Как стать автором
Обновить

Комментарии 83

Не нетбота, а ботнета :)
ИМХО, сначала надо создавать правовую базу. Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.
Ошибку исправил, спасибо.

> Правда, если Большой Брат к этому подключится, он захочет не только фильтровать траффик, но и анализировать, а при необходимости — сохранять.

Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.

Хотелось бы более развернутый комментарий на тему дампа (сохранения) всего трафика (кто, на Ваш взгляд этим действительно занимается). Интернет провайдерам в РФ такая деятельность запрещена Законом о связи, однако каждый интернет-провайдер (в РФ) обязан обеспечить поддрежку СОРМ (проще говоря, возможность наблюдения за трафиком в реальном времени).
Практически весь трафик сохраняется и сейчас, так что в этом плане нового вряд ли что придумают.
Бред. Ёмкостей не хватит всё сохранять. Пару дней или неделю могут хранить и всё, но дальше — только выжимки ибо за год через Сеть проходит гораздо больше информации, чем может поместиться на всех существующих в мире винтах…
Напрасно Вы так думаете.
Вообще проблема многогранна, тут и правовое обеспечение, и железо с ПО способное фильтровать такой траффик на преемлемой для провайдера скорости… Есть 3 направления: 1) на стороне сервера(забота хостера) 2) на стороне телекома (транспортная сеть) 3) на стороне зараженного клиента (вариант, когда антивирусное ПО устанавливается вместе с ОС и постоянно обновляется, более умный и защищенный брэндмауэр в ОС...)
НЛО прилетело и опубликовало эту надпись здесь
согласен, но мне все таки интересно, что же хотел сказать автор?
Но ведь название «Мысли вслух...»
ээ, хабрачитель — это хабрачитатель или хабражитель? ;)
Это хабрачитатель. Исправил, спасибо!
китайцы просто сидят в интернете, но их много за 1 IP, а их считают флудерами...=)))
Ересь все это. На трубах в 10 гб что то откидывать фильтровать просто не реально так что создать один большой фильтрационный центр не возможно. На более тонких клиентских линках установить множество центров очистки тоже не рентабельно — нужно содержать штат сравнимый со штатом всех остальных подразделений. Вопщем дело спасения утопающих… либо фильтруйтесь сами, либо платите проффи за защиту?
Либо вправляйте руки юзерам…
анализировать пакеты на 10Гб вполне реально, а на 1Гб можно хоть прикладные прокси запускать
вау, пробовал? интересно
поделись марками оборудования пожалуйста
можно просто марками поделится. оборудование не надо ;)
в контексте очень меткое высказывание
Все это давно реализовано во всех известных IDSках, пользуйся на здоровье.
Всё гораздо проще: надо отключить китайцам интернет!
нет, их просто надо пересадить с XP SP1, чтобы они не были центром ботнетов.
ЭЭЭ центры управления ботнетом восновном базируются на серверах с юникс — образными системами. на ХР живут боты а не их центры управления. Если пересадить китайцев на линукс ботов напишут и под линукс, но только эти боты станут еще злее — например научатся син спуф.
непонятно что я тут такого сказал что вызывает гнев и не одобрение =)
Думаю что многие решили что daD, когда говорил о «центрах ботнетов» подразумевал «рассадник ботнетов» а не «центры управления ботнетами».
//«центр ботнета» — я имел ввиду основную массу зомби-машин.
все верно, только ЦУ в ддос бизе — вещь переменная, и может стоять не только в Китае.
имхо, «проще» устранять именно возможность заражения машины, или хотябы свести её к минимуму, а то часть китайских машин до сих пор можно пробить lsass експлоитом =/
мне кажется основную опасность составляют их сервера с открытой возможностью син-спуффа на толстых каналах. Юзерские машины менее опасны ибо спуфить могут только icmp/udp
А боты и так есть под линукс. Мало их потому, что не принято там сидеть под рутом и тем более запускать что попало.
это старая тема для холиваров — почему ботов под линукс мало, то ли линукс хорош, толи он мало распространен что бы под него писать хорошие боты. Я думаю если домохозяйки и китайцы перейдут на линукс они будут сидеть под рутом и запускать ссылки из спама
Подумать только, несколько китайцев-то топик читают!
Поднажмите, ребята, минисуйте активнее, Поднебесная в опасности.
мелкие провайдеры(в городах до 1 миллиона человек) часто склонны к лени, цены понижать не хотят (пока кто-то другой это не сделает), клиентов новых подключают медленно и еще куча бреда.
Так везде. Просто в мелких городах это более заметно, т.к. конкуренция или отсутствует вовсе или вопрос о «неснижении цен» решается совместно «всеми двумя» провайдерами где-нибудь в сауне в промежутке между парилкой и девочками. Им, несколько, не до китайцев с их ботнетами. ):
Та нет, как можно сравнить местного провайдера и Укртелеком. Какие там сауны, их даже к секретарю не пустят :). Благо пользователя в данном случае спасает конкуренция и попытка задавить конкурентов :).
Вы где в маленьких городах конкуренцию видели? Я не видел.
Это вокруг Москвы по 5 провайдеров на квадратный километр, а чуть дальше отъехать — есть в городе 2 провайдера — владельцы вместе бухают каждую субботу, нет никакой конкуренции.
Между местными нет конкуренции, но если приходят 2 на уровне страны, то вот они и давят, они и конкуренты, так как сбивают цены.
Китайцев вообще отключить надо!
Как бы они нас не отключили :-)
ну ironPort защиты от спама и вирусного траффика ставят и он неплохо справляется — тоже самое можно ставить для ддос — вот только вопрос захочет ли кто-то вкладывать в этом деньги
Когда атаки дорастут до такого уровня, когда начнут ложиться основные магистральные провайдеры — то деньги найдутся. А это время уже не загорами… :(
Немного не понятно — как это связано? проблемы будут у магистральных провайдеров а деньги начнет вкладывать интерпрайз
в данный момент клиенты Peer2Peer создают им гораздо бельше проблем.
Рассуждения прекрасны, но проблема от этого не решается сама собой. Хотелось бы о средствах фильтрации. О практической части, так сказать.

