесить ее на одной виртуалке.
Вечерем в понедельник смотрел на дожде шоу, где все это обсуждали. Нормальный и адекватный был ответ человека из LJ — он просто посмеялся над такими спецами.
И атакующие собрали все на коленке и защитники не специалисты а майкософтовские дрочеры.
У этих чудиков упала база. Простите, но написать свою говносистему так, чтобы она падала от каких-то 4 тысяч запросов в секунду? используя вот это habrahabr.ru/post/155225/ и правильную архитектуру системы можно вообще было повесить ее на одной виртуалке.
Вечерем в понедельник смотрел на дожде шоу, где все это обсуждали. Нормальный и адекватный был ответ человека из LJ — он просто посмеялся над такими спецами.
Даже при благоприятном стечении обстоятельств вам грозит многозначный счёт за ресурсы, израсходованные облаком на полноценную обработку паразитного трафика.
Ходил как-то на двухдневные курсы по Azure, на котором рассказывали, что за DDoS не взимается плата, если докажешь факт атаки, а не просто внезапного прироста посещаемости. Насколько это сложно сделать, конечно, другой вопрос.
Ботнет на 150 тыс хостов — не хило!
Но чего атака такая слабая получилась?
Размер SYN пакета это примерно 70 байт. При скорости 1 SYN на хост в секунду (пишут про пик в 150 тыс пакетов/сек) имеем общую емкость атакующего трафика всего в 80 Мбит/сек.
По-моему при таком большом ботнете проще атаковать на полосу. При аплоаде в среднем 1 Мбит/сек на хост можно получить 150 Гбит/сек трафика. По-моему никакой фильтр такие объемы не вытащит.
Но чего атака такая слабая получилась?
Размер SYN пакета это примерно 70 байт. При скорости 1 SYN на хост в секунду (пишут про пик в 150 тыс пакетов/сек) имеем общую емкость атакующего трафика всего в 80 Мбит/сек.
По-моему при таком большом ботнете проще атаковать на полосу. При аплоаде в среднем 1 Мбит/сек на хост можно получить 150 Гбит/сек трафика. По-моему никакой фильтр такие объемы не вытащит.
А чем вы (какой железкой) будете обрабатывать такой PPS?
Поясню предыдущего комментатора.
Вот, например, в описываемой атаке участвовало 23 тыс. IP-адресов из Пакистана. Большой вопрос, кого первого сложит SYN-флуд в 23 гигабита с пакистанских IP-адресов, но есть основания полагать, что из Пакистана этот трафик никуда не уйдёт.
Вот, например, в описываемой атаке участвовало 23 тыс. IP-адресов из Пакистана. Большой вопрос, кого первого сложит SYN-флуд в 23 гигабита с пакистанских IP-адресов, но есть основания полагать, что из Пакистана этот трафик никуда не уйдёт.
А можете дать реальный расклад по странам этих 150 тыс ботов?
Очевидно же, что 1/6 из Пакистана — это преувеличение. =)
Мне просто интересно стало. Ведь ботов много, они расположены в разных странах, у разных провайдеров. По-моему можно просчитать атаку так, что существенная часть трафика дойдет до атакуемого хоста.
Вообще, насколько распространены именно атаки на полосу, самые тупые, но большие по объему?
Мне казалось, что это и есть самое простое и эффективное оружие чтобы убить отдельный сайт или даже целого хостера. А то, что страдают провайдеры и их клиенты по всей цепочке трафика, так атакующему это наверное неважно.
Очевидно же, что 1/6 из Пакистана — это преувеличение. =)
Мне просто интересно стало. Ведь ботов много, они расположены в разных странах, у разных провайдеров. По-моему можно просчитать атаку так, что существенная часть трафика дойдет до атакуемого хоста.
Вообще, насколько распространены именно атаки на полосу, самые тупые, но большие по объему?
Мне казалось, что это и есть самое простое и эффективное оружие чтобы убить отдельный сайт или даже целого хостера. А то, что страдают провайдеры и их клиенты по всей цепочке трафика, так атакующему это наверное неважно.
Нет, представьте себе, это не преувеличение. Там даже больше, чем 23 тысячи.
Для отбивания «тупых» атак сетевого и транспортного уровня человечество уже много чего придумало, от SYN cookies и до специализированного железа. Атаки же прикладного уровня для каждого ресурса свои, поэтому общий инструмент для отражения придумать сложно. Отсюда и повышенная эффективность.
Для отбивания «тупых» атак сетевого и транспортного уровня человечество уже много чего придумало, от SYN cookies и до специализированного железа. Атаки же прикладного уровня для каждого ресурса свои, поэтому общий инструмент для отражения придумать сложно. Отсюда и повышенная эффективность.
Последний график — на фоне цветная гистограма. Каждый столбик — страна. Так ведь? Получаются Пакистан и Египет в лидерах.
