По поводу Русского языка отвечу один раз и сразу всем. В нашем Родном языке, к моему сожалению, стало слишком много заимствованных слов. Некоторые слова (например "байт" и в меньшей мере "файл") на момент их появления просто нечем было заменить. Это нормально. Но, вот когда я слышу (или читаю) как "кейсят" и "снипят", просто так, вообще не по теме IT - это просто Зло. Ну перейдите тогда на английский. Уважайте и Любите Русский язык! И сохраняйте его. Он реально Великий, потому что в нем есть Душа. Потеряете его, и кем вы станете? Еще одним "кейсом" в сером стаде "сниперов".
Подскажите пожалуйста в чем разница между коммутаторами 67xx и 68хх?
Выбираю в качестве ToR-коммутатора для стойки с серверами vSAN.
На первый взгляд по характеристикам разницы не вижу, за исключением количества портов. Но почему-то у Huawei на сайте 6730 например отнесены к кампусу, а 68xx — к датацентру.
Дак какую кнопку жать?
Спасибо.
Задача тривиальная — бесконечный NAS.)
Посмотрел. Вроде неплохая вещь.
С кем можно пообщаться подробнее? Нужно одно хранилище с файловым доступом и начальным эффективным объемом 100ТБ для файловой помойки. и Одно с блочным -для БД (50 ТБ для начала).
Просто я интуитивно понимаю, что просто купить ноды — этого мало. Поэтому нужна более подробная информация.
Вот интересно что будет если прибудут сразу три поезда? Куда кинется сотрудник вокзала?
В целом же — в каждом из вариантов свои проблемы. IO тратит больше ресурсов на сетевую подсистему и меньше на обработку данных, NIO — наоборот.
Все это прекрасно только на быстрых выделенных каналах.
А как мне, пользователю пропихнуть L2 из Москвы во Владивосток без заключения договора на L3VPN с провайдером? И не станет ли такая связь большим геморроем чем ее отсутствие?
Господа (и дамы, конечно)
Будте добры четко сформулируйте признаки HCI. Конкретный пример: Fujitsu Pimeflex for VCF это HCI. А если я просто соберу те же, допустим, четыре ноды, поставлю vSphere, vSAN, NSX, но не буду устанавливать SDDC Manager, это будет считаться HCI или нет?
Теперь уже лучше это вот мучить из MSP430: SGB180-h3. Все выводы в наличии, причем их 64 вроде. Не жалко и на 8 бит Parallel TFT дисплей с тачем потратить.
Да, но какое это имеет отношение к адресу 91.122.49.173?
Насколько я понимаю порт должен быть подписан на IGMP группу чтобы в него лился этот трафик. Иначе это броадкаст. И в это время не наблюдается активности по IGMP.
Спасибо за информацию. Чем больше ее тем лучше.
1.Да, динамика похоже может частично поставить крест на идее перманентной блокировки сканеров по адресу. Опять же нужно подкопить статистики чтобы понять как быстро бот проходит свой диапазон. Если, допустим, один из агентов увидел сканирование и передал инфу в Центр, а Центр сразу разослал адрес сканера клиентам для бана скажем на сутки, то сколько клиентов успеют закрыться? Спасибо, что обратили внимание. Надо курить…
2. поисковые боты пусть ходят согласно robots.txt. Неумеете сами? Покупайте опцию — настроим, проследим чтобы поисковики были как дома. Не в ущерб безопасности. Потом они как правило сильно не прячутся и думаю их легко добавить в доверенные.
3. Мне кажется немного не по теме. Капча любая это уже защита на более высоком уровне. Это когда первый бот определит что у вас на сервере WordPress посредством сканирования таргета wp-login. вот тогда туда полезет другой гадить рекламой в комменты.
Тут то капча и пригодится. Однако к этому времени вы уже получите уведомление от Центра о том, что вас просканировали и нашли вашу уязвимость. Защищайтесь господа, вы предупреждены. Или покупайте опцию, мы с радостью вам установим капчу которая сама не бот.
4.Зачем надеяться на админа? Факт сканирования, тем более с успешным результатом это уже повод готовиться. Пусть логи смотрит железка — она всегда на месте, а грамотные люди помогут. За соответствующую плату конечно.