Отбивался от такой заразы. И основной траффик валил из рунета.
Я пишу большую статью где собираю и очень подробно описываю все известные мне и самое главное опробованные методы борьбы с атаками. Думаю осилю к концу следующей недели.
Буду весьма признателен.
Интересно посмотреть на решения.
а у вас чего линукс или бсд на сервере?

Linux Ubuntu.

Писал скрипт на руби, который парсил логи и отстреливал через ip route add blackhole _ip_, потому как iptables реагировал на правила ох как не сразу, и посему правил набивалось по 100-200 для каждого IP. От чего iptables чувствовал себя еще хуже. Роутами же блочится наура.
И все было бы хорошо — но скрипт использовал sqlite3 и ел процессор из-за этого. Буду в скором будущем переделывать на TokyoCabinet, там вроде бы не должно быть загвоздок с производительностью.
Мои скромные потуги можно лицезреть на
github.com/daemon/bananoid/tree/master
Под Ubuntu у меня ничего нет… У меня везде стоит FreeBSD, вот под нее есть очень эффективный скрипт на perl. Заточен именно под отражение http-флуда.
Да, пробовал. Именно он сейчас и стоит. Но изначально собрал систему с IPFW, за что и поплатился однажды. Тогда и пришлось ваять скрипты на скорую руку.
Это будут примеры под конкретный случай атак. В большинстве случаев разработка (если это скрипт) используется лишь однажды, в случае новой атаки приходится адаптироваться под новые условия. С «железными» помошниками немного попроще в этом плане.
Атака как раз та что описана — куча валидных запросов. Synflood тоже имел место, но с ним уже боролись роутеры и ядро.
А вот приложение убивали (
самый распространенный сейчас способ борьбы с http flood это редирект. Боты восновном не научились распознавать редиректы и продолжают запрашивать странички не переходя туда куда им указано. Отсюда простой способ их выявления
Хех, вариант )
это стандарт сейчас де факто
Есть готовые инструменты для фильтрации например пф-фильтр для бсд — систем и они достаточно универсальны, в случае использования линукса и его встроенного фаервола и надстроек к ниму тоже можно добиться универсальности используя статистические методы выявления ботов
> Работая в довольно крупной телекоммуникационной компании, я понял, что ведь интернет- провайдеру особого труда не составит настроить свое оборудование на фильтрацию трафика.
А при чем тут настройка? Настроить можно, но что делать с резко возрастающей нагрузкой на операторское оборудование?