Пакистан, Иран, Палестина и прочие ближневосточники действительно «поставляют» непропорционально много ботов. В недавнем ддосе Флибусты они тоже лидировали. Как это соотносится с тамошним огораживанием интернета — черт знает.
Если смотреть по спаму (собираю стату с одного smtp-сервачка), то расклад по первой двадцатке примерно такой в порядке убывания
Vietnam
India
Korea, Republic of
Russian Federation
Pakistan
China
Kazakhstan
Iran, Islamic Republic
Poland
Sri Lanka
Chile
Indonesia
Singapore
Israel
Saudi Arabia
Jamaica
Tunisia
Philippines
Turkey
Vietnam
India
Korea, Republic of
Russian Federation
Pakistan
China
Kazakhstan
Iran, Islamic Republic
Poland
Sri Lanka
Chile
Indonesia
Singapore
Israel
Saudi Arabia
Jamaica
Tunisia
Philippines
Turkey
Читал хроники в эти выходные и чуть не разбил себе лицо фейспалмами, ибо:
1) Наличие единой точки отказа в виде сервиса в azure (и какой толк тогда от декларируемой распределенности?)
2) Доступность его снаружи всем желающим
3) Сейчас ещё выясняется, что он не был за qrator
4) Попытка бороться с однотипными запросами капчей (double facepalm). Поставили бы что-нибудь вроде nginx с ngx_http_limit_req_module, и проблема бы ушла совсем (да, я понимаю, что там винда, но не думаю, что под неё нет аналогов)
1) Наличие единой точки отказа в виде сервиса в azure (и какой толк тогда от декларируемой распределенности?)
2) Доступность его снаружи всем желающим
3) Сейчас ещё выясняется, что он не был за qrator
4) Попытка бороться с однотипными запросами капчей (double facepalm). Поставили бы что-нибудь вроде nginx с ngx_http_limit_req_module, и проблема бы ушла совсем (да, я понимаю, что там винда, но не думаю, что под неё нет аналогов)
У nginx есть модуль для капчи, который в случае решения капчи добавляет хост в доверенные. Если слишком много запросов без куки — блеклист (как и пользователей с выключенными куками). Чем плохо такое решение? Я правда не знаю что за капчу там они использовали, но вроде идея неплохая.
Вышеназванный модуль nginx снизит нагрузку на порядки, хотя это даже не блеклист. Он уже написан и ставится вместе с nginx, настраивается двумя строчками конфига. Этим это решение и хорошо. Пока нагрузка снижена и сервис работает, можно пытаться изобразить уже что-то посерьезнее.
Как мы сами выяснили год назад, это решение плохо тем, что неуниверсально. Если вы хорошо представляете круг своих пользователей, оно годится; но мы видели сайты, половина пользователей которого не могла разгадать капчу, потому что либо не знала английский язык и латиницу, либо просто не понимала, «чо тут за ^%&# написана? это своё имя надо ввести чтоли?».
Например — из опыта, — на сайте частной клиники я бы капчу вводить не стал никогда.
Например — из опыта, — на сайте частной клиники я бы капчу вводить не стал никогда.
Аналогично следил в выходные за хроникой и от постоянного фейспалма чуть лицо не разбил.
Особенно меня повеселило, когда ресурс, стоящий за куратором и куратор выдаёт «502 куратор не смог подключиться к приложению».
Особенно меня повеселило, когда ресурс, стоящий за куратором и куратор выдаёт «502 куратор не смог подключиться к приложению».
Как отметили выше — очень плохая реклама Azure.
Наверное глупый вопрос от меня. Расскажите пожалуйста, как работает система обучения?
Приведу пример: приходят мусорные запросы (400, 404 на http, udp, syn-flood). Допустим, система все это видит и быстро блеклистит злого нарушителя. У нас получается списочек машин ботнета.
1. А что, если на каком-то популярном ресурсе (уровня vk.com) будет поставлена картинка с src=host/404.jpg, браузер полезет за несуществующей пикчей и легитимный пользователь (а не зараженный член ботнета) попадет в черный список
2. А что дальше с этим списочком делать?
Приведу пример: приходят мусорные запросы (400, 404 на http, udp, syn-flood). Допустим, система все это видит и быстро блеклистит злого нарушителя. У нас получается списочек машин ботнета.
1. А что, если на каком-то популярном ресурсе (уровня vk.com) будет поставлена картинка с src=host/404.jpg, браузер полезет за несуществующей пикчей и легитимный пользователь (а не зараженный член ботнета) попадет в черный список
2. А что дальше с этим списочком делать?
0. За SYN flood и UDP flood блеклистить бессмысленно. IP-адреса источника могут быть произвольными.
1. Вы сделали неявное предположение, что единственным поводом для бана является HTTP-статус ответа. Это предположение неверно.
