а можно и без фейкового домена по известным и популярным доменам (которые невозможно заблокировать) бомбить.
плечо 5..7 это тоже неплохо, и отсечь сложнее…
Повсемесное исполнение BCP-38 позволяет купировать целые классы ddos-атак, но не все топологии позволяют сделать это совсем уж безболезненно и требует это определенных усилий, поэтому подавляющее большинство предпочитают ЗАБИТЬ. А жаль.
5. с прошлой пятницы в рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным.
«тестировали» на выносливость многие значимые приложения и компании рунета.
учитывая время и характер тестов — они как миниум сидят в нашем часовом поясе и рунет им интереснее чем спамхаусы.
1. эта атака есть полной повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY.
2. актуальная атака сопровождается SYN flood в 10-20Mpps, что указывает на наличие достаточно большой фермы подконтрольных серверов. наша оценка 100-150 штук.
3. группа проводящая эту атаку возникла на горизонте около полутора месяцев назад с цифрой 10-20Gbps, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты)
4. в прошлую пятницу в 6 утра они пришли в гости к qrator на новом уровне 100, bgp flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies.
5. с прошлой пятницы в рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным.
6. атакующая команда вероятнее всего наши соотечественники или ближайшие соседи.
1. две площадки: основная и резервная
2. репликация базы данных master-master
3. Qrator который будет работать не только как DDoS-фильтр, но и как failover managment.
4.…
5. PROFIT.
Работает таким образом например для mos.ru который приобрел услугу исключительно с целью балансировать площадки.
несовсем понятно зачем все эти лишние действия, если
После этого OutFlare запускает копию процесса браузера Internet Explorer — iexplore.exe в приостановленном состоянии (suspend) и осуществляет внедрение в него своей полезной нагрузки.
" с полноценным js-стэком и всеми прочими положенными свистками и барабанами.
ну и набежать не так сложно после этого… особенно если онлайн хороший у ботнета.
Josh MacDonald10:46 AM — Public
[Responding to the comments section.]
My Russian friends, the Y-axis of the C++ B-tree graphs are irrelevant; the Red-Black tree and B-tree results are plotted on the same scale with a proper zero origin. The benchmark code is included in the release.
I didn't label the Y-axis because the results are hardware dependent, but since you're curious, the graph was computed using an Intel Xeon CPU E5-1650 @ 3.20GHz with L1=32K, L2=256K, L3=12M and for the far right of the graph (10 million elements per container), it's approximately 1.6 microseconds vs. 400 nanoseconds.
Вероятнее всего данный указ является частью национальной стратегии кибер-безопасности(либо попытки ее построить), и под информационными ресурсами в данном случае подразумеваются вовсе не средства массовой информации, а государственные
информационные ресурсы и сервисы, такие как nalog.ru, kremlin.ru итд.
Теоретически целей, которые поставил президент, можно достичь создав закрытый сегмент сети с жесткими политиками безопасности, в котором будут работать государственные ресурсы, требующие защиты. Периметр этой сети будет закрыт оборудованием контролируемым соотв. департаментами ФСБ/ФСО ( вероятнее всего Спецсвязь ФСО ) и реализующим политики DPI/IDS.
На практике, при реализации данного указа скорее всего возникнут следующие проблемы:
— отутствие отечественных разработок означает использование зарубежных решений или как минимум элементной базы. Импорт (почти наверняка) будет содержать kill switch.
— каждая информационная система является уникальным программно-аппаратным комплексом со своими особенностями (векторами угроз), и реализация данной программы «под гребенку» скорее всего принесет неоднозначные результаты.
Обычные DNS. Поскольку вы сами не удосужились рассказать как ваша услуга работает, я сделал вполне разумный вывод что это та-же самая услуга которую вы рекламировали и в прошлой, и в позапрошлой итерации этой темы. Капитан как-бы намекает — хочешь чтобы не строили догадки — расскажи сам как все устроено.
Мы это прекрасно понимаем. поэтому вы не найдете у нас фармо/порно/HYP/пиратского контента и прочей сетевой мерзости… но zippro рубить за контент размещаемый пользователями это как yandex рубить за содержимое tesak.narod.ru, например. Или Калашникова за горы трупов.
а как вы думаете где храниться информация о authoritative зоны?
вы путаете с NS-записью в самой зоне.
впрочем это не релевантно, я зарегистрировался на сервисе и почитал инструкции.
похоже «все изменилось. опять».
они отказались от сумашедшей идеи держать на себе authoritative и детектить атаки по DNS request rate и перенаправлять A-запись на фильтр в Драгонаре/Соларе.
Это хорошие новости.
Плохие новости?
Настройки фильтров это «закат солнца вручную» ;)
Можно кстати удачно подставить и сам «фильтр» если он устроен хотя-бы приблизительно так как они писали в статье про то как с помощью php и mysql ddos чистить.