> Предупреждаем массовые атаки как таковые
Простите, а почему вы думаете, что этого не происходит прямо сейчас и именно в этот момент? Любой провайдер, заметивший паразитный трафик идущий от его клиента, как–минимум сделает тому предупреждение.

> если продуманную систему фильтрации ввести хотя бы у основных магистральных провайдеров
Давайте на минуточку представим магистрального оператора, у которого, например, общая ёмкость внешних каналов составляет около 30Gbps. Каждый пакетик, что проходит по ним нужно просмотреть. Держать дорогущее оборудование, которое будет простаивать в лучшем случае 80% времени? Вы такие тарифы оплачивать не захотите.
я вот про тоже пытался сказать но нарвался на минусы =)
Денис, вот Ты пишешь по поводу магистральных провайдеров, возникает по моему очень правильный вопрос, нужно ли им это? Ведь анализ любого трафика, а тем более «отсеивание» не желательного — это ресурсы, ресурсы — это деньги, а деньги это прибыль, поэтому думаю что провайдерам как раз этот вопрос не интересен, если конечно речь не идёт об атаке на самого провайдера.
как человек с магистрали скажу однозначно — это не та тема куда руководство выделит деньги
Тимофей, то что им это не нужно сейчас — факт, но если их обязуют это сделать на законодательном уровне, то они будут вынуждены это сделать. Статистика говорит о том, что количество, мощность DDoS — атак с каждым годом возрастает чуть ли не в разы, так что лет через несколько мы придем к тому, как я думаю, что придется фильтровать весь трафик. Опять же это мое мнение, я не навязываю его всем.
Нельзя обязывать на законодательном уровне вкладывать в оборудование миллионы долларов. В результате канальные операторы поднимут цены и это вызовет замедление роста информатизации общества и недовольство у конечных пользователей.
А как же системы определенного назначения которые мы обязаны ставить по закону, делать линки до органов за свой счет? В маштабах крупного провайдера это тоже немалые средства. И тут и там — безопасность!
а ты сравнивал цены на это оборудование? СОРМ стоит копейки по сравнению с анализаторами фильтрами для 10 гб каналов. Плюс это оборудование никто никогда не испытывал и его просто нет в России. И цели сорм нельзя сравнивать с твоими предложениями.
Да, оно дорогое, бесспорно! Но разве информационная безопасность не стоит таких денег? Я не говорю что ради моего сайта с невысокой посещаемостью надо покупать это оборудование, речь немного о другом — разве у нас так мало интернет-проектов государственной важности? У нас выборы в онлайне уже тестируют, это ли не есть безопасность государства? Или поставим перед этими серверами по циске и все? А Вашу же магистраль забьют под потолок и толку от этих цисок?
Ты прав — дешевле и эффективнее защитить конечного клиента, чем вкладывать миллионы баксов в фильтрацию исходящих атак на наших магистралях. Все равно придут ДДоС боты из штатов и китая и завалят важные сайты государства.
Не забывайте, что роль отдельно взятой машины при DDOS незначительная. Может быть один запрос в секунду, а может и в минуту. Когда таких маших сотни (тысячи?) — появляется нагрузка и сервера не выдерживают. И как скажите оборудование провайдера может определить, что именно этот запрос — атака? Посмотрите на число запросов при открытии обычного Invision PowerBoard, там одних gif'ов больше сотни. Сто запросов подряд — это атака?