2. Смотреть на поведение, считать корреляции, кого-то банить, кого-то придерживать… кого-то амнистировать.
1. Вы сделали неявное предположение, что единственным поводом для бана является HTTP-статус ответа. Это предположение неверно.
2. Смотреть на поведение, считать корреляции, кого-то банить, кого-то придерживать… кого-то амнистировать.
Я не сделал предположения, я спросил как оно вообще работает. Дело в том, что я у себя регулярно нахожу тысячи 4хх-запросов, решил написать модуль для nginx-а, который бы авторов таких запросов бы отправлял в iptables, но столкнулся с тем, что я делаю DoS своими же руками, т.е. какой-то внешний ресурс провоцирует мусорный запрос и потом легитимный пользователь банит сам себя. Очевидное решение и очевидная глупость. Потому и спросил, как же работает система обучения, которая позволяет отделять одних от других. Смотреть на поведение наверное полезно для вас, кто уже имеет опыт защиты от подобных атак, а мне они ничего не говорят, потому и задал этот глупый вопрос.
Про UDP блеклистить его нет смысла не только из-за IP, но и потому что канал он все равно сожрет, но подумалось что можно посчитать количество хитов с такого адреса, если пришло больше сотни запросов — профилактически забанить, дабы не смог на http переключиться.
Про UDP блеклистить его нет смысла не только из-за IP, но и потому что канал он все равно сожрет, но подумалось что можно посчитать количество хитов с такого адреса, если пришло больше сотни запросов — профилактически забанить, дабы не смог на http переключиться.
Более хитрые, кстати, запрашивают не host/404.jpg, а /search?q=$(random()) или любую другую динамическую страницу. Ну это так, к слову.
Внимание! Несмотря на то, что пишут в некоторых СМИ (обалдеть, что там пишут), Яндекс не атаковал сайты оппозиции! Если это вам неочевидно, изучите матчасть или уточните у коллег, пожалуйста!
«Пиковая мощность атаки прикладного уровня: 3,8 тыс. HTTP-запросов/с»
ну если это называется атакой… то на какую нагрузку то был расчитан сайт?
ну если это называется атакой… то на какую нагрузку то был расчитан сайт?
Нужно строить архитектуру на базе открытой распределённой БД, где есть клиенты, пишущие в БД при голосовании, и клиенты, анализирующие БД и подсчитывающие результаты.
Сроки голосования, круг допущенных к участию удостоверяющих центров (УЦ) и критерии допуска граждан, авторизовавшихся через эти УЦ, должны быть свойством голосования.
Подробнее мои мысли на эту тему собраны здесь: socdev.org/projects/direct-democracy/wiki
При такой архитектуре вообще не существует никаких центров, которые можно было бы «положить».
Сроки голосования, круг допущенных к участию удостоверяющих центров (УЦ) и критерии допуска граждан, авторизовавшихся через эти УЦ, должны быть свойством голосования.
Подробнее мои мысли на эту тему собраны здесь: socdev.org/projects/direct-democracy/wiki
При такой архитектуре вообще не существует никаких центров, которые можно было бы «положить».
Хорошая архитектура. В ней есть единственная дыра — Центры авторизации. Если они будут управляться заинтересованными лицами (а это очевидно), то ни о какой защите голосований от вбросов речи быть не может. И тут плохо то, что при наличии большого количества таких «центров авторизации» повышается и вероятность мошенничества, и сильно усложняется процедура обнаружения такого мошенничества.
Голосующие должны удостоверяться исключительно через сеть взаимного доверия. С обратной связью, естественно.
Голосующие должны удостоверяться исключительно через сеть взаимного доверия. С обратной связью, естественно.
Из чего будет состоять сеть взаимного доверия? Из центров авторизации ))
В пределе конечно вы правы — каждый из нас должен стать таким центром, но я пока не могу представить себе такую сеть, сделанную прямо сегодня.
Что касается доверия к ЦА, то список 2-3 доверенных ЦА можно опять же указать в свойствах голосования. Далее эти ЦА могут доверять другим по цепочке. Если один из ЦА себя скомпрометировал (правда, решение о признании его скомпрометированным тоже надо как-то принять), то можно исключить его результаты при подсчёте.
В целом, авторизация — это самое узкое место в любом случае.
В пределе конечно вы правы — каждый из нас должен стать таким центром, но я пока не могу представить себе такую сеть, сделанную прямо сегодня.
Что касается доверия к ЦА, то список 2-3 доверенных ЦА можно опять же указать в свойствах голосования. Далее эти ЦА могут доверять другим по цепочке. Если один из ЦА себя скомпрометировал (правда, решение о признании его скомпрометированным тоже надо как-то принять), то можно исключить его результаты при подсчёте.
В целом, авторизация — это самое узкое место в любом случае.