Немного зная психологию руководителе, они с радостью снимут с админа, который человек, тяжкий груз парсинга логов.
P.S. Эта железка будет стоять у клиента. Это значит, что клиент может в любое время физически исключить ее из схемы. Конечно об этом сразу станет известно Центру и обслуживание на это время будет приостановлено. В общем, включаете новенький сервер через железку и ждете уведомления о сканировании с результатами. И Центру напрягаться не надо — предугадывать уязвимости. Как новые появятся сканеры придут за ними сами.
Привет!
Что касается «банить всех кто на моем адресе» не совсем понял о чем вы. Но рассмотрим этот случай. Допустим я тот конкурент. Вот мой веб-сервер. А между ним и Сетью некая железка которая прозрачно пропускает трафик, но мониторит его на адрес источника и может фильтровать.
Эта же железка время от времени получает некий список адресов из Центра и тупо отфильтровывает весь трафик с них.
Она же время от времени получает логи с моего веб-сервера и парсит их на предмет сканирования. Результаты парсинга отправляет в Центр.
Вы посканили веб-сервер. Сканирование это не атака. К тому же вашего адреса нет в списке из Центра.
После этого происходят следующие события:
1. в Центр улетает отчет о сканировании. Центр сверяет по разным признакам и решает на основе статистики бот это или одиночное сканирование. В первом случае адрес источника добывляется в лист фильтрации и лист обновляется на всех устройствах подключенных к Центру. Во втором адрес источника попадает в лист только для Моего устройства фильтрации но информация о сканировании сохраняется в Центре.
2. Мне(админу, в СБ)на почту приходит уведомление от Центра с информацией об атаке — когда, откуда, что сканировали и какие результаты(куда достучались куда нет). Так же по результатам — рекомендации что нужно сделать чтобы устранить существующие уязвимости.
3. Центр по мере возможности проводит работу по локализации сканера. Выходит на провайдеров. Вычисляет устройство с которого сканировали. В конце концов просто предупреждает владельца ресурса о нездоровой активности с его адреса.
Результаты:
1.никто кроме источника сканирования ничего не заметит. в лист фильтрации попадет только ваш адрес(точнее адрес сканера). И то временно(до выяснения).
2. Я получаю информацию о состоянии безопасности моего веб-сервера. Админ получает волшебного пенделя и принимает меры к устранению дыр. СБ возбуждается и проводит орг. мероприятия.
В чем профит для владельца сервера:
Больше не нужен аудит сетевой безопасности для веб(майл и прочих) серверов. Админы могут меняться, но их недостаточная компетентность будет компенсироваться компетентностью Центроа. СБ связывает факты сканирования с другой информацией и делает выводы об активности конкурентов.
Профит для Центра: хакер снимает заботу о поиске новых сетевых дыр — сканеры сами дают информацию о новых таргетах.
Центр увеличивает статистику и точность определения ботов, не дает им спокойно жить, заставляет менять адреса, словари.
А устройство сканирования может само проводить аудит безопасности — по данным из Центра. А также выполнять другие действия о которых я рассеказывать не буду, ибо хочу превратить эту идею в коммерческий проект.
Как-то так.
1. Сканирование подразумевает сбор данных. Данных о наличие уязвимостей в системе. Для чего это нужно? Для использования этих уязвимостей.
Как защититься? Кто-то знает. Кто-то нет.
Я предлагаю решить проблему глобально — иметь актуальный бан-лист ботов. Актуальный значит чт он может меняться постоянно в зависимости от статистики. А современные NG Firewall разве не так работают? Ведь практически все перешли на централизованное обновление сигнатур. Хоть возьмите Wildfire от Palo Alto…
Но это защита от нападения.
А я предлагаю пойти дальше — не дать злоумышленникам прощупать вашу систему. Пусть бан-лист получает сервер или железка СЗП. не суть. Это касается не только сканирования HTTP конечно, но и ssh и телнет и других уязвимых сервисов. Но основа — статистика. И чем ее больше тем точнее определяется источник угрозы.