Я даже больше скажу, стоял у меня сервер на collocation у masterhost, который часто атаковали. Несколько дней подряд шел UDP-flood с одного IP адреса, но настолько мощный, что за пару часов атаки мой баланс уходил на 100$ в минус (сбивалось соотношение 1 к 4). Так вот думаете masterhost заблокировал этот IP? Нет, потому что у них нет такой услуги. Писал и в abuse провайдера с IP которого шла атака — бесполезно. И знаете что пришлось сделать? Направить такой же UDP-flood в ответ. В итоге, к концу месяца непрерывного сливания трафика получилось выравнять соотношение входящего к исходящему (сбитого всего за несколько дней). И masterhost опять же не обратил на это никакого внимания. А тут ведь речь идет о data центре, а не об обычном домашнем провайдере.
Я с Вами полностью согласен, но опять же все что мной написано — это личные наблюдения. Не далее как 5 дней шла очень сильная атака с Китая. Сеть компьютеров одного провайдера с маской /24. Это-то можно отследить. Да, если из сети провайдера досит 1-5 компов — это не возможно проследить… но когда 200-500 компов… тут уже все на лицо.
Все не совсем так. Выделить паразитный трафик можно. Для этого используются анализаторы статистики (netflow). Другое дело что провайдеры этим не занимаются для выявления ДДоС.
Мы занимаемся. Весь трафик по каждой базе, по каждому сектору базовой станции мониторится круглосуточно, и случаи DDоS и спам — атак выявленных только у нас в городе через наши каналы далеко не единичны. И это при том, что на магистралях безлимы — купленные трубы.
Значит вы прогрессивны, но к сожалению это не общеупотребимая практика
а можно мы к вам обращаться будем для отлова ботов?
Хм… интересно как ты себе это представляешь? Завернуть магистральный трафик на нас? Как же его тогда тарифицировать :)
нет не так, если мы увидим атакующий траффик из вашего города, можем мы просить вас записать дамп бота?
Если атакующий трафик будет идти из нашей сети, то мы в большинстве случаев сможем даже передать самого бота, изъяв его у жертвы. Про сети других провайдеров в нашем городе сказать ничего не могу — так как нет доступа к ним.
а скинь в личку свои подсети. контакты такого рода это самое лучшее что может быть =)
Наши подсети — это коммерческая компания исходя из внутренних документов. Лучше Вы напишите что за магистральщик, тогда будет ясно, идет наш трафик через Вас или нет.
А не является ли этот ваш будущий труд велосипедоизобретательством? Ведь есть уже серьезные организации www.webappsec.org, да и русскоязычные также есть.
Известные вам будете описывать? Это будет узко и, соответственно, не интересно.
ну если оренлаб выложит конкретные скрипты это будет полезно для определенных слоев читателей
а мне кажется будет полезнее в этой теме сделать хорошую подборку с ссылками на авторитетные источники рекомендаций в последовательности на тему типа «Как надо делать правильно и как не надо делать чего», потому как эта область очень профессиональная и компиляции непрофессионалов, конечно может и помогут кому… чем-то, но не дадут знаний. А вот знания-то в таких сферах важнее, чем конкретный скрипт. Конкретный скрипт уводит в сторону, типа взял-вставил-забыл. «Определенным слоям» все-таки полезнее знания, чем шпаргалки-выручалки.
Ну важность практического опыта нельзя недооценивать. Как нельзя переоценивать важность «авторитетных источников».
Вопервых «авторитетные источники» в большинстве своем буржуи, а русская ддос действительность куда более суровая чем западная. Те войны, которые ведуться в рунете еще не скоро осчастливят мировые просторы. Например в юго — восточной азии очень актуальна проблема irc-ботнетов. У нас я их уже года 3 не видел в серьезных атаках.
Вовторых только кажется, что авторитеты хорошо все документируют. Мы ставили центр очистки на pf и столкнулись с рядом проблем которые не лежат на поверхности. Перерыли Интернет и все что мы нашли за бугром это аналагичные нашим вопросы на форумах оставленные без ответа. В конечном счете все решили но только сами поплясав с бубнами в течении суток.

Мне кажется баланс между источниками и опытом будет самое то.
Согласен. Баланс — он и в Африке баланс.
Короче, я первоначально хотел сказать, что рассказ «о моей личной точке зрения на очень специальную и профессиональную проблему (ы)» не интересен в самой постановке задачи написания таких рассказов. Скорее это должно быть либо писано профессионалом, либо иметь некую другую форму написания об этом, но не просто рассказ «ах, какой я умный!» :-)
Другими словами, любая литература интересна, роме… неинтересной.
Мой труд будет носить информационно- аналитический характер, и я надеюсь что он поможет начинающим, да и не только специалистам понять структуру атак, методологию борьбы с ними. Все это я приправлю реальными примерами атак и возможными способами защиты от них, как на программном уровне, так и с использованием аппаратных фаерволов.

Поймите Вы одно, что практически нет 2-х одинаковых атак, если говорить о серьезных атаках, поэтому дать конкретные скрипты и конфиги фаерволов на все случаи жизни просто не возможно. Практически под каждую атаку я вынужден разрабатывать новое решение. Но основой для меня стали не буржуйские сайты, а именно та информация, которую я почерпнул из собственного опыта. Этим опытом, как возможно источником базовых знаний, я и хочу поделиться.
Да костич да =) отличная система
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.