На счет сети доверия… Идея намного глубже чем просто техническая. Она говорит о том, что каждый гражданин общества должен быть ответственным и обязан прилагать определенную долю усилий для управления им. Конечно, намного проще «выбрать» представителя и свалить всю работу на него. Но такой подход уже отлично показал чего он стоит. А стоит он потери свободы и невозможности ее вернуть. Конечно, в любом обществе будут те, кто не захочет утруждаться его управлением. Однако, у любого должна быть возможность вмешаться, если происходит что-то, что ему не нравится.
И на самом деле, сеть доверия — это просто техническое воплощение существующих принципов «работы» общества. Именно то, что большинство граждан считают правильным и является правильным в данном обществе.
И на самом деле, сеть доверия — это просто техническое воплощение существующих принципов «работы» общества. Именно то, что большинство граждан считают правильным и является правильным в данном обществе.
В целом разделяю ваше видение.
По поводу «проще выбрать», я как раз и предлагаю в программе-минимум начинать с муниципалитетов, где каждому понятно, почему, ради чего, как и т.п.
По поводу «проще выбрать», я как раз и предлагаю в программе-минимум начинать с муниципалитетов, где каждому понятно, почему, ради чего, как и т.п.
Но вообще как ни странно, мне кажется в данном случае ддос скорее сработал на цвкшников, они изобразили героическую борьбу с ним, показали, что властям далеко не пофиг на выборы, если бы этого ддоса не было, его обязательно надо было придумать!
Я не хотел бы пинать ЦВК-шников — они провернули огромную работу, организовав все эти выборы, и атаки отбили довольно оперативно. Но всё-таки некоторые моменты…
Послушайте, все знали, что будет ДДОС, ЦВКшники знали что будет ДДОС, все об этом говорили, все этого ждали. И при этом — синхронные запросы к БД на публичных страницах сайта?! Azure без логов?! Капча?! Атака им. Дурова, которая, извините, почти вся отбивается просто по реферерам?!
Уверен, что все там вынесли свои уроки из этого.
Послушайте, все знали, что будет ДДОС, ЦВКшники знали что будет ДДОС, все об этом говорили, все этого ждали. И при этом — синхронные запросы к БД на публичных страницах сайта?! Azure без логов?! Капча?! Атака им. Дурова, которая, извините, почти вся отбивается просто по реферерам?!
Уверен, что все там вынесли свои уроки из этого.
В личечку мне свалился огромный пост от пользователя egorinsk, поскольку написать из-за кармы в –400,8 он не может, а высказаться хотелось. Пост показался мне интересным, поэтому копирую сюда:
Не могу к сожалению, ответить на вопрос в комментарии, а ответить хочется, отвечу тут, если вы не против.Вот такой пост мне свалился, не со всем я согласен, но считаю его интересным.
От UDP/SYN/флуда защищаются при помощи обратного прокси: все запросы к сайту идут на сервер с хорошим каналом и nginx (иногда еще с железкой от Cisco), а он проксирует внешние запросы к настоящему сайту с сервером (IP которого держится в секрете по понятным причинам). На нем же удобно ограничивать число одновременных подключений с 1 IP и делать фильтрацию. UDP/SYN как вы пониамете, через прокси просто не проходят.
Сразу же на прокси можно банить Индонезию/Пакистан/Китай/Таиланд/Бразилия/Польша/филиппины, если там у вас нет клиентов. В этих странах очень много ботов, а абузы даже не доходят до провайдеров.
В крайнем случае ставится несколько прокси. У вконтакте, например, 32 балансера с страшно представить какими каналами.
На самом сайте важно настроить сервер так, чтобы при большом числе запросов он не уходил в своп и ронял сервер (как это делает с дефолтными настройками апач), а просто отказывался их обслуживать.
Если же атакующие применяют атаку через HTTP, то их выявляют, смотря логи и выявляя закономерности. Примеры закономерностей:
1) При использовании LOIC или картинки на популярном сайте для школьников запросы элементарно режутся по полю Referer. Более того, отправляя в ответ редирект, можно обратить атаку назад, а отправив заголовок Authorisation Required 401, можно пугать и блокировать атакующих пользователей.
2) Если атаку ведет школохакер, он может тупо долбить запросами на главную. Соответственно, все, кто сделал больше N запросов в час/минуту на один и тот же УРЛ, караванами отправляются в бан (это автоматизируется скриптами).
3) При более серезной атаке ищется/пишется модуль для nginx, который проверяет наличие у клиента поддержки кук или JS и только в случае поддержки пропускает запросы с этого IP. Опять же, многие боты из ботнетов JS не выполняют.