2. HEAD это какой уровень? Сессия ТСР должна быть установлена (ACK! SEQ!). Это значит что на один адрес нужно отправить не один пакет с HEAD. Иначе ничего не придет боту. Тогда зачем он нужен?.. 100 байт это очень оптимистично. Теперь. сервер должен также переварить все оветы чтобы найти код 200. Много ли серверов VDS/VPS предлагают 10G интернет? Сколько это стоит? Доступно ли это школьникам? И т.д. вопросы, вопросы.
Вопрос в том много это сколько? Наверняка ведь конечное число.
Еще вопрос в том, какое оптимальное количество агентов и где нужно разместить в Сети чтобы вычислить всех ботов?
Я уже ниже ответил, что теоретически все возможно, но есть реальность -ограничения ресурсов сервера и толщины канала в Сеть.
Вот у меня пока 2 агента в одном диапазоне адресов и я пока не вижу одновременности в действиях ботов.
Вопрос как правильно построить антибот-сеть и сколько минимально агентов нужно разместить и где чтобы вычислить всех ботов?
А теория она и есть теория — нужна конечно, но на практике все немного иначе всегда.
Вы конечно правы, но я хочу увидеть что это так. Это подтвердится как только на двух агентах совпадут(до секунды) время, источник сканирования и словарь. Пока не вижу такого совпадения. Может быть диапазоны ботам нарезаны не сплошные или каждый запрос отдельно проксируется. Не могу точно сказать. Мало статистики. Хорошо бы побольше агентов. Вот как лучше размещать агентов чтобы увидеть всех ботов? Территориально? Неизвестно сканит ли бот всегда один диапазон или перебирает их. Потом большая часть сканов — единичные, один таргерт. Иногда какая-то ерунда в запросе. Это что? Случайность? Или тоже проверка?
В общем пока одни вопросы. Но, думаю, чем больше статистика тем точнее результат. Ждем-с.
А давайте посчитаем:
В нашем случае сканируется веб-сервер на наличие определенных путей.
По моим сведениям (из текущей статистики) в словаре обычно 5-10 таргетов. Примем — 5.
Задача бота получить ответ от сервера — есть такой таргет или нет. Значит одним запросом на таргет не ограничится (Протокол ТСР, установка соединения). Примем-5 запросов на таргет.
Таки на один словарик 25 запросов.
Задержка до разных IP будет разная( вот в Австралии, пишут, совсем плохо с этим).
ОК. Примем круговую — 10мс.
То есть на опрос одного таргета, с крошечным словариком и средней задержкой необходимо 25х10=250мс. Еще, если адрес недоступен, то наверняка срабатывает таймаут. Ну, допустим доступны все 4млрд.
Итак, 4млрд в наших, идеальных условиях будут опрошены одним ботом за 4млрд*250мс=31год
Чтобы опросить весь диапазон за 10 часов нужно использовать 27156 ботов, разделив между ними весь диапазон.
А теперь вопрос из жизни: Сколько существует ботов и какие диапазоны им нарезаны если ежедневно на одном адресе регистрируется 5 случаев сканирования, равномерно распределенных по времени суток.
Кстати, интересно было бы сравнить статистику скажем на 100 хостах.
А я планирую собирать блок-списки не/(не только) по количеству обращений а по признаку сканирования или перебора паролей. Если разместить достаточное количество сенсоров в Сети то за какое-то время T можно вычислить всех ботов и прокси. Ведь количество их все равно ограничено. Тогда забанив бота я заблокирую с него любой трафик DoS,SYN,HTTP Flood… Да все равно какой. Забанив прокси я рискую отсечь часть правильных клиентов от ресурса. Вообще есть большое желание сделать железку, которую можно воткнуть в разрез и управлять ею централизованно, рассылая списки доступа. Смотрю в сторону NPA-1,2,3. То есть система такая — сенсоры собирают статистику в центральную базу, анализатор вычисляет ботов и посылает списки на девайсы. Те на лету ACL применяют. И хочу еще до 5 уровня пакеты разбирать чтобы по URL фильтровать чтобы допустим не давать приходить обновлениям с Мелкомягких пока не проверено. Ну, чтобы админов избавить от головняка.