а если откажут dns сервера которые вам предоставит ddosexpert, то за свои 5$ вы получите несколько дней приятного даунтайма — полюбопытствуйте сколько времени nserver record в корневых серверах меняется.
Будьте добры, статью укажите по которой проходит zippro.
Вот тот-же. И у нас такие затруднения. Отказать просто потому что они нам «не нравяться» мы не можем.
плечо 5..7 это тоже неплохо, и отсечь сложнее…
«тестировали» на выносливость многие значимые приложения и компании рунета.
учитывая время и характер тестов — они как миниум сидят в нашем часовом поясе и рунет им интереснее чем спамхаусы.
новостей будет несколько, конспектом.
1. эта атака есть полной повторение того что мы видели в октябре 2010, с той лишь разницей что это не рекурсивный запрос, а запрос ANY.
2. актуальная атака сопровождается SYN flood в 10-20Mpps, что указывает на наличие достаточно большой фермы подконтрольных серверов. наша оценка 100-150 штук.
3. группа проводящая эту атаку возникла на горизонте около полутора месяцев назад с цифрой 10-20Gbps, постепенно наращивая скорости — сканивали новые открытые резолверы и увеличивали количество подконтрольных серверов (генераторов первой ступеньки атаки и syn компоненты)
4. в прошлую пятницу в 6 утра они пришли в гости к qrator на новом уровне 100, bgp flowspec нейтрализовал UDP составляющую, synflood отработали обычными методами — syncookies.
5. с прошлой пятницы в рунете был массовый террор, пострадали многие магистральные операторы и просто крупные телекомы. их имена у всех на слуху, но поскольку вопрос этот крайне щепетильный — называть их считаю не этичным.
6. атакующая команда вероятнее всего наши соотечественники или ближайшие соседи.
7. BCP-38 ( tools.ietf.org/html/bcp38 ), query ratelimiting ( www.redbarn.org/dns/ratelimits )
8. генератором второй ступени могут выступать и другие UDP services, например NTP.
9. парням сломавшим интернет должно быть стыдно, так-же как и парням которые не соблюдают пункт 7.
пардон, но на нормальную статью просто нет времени. да и материал не очень интересный. OFN.
2. репликация базы данных master-master
3. Qrator который будет работать не только как DDoS-фильтр, но и как failover managment.
4.…
5. PROFIT.
Работает таким образом например для mos.ru который приобрел услугу исключительно с целью балансировать площадки.
ну и набежать не так сложно после этого… особенно если онлайн хороший у ботнета.
[Responding to the comments section.]
My Russian friends, the Y-axis of the C++ B-tree graphs are irrelevant; the Red-Black tree and B-tree results are plotted on the same scale with a proper zero origin. The benchmark code is included in the release.
I didn't label the Y-axis because the results are hardware dependent, but since you're curious, the graph was computed using an Intel Xeon CPU E5-1650 @ 3.20GHz with L1=32K, L2=256K, L3=12M and for the far right of the graph (10 million elements per container), it's approximately 1.6 microseconds vs. 400 nanoseconds.
об этом, похоже, не очень-то и думали.
Вероятнее всего данный указ является частью национальной стратегии кибер-безопасности(либо попытки ее построить), и под информационными ресурсами в данном случае подразумеваются вовсе не средства массовой информации, а государственные
информационные ресурсы и сервисы, такие как nalog.ru, kremlin.ru итд.
Теоретически целей, которые поставил президент, можно достичь создав закрытый сегмент сети с жесткими политиками безопасности, в котором будут работать государственные ресурсы, требующие защиты. Периметр этой сети будет закрыт оборудованием контролируемым соотв. департаментами ФСБ/ФСО ( вероятнее всего Спецсвязь ФСО ) и реализующим политики DPI/IDS.
На практике, при реализации данного указа скорее всего возникнут следующие проблемы:
— отутствие отечественных разработок означает использование зарубежных решений или как минимум элементной базы. Импорт (почти наверняка) будет содержать kill switch.
— каждая информационная система является уникальным программно-аппаратным комплексом со своими особенностями (векторами угроз), и реализация данной программы «под гребенку» скорее всего принесет неоднозначные результаты.
вы путаете с NS-записью в самой зоне.
впрочем это не релевантно, я зарегистрировался на сервисе и почитал инструкции.
похоже «все изменилось. опять».
они отказались от сумашедшей идеи держать на себе authoritative и детектить атаки по DNS request rate и перенаправлять A-запись на фильтр в Драгонаре/Соларе.
Это хорошие новости.
Плохие новости?
Настройки фильтров это «закат солнца вручную» ;)
Можно кстати удачно подставить и сам «фильтр» если он устроен хотя-бы приблизительно так как они писали в статье про то как с помощью php и mysql ddos чистить.
46.28.201.0/24
91.205.43.0/24
Вот тот-же. И у нас такие затруднения. Отказать просто потому что они нам «не нравяться» мы не можем.
И «бизнес-модель», если ее так можно назвать — отсюда проистекает.