4) Боты часто долбят в тяжелые страницы, но не грузят статические файлы и картинки
5) Боты отсылают нереально число запросов в единицу времени, часто на один и тот же УРЛ, и легко ловятся на этом
6) Боты часто игнорируют заголовки кеширования и Last-modified, а нормальные браузеры, закешировав файл, повторно его не запрашивают
7) В самом крайнем случае можно напистаь/найти модуль nginx, показывающий капчу для доступа на сайт
8) До этого пункта обычно большинство атак не доходит, так как уровень знаний владельцев ботнетов обычно низок (сейчас любой может купить сплойт/защиту от антивирусов/распространение эксплойта не обладая глубокими знаниями, были бы наличные, потому владельцы ботнетов обычно не особо грамотные люди), но если атака полностью забивает канал, то надо пользоваться сервисом уровня cloudflare с 600 Гбит каналов. Его-то не уронят. Плюс, атака такой мощности с домашних компьютеров вряд ли ведется, а значит, можно писать абузы хостерам. Кстати, базовый план на cloudflare бесплатен.
Знания, правда больше теоретические и из статей, так как не имел счастья (или несчастья) отбивать настоящие десяткогигабитные атаки, только в интернете про них читал, когда атакой положили интернет в каком-то регионе Украины.
Подводя итог, при наличии грамотного системного администратора, большинство атак отбивается не очень дорогой ценой. Как я понял, описанная в статье атака была очень слабая и примитивная и сайт упал лишь из-за ошибок в проектировании.
Ну и сразу отвечу: проксировать имеет смысл далеко не каждый сайт. К примеру, мой сайт проксировать не имеет смысла, так как сайт написан на сях и практически потребляет 0% ресурсов, т.е. разнося и делая «секретный сервер», который будет совершенно не нагружен, я совсем ничего не выигрываю. Да, если городить свой CDN, то конечно нужно как-то синхронизироваться и вечноживая «секретная» нода будет полезна, но я бы не хотел тратить на это много денег, обойдясь одним сервером.
Cloudflare любит показывать сообщение «вау, мы заметили что фигня случилась, перенаправляем весь трафик на вас», очень веселит меня всегда. Даже от школьников, которые могут порой засирать канал очень хорошо.
С тяжелыми страницами тоже не все так просто, самое тяжелое что есть у меня — капча, хотя вижу в логах множество запросов на картинки графиков, которые на самом деле являются статикой. Забавно наблюдать за такими потугами.
Собственно, свой модуль для nginx я и делаю, проблем все больше и больше (особенно с провокациями с внешних ресурсов — я не знаю как это решить, реферер не ответ), вот уже больше смотрю на haproxy и баны на стадии парсинга запроса.
Cloudflare любит показывать сообщение «вау, мы заметили что фигня случилась, перенаправляем весь трафик на вас», очень веселит меня всегда. Даже от школьников, которые могут порой засирать канал очень хорошо.
С тяжелыми страницами тоже не все так просто, самое тяжелое что есть у меня — капча, хотя вижу в логах множество запросов на картинки графиков, которые на самом деле являются статикой. Забавно наблюдать за такими потугами.
Собственно, свой модуль для nginx я и делаю, проблем все больше и больше (особенно с провокациями с внешних ресурсов — я не знаю как это решить, реферер не ответ), вот уже больше смотрю на haproxy и баны на стадии парсинга запроса.
удален комментарий.
Капитан Очевидность подсказывает — «Если на вашем веб-приложении есть swap, то как только вы в него полезли — приложение умерло. Считайте память. Считайте IOPS. Выучите словосочетание бюджетирование ресурсов. С теми показателями concurrency о которых идет речь в случае современным web у вас не будет времени на swapin/swapout.»
Cloudflare это совсем о другом. И в случае даже десятки G вас даже на «business» тарифе переведут в Null.
Обратите внимание что enterprise который хоть сколько-нибудь вменяем: Pricing starts at
$3,000 per month.
Обратите внимание что enterprise который хоть сколько-нибудь вменяем: Pricing starts at
$3,000 per month.
>Облачная архитектура приложения не есть панацея от всех бед.
Очевидно, что набор слоупочных виртуалок, которыми по сути являются эти облака — палка в колесо производительности, а не панацея.
Элсо забавно, что болотники используют винду и azure, а госуслуги, например — linux, nginx и железные сервера.
Кровавый режим технологически подкованнее :D
Очевидно, что набор слоупочных виртуалок, которыми по сути являются эти облака — палка в колесо производительности, а не панацея.
Элсо забавно, что болотники используют винду и azure, а госуслуги, например — linux, nginx и железные сервера.
Кровавый режим технологически подкованнее :D
А может все же с архитектуры начинать? Все, что можно (реально — ВСЕ, что можно), сохранить в статические файлы, gz-ипнуть из для красоты, а всякая интерактивность, вроде голосования, не показывает человеку результат с учетом его голоса сразу, а просто пишет в некий лог упоминание о еще одном голосе, и по cron раз в 5 минут пересчитываем голоса и обновляем статическую страничку с голосами.
И т.д. Облака в таких случаях (когда ожидаете атаки) лучший способ разориться, ибо ресурсы становятся заметно платными. Куда проще арендовать физический сервер было, чес-слово, хотя бы по бюджету предсказуемее. Тем более что Вы взялись строить систему на Azure, а там и так не самые чтобы гроши оплата за все.
Я бы на вашем месте, правда, пошел бы к cloudflare (хоть на бесплатный, хоть на платный аккаунт). Если уж они закрывали сайты типа Евро-2012, наверное и с вашим сайтом как-то смогут обойтись хорошо :)
P.S. Скажите, а что такое «ЦВК»? В начале статьи не нашел, в голове приравнял к «сферическому сайту в вакууме», но все же интересно, на фоне какого ресурса происходит пиар сервиса…
И т.д. Облака в таких случаях (когда ожидаете атаки) лучший способ разориться, ибо ресурсы становятся заметно платными. Куда проще арендовать физический сервер было, чес-слово, хотя бы по бюджету предсказуемее. Тем более что Вы взялись строить систему на Azure, а там и так не самые чтобы гроши оплата за все.
Я бы на вашем месте, правда, пошел бы к cloudflare (хоть на бесплатный, хоть на платный аккаунт). Если уж они закрывали сайты типа Евро-2012, наверное и с вашим сайтом как-то смогут обойтись хорошо :)
P.S. Скажите, а что такое «ЦВК»? В начале статьи не нашел, в голове приравнял к «сферическому сайту в вакууме», но все же интересно, на фоне какого ресурса происходит пиар сервиса…
Сайт выборов лидеров оппозиции.
Не нужно кроном голоса счтитать. Достаточно кешировать страницу, а убивать кеш, скажем каждые 50 голосов, или каждые 5 минут. Кешем можно управлять не только на уровне веб сервера, но и на уровне приложения.
Не нужно кроном голоса счтитать. Достаточно кешировать страницу, а убивать кеш, скажем каждые 50 голосов, или каждые 5 минут. Кешем можно управлять не только на уровне веб сервера, но и на уровне приложения.
Я прямо не знаю, с чего начать :-)
1) Расшифровка аббревиатуры «ЦВК» (есть в первом абзаце данной статьи) — Центральный Выборный Комитет.
2) Я не имею отношения к ЦВК и не принимал участия в проектировании и конструировании системы. Наш вклад свёлся к интеграции системы по защите от DDoS-атак в готовую инфраструктуру. В частности, систем на Azure я строить не берусь :-)
3) Ни Cloudflare, ни Azure, ни кто иной не смогут исправить недостатки архитектуры приложения. Эти проблемы не лечатся уходом в облако. Никак.
4) Кстати, у Cloudflare для Евро-2012 совсем другие расценки. У ЦВК бюджет явно меньше, чем у UEFA.
5) Да и зачем Cloudflare, если Qrator работает успешно? :-)
6) Или вы предлагаете Куратору уйти в Cloudflare? Нет, спасибо %-)
1) Расшифровка аббревиатуры «ЦВК» (есть в первом абзаце данной статьи) — Центральный Выборный Комитет.
2) Я не имею отношения к ЦВК и не принимал участия в проектировании и конструировании системы. Наш вклад свёлся к интеграции системы по защите от DDoS-атак в готовую инфраструктуру. В частности, систем на Azure я строить не берусь :-)
3) Ни Cloudflare, ни Azure, ни кто иной не смогут исправить недостатки архитектуры приложения. Эти проблемы не лечатся уходом в облако. Никак.
4) Кстати, у Cloudflare для Евро-2012 совсем другие расценки. У ЦВК бюджет явно меньше, чем у UEFA.
5) Да и зачем Cloudflare, если Qrator работает успешно? :-)
6) Или вы предлагаете Куратору уйти в Cloudflare? Нет, спасибо %-)
Честно говоря, так и захотелось про ЦВК (не про вас, именно про них) сказать старую фразу про то, что у боцмана шутки не особо умные. Уже судя по аббревиатуре (она — одна из тех, что, не прочитав расшифровку, никогда не разгадаешь; это дает подсознательное представление об уровне внимания к деталям), не говоря о технической составляющей. И это, Вы правы, никто (ни система защиты, ни что-то еще) не исправит.
Хорошо, что им встретились вы. Плохо, что их разработка велась (как кажется) без учета реалий, в которых сайту жить. С такой нагрузкой, по идее, ребята и сами могли справиться.
Вообще, облака хороши, когда нагрузка небольшая, либо непредсказуемая заранее. Если же понятно, что она будет высокой, проще взять физический сервер — дешевле выйдет, если не ошибаюсь, и точно понятнее в работе.
P.S. Судя по www.cloudflare.com/plans, даже на бесплатном плане ребят бы прикрыли от атаки. Да и на самом маленьком платном — тоже, думаю, он обходится в $20/мес…
Хорошо, что им встретились вы. Плохо, что их разработка велась (как кажется) без учета реалий, в которых сайту жить. С такой нагрузкой, по идее, ребята и сами могли справиться.
Вообще, облака хороши, когда нагрузка небольшая, либо непредсказуемая заранее. Если же понятно, что она будет высокой, проще взять физический сервер — дешевле выйдет, если не ошибаюсь, и точно понятнее в работе.
P.S. Судя по www.cloudflare.com/plans, даже на бесплатном плане ребят бы прикрыли от атаки. Да и на самом маленьком платном — тоже, думаю, он обходится в $20/мес…
Я так и не понял — сколько примерно стоила атака? Мне — для общего развития и построения домыслов о заказчиках.
Глупый вопрос — а почему такие атаки называются «тесаками»? Или это вид защиты так называется? Или вообще, причём тут тесак?
из-за hellotesak.narod.ru/ я так понимаю.
про Тесака и КС:
www.livejournal.ru/themes/id/58413
www.livejournal.ru/themes/id/58413
UFO just landed and posted this here
Почтовый сервер вообще труднее или легче завалить, чем веб-сервер?
Смотря чей. Яндекс Почта и Gmail, конечно, скорее всего выдержат, но всё равно как минимум уязвимы к атаке на переполнение ящика, т.е. его могут попросту зафлудить (как, например, уже бывало с почтой Навального).
Конечно, использование инфраструктуры интернет-гигантов заметно повышает надёжность, но, пожалуй, и делает процесс менее доступным среднестатистическому избирателю, поскольку необходимо как минимум создать какой-то специальный криптографический софт, формирующий сообщение с голосами.
Можно сделать следующий шаг: отсылать не по почте, а через личные сообщения вконтакта или фейсбука. И пусть у Дурова голова болит:) Кстати, почти не шутка.
Хрен задосиш :) Она на порядок устойчивее — я собственно примерно это и предлагал у них в блоге в субботу. Да и каналов дофига может быть разных
Интересно было бы узнать, какого порядка бюджет у этой атаки.
Я не понял
>Даже при благоприятном стечении обстоятельств вам грозит многозначный счёт за ресурсы
Это что ж получается. На меня DDOS атаку проведут и на мне квартиру трехкомнатную в Москве придется продавать, чтобы расплатиться за ресурсы? Бред.
>Даже при благоприятном стечении обстоятельств вам грозит многозначный счёт за ресурсы
Это что ж получается. На меня DDOS атаку проведут и на мне квартиру трехкомнатную в Москве придется продавать, чтобы расплатиться за ресурсы? Бред.
А ведь самое печальное, что оппозиция готовится к честным выборам в нашей стране как к настоящей войне! Казалось бы зачем это все??? Ведь выборы электронные, зачем париться, можно просто нарисовать итоговые циферки, рейтинги и так все знают… Молодцы, что стояли до конца!
Сайт vkhello.do.am был удален. Информация о нем, к сожалению, была получена только из данного поста. Жалоб на него не поступало. Просуществовал двое суток. Регистрация сайта происходила с ip-адреса, принадлежащего одному из крупнейших украинских кабельных провайдеров.
Откуда у вас такая информация?
Простите, ошибка в написании. Удален был cvkhello.do.am/
А база данных какая была? MSSQL?
ага, этот позор :)
писал в блоге их главный разработчик
писал в блоге их главный разработчик
Реляционная БД на высоконагруженном фронтэнде.: фейспалм: Не, так мировая революция не получится :))
С GPG подписью там вообще можно было всю Россию за пару дней
присылаться будет шифрованный подписанный список и ID избирателя
по ID из мемкеше-подобного отфильтровываются боты, потом все на очереди обработки.
nginx и сразу в очередь, воркеры, откидывающие ботов и во вторые очереди, а там уже фигня — расшифровываем, обрабатываем. В случае чего — маштабируем + DNS.
Так нет — они боятся что с подписью юзер затупит.
присылаться будет шифрованный подписанный список и ID избирателя
по ID из мемкеше-подобного отфильтровываются боты, потом все на очереди обработки.
nginx и сразу в очередь, воркеры, откидывающие ботов и во вторые очереди, а там уже фигня — расшифровываем, обрабатываем. В случае чего — маштабируем + DNS.
Так нет — они боятся что с подписью юзер затупит.
Поправьте меня, если что-то не так:
— домен куплен через RU-CENTER
— DNSSEC нету
— SSL сертификат куплен у скомпрометировавшего себя godaddy
— dns сервер NS1.MASTERHOST.RU
— опубликован емейл, на который зареган хост Email:lv@leonidvolkov.ru
— сервер использует TLS 1.0
— сервер висит на одной единственной машине
— хостинг — в россии geoiptool.com/en/?IP=178.248.237.47
Неужели так надо было строить сайт, на который могли совершаться атаки с участием административного ресурса с практически неограниченным бюджетом?
— домен куплен через RU-CENTER
— DNSSEC нету
— SSL сертификат куплен у скомпрометировавшего себя godaddy
— dns сервер NS1.MASTERHOST.RU
— опубликован емейл, на который зареган хост Email:lv@leonidvolkov.ru
— сервер использует TLS 1.0
— сервер висит на одной единственной машине
— хостинг — в россии geoiptool.com/en/?IP=178.248.237.47
Неужели так надо было строить сайт, на который могли совершаться атаки с участием административного ресурса с практически неограниченным бюджетом?
Не склонен так уж обвинять их в косяках ибо:
— «если б я был такой умный, как моя жена потом»
— есть фактор времени подготовки. если делать долго и хорошо, то могут и прижать нетехническими методами.
— не ошибается тот, кто ничего не делает
— более-менее случилось и так. и Волкову все равно зачет.
кстати, в чем проблема с godaddy?
— «если б я был такой умный, как моя жена потом»
— есть фактор времени подготовки. если делать долго и хорошо, то могут и прижать нетехническими методами.
— не ошибается тот, кто ничего не делает
— более-менее случилось и так. и Волкову все равно зачет.
кстати, в чем проблема с godaddy?
GoDaddy поддерживали акты, направленные против свобод. Подробнее тут.
А по поводу времени подготовки, скажу честно, готовилось ещё с января прошлого года, и даже кое-что уже было готово и использовалось на президентские для екзит-поллов и т.п. Погуглите ФРЭД.
А по поводу времени подготовки, скажу честно, готовилось ещё с января прошлого года, и даже кое-что уже было готово и использовалось на президентские для екзит-поллов и т.п. Погуглите ФРЭД.
— DNSSEC нету
И сильно бы он помог?
— SSL сертификат куплен у скомпрометировавшего себя godaddy
И? Не с копирастами же боролись, а с кровавым режымом
— dns сервер NS1.MASTERHOST.RU
— сервер висит на одной единственной машине
— хостинг — в россии geoiptool.com/en/?IP=178.248.237.47
В дни голосования все было в облаке azure
— домен куплен через RU-CENTER
— опубликован емейл, на который зареган хост Email:lv@leonidvolkov.ru
И? Надо было шифроваться?
— сервер использует TLS 1.0
Это к чему?
— DNSSEC нету
И сильно бы он помог?
— dns сервер NS1.MASTERHOST.RU
В сочетании с нормальным сервером имён помог бы избежать подмены домена целиком.
— SSL сертификат куплен у скомпрометировавшего себя godaddy
И? Не с копирастами же боролись, а с кровавым режымом
Аффилированные структуры же.
— сервер висит на одной единственной машине
— хостинг — в россии geoiptool.com/en/?IP=178.248.237.47
В дни голосования все было в облаке azure
Я проверял ck2012 в день голосования. Взможно, что у облака был единственный IP адрес, что плохо из за возможности отключения канала аплинком.
— домен куплен через RU-CENTER
— опубликован емейл, на который зареган хост Email:lv@leonidvolkov.ru
И? Надо было шифроваться?
Да, это обычно неплохая идея, избавляющая если не от терморектального анализа, так хоть от подлома почты перебором паролей.
— сервер использует TLS 1.0
Это к чему
Это вопрос?
Это к тому, что TLS старше 1.0 защищают от некоторых видов атак (подробнее. И применение 1.0 для клиентов, поддерживающих 1.2 не обосновано.
Я пишу всё это у тому, что DoS — не единственный вид атак, и единственная причина, почему сайт лежал так мало — это потому что атакующие плохо старались.
Вы предлагаете защищаться в основном от мелких, локальных атак с негарантированным результатом, а у режыма задача была сорвать выборы, и тут они совершенно рационально стали DDos-ить: пинцет — хороший инструмент, но кувалда надежней
Небольшое техническое замечание.
178.248.237.47 — это IP-адрес, принадлежащий Qrator. Мы — не хостинг.
В BGP, кроме unicast'а, есть ещё и anycast. Так что связи между числом IP-адресов и числом аплинков нет.
— хостинг — в россии geoiptool.com/en/?IP=178.248.237.47
178.248.237.47 — это IP-адрес, принадлежащий Qrator. Мы — не хостинг.
у облака был единственный IP адрес, что плохо из за возможности отключения канала аплинком.
В BGP, кроме unicast'а, есть ещё и anycast. Так что связи между числом IP-адресов и числом аплинков нет.
Sign up to leave a comment.
Облака против тесака, или Хроника DDoS-атак на cvk2012.org