По поводу Русского языка отвечу один раз и сразу всем. В нашем Родном языке, к моему сожалению, стало слишком много заимствованных слов. Некоторые слова (например "байт" и в меньшей мере "файл") на момент их появления просто нечем было заменить. Это нормально. Но, вот когда я слышу (или читаю) как "кейсят" и "снипят", просто так, вообще не по теме IT - это просто Зло. Ну перейдите тогда на английский. Уважайте и Любите Русский язык! И сохраняйте его. Он реально Великий, потому что в нем есть Душа. Потеряете его, и кем вы станете? Еще одним "кейсом" в сером стаде "сниперов".
Выбираю в качестве ToR-коммутатора для стойки с серверами vSAN.
На первый взгляд по характеристикам разницы не вижу, за исключением количества портов. Но почему-то у Huawei на сайте 6730 например отнесены к кампусу, а 68xx — к датацентру.
Дак какую кнопку жать?
Задача тривиальная — бесконечный NAS.)
Посмотрел. Вроде неплохая вещь.
С кем можно пообщаться подробнее? Нужно одно хранилище с файловым доступом и начальным эффективным объемом 100ТБ для файловой помойки. и Одно с блочным -для БД (50 ТБ для начала).
Просто я интуитивно понимаю, что просто купить ноды — этого мало. Поэтому нужна более подробная информация.
В целом же — в каждом из вариантов свои проблемы. IO тратит больше ресурсов на сетевую подсистему и меньше на обработку данных, NIO — наоборот.
А как мне, пользователю пропихнуть L2 из Москвы во Владивосток без заключения договора на L3VPN с провайдером? И не станет ли такая связь большим геморроем чем ее отсутствие?
Господа (и дамы, конечно)
Будте добры четко сформулируйте признаки HCI. Конкретный пример: Fujitsu Pimeflex for VCF это HCI. А если я просто соберу те же, допустим, четыре ноды, поставлю vSphere, vSAN, NSX, но не буду устанавливать SDDC Manager, это будет считаться HCI или нет?
Насколько я понимаю порт должен быть подписан на IGMP группу чтобы в него лился этот трафик. Иначе это броадкаст. И в это время не наблюдается активности по IGMP.
Сеть: 224.0.0.0 / 4
Минимальный IP: 224.0.0.1
Максимальный IP: 239.255.255.254
1.Да, динамика похоже может частично поставить крест на идее перманентной блокировки сканеров по адресу. Опять же нужно подкопить статистики чтобы понять как быстро бот проходит свой диапазон. Если, допустим, один из агентов увидел сканирование и передал инфу в Центр, а Центр сразу разослал адрес сканера клиентам для бана скажем на сутки, то сколько клиентов успеют закрыться? Спасибо, что обратили внимание. Надо курить…
2. поисковые боты пусть ходят согласно robots.txt. Неумеете сами? Покупайте опцию — настроим, проследим чтобы поисковики были как дома. Не в ущерб безопасности. Потом они как правило сильно не прячутся и думаю их легко добавить в доверенные.
3. Мне кажется немного не по теме. Капча любая это уже защита на более высоком уровне. Это когда первый бот определит что у вас на сервере WordPress посредством сканирования таргета wp-login. вот тогда туда полезет другой гадить рекламой в комменты.
Тут то капча и пригодится. Однако к этому времени вы уже получите уведомление от Центра о том, что вас просканировали и нашли вашу уязвимость. Защищайтесь господа, вы предупреждены. Или покупайте опцию, мы с радостью вам установим капчу которая сама не бот.
4.Зачем надеяться на админа? Факт сканирования, тем более с успешным результатом это уже повод готовиться. Пусть логи смотрит железка — она всегда на месте, а грамотные люди помогут. За соответствующую плату конечно.
Немного зная психологию руководителе, они с радостью снимут с админа, который человек, тяжкий груз парсинга логов.
P.S. Эта железка будет стоять у клиента. Это значит, что клиент может в любое время физически исключить ее из схемы. Конечно об этом сразу станет известно Центру и обслуживание на это время будет приостановлено. В общем, включаете новенький сервер через железку и ждете уведомления о сканировании с результатами. И Центру напрягаться не надо — предугадывать уязвимости. Как новые появятся сканеры придут за ними сами.
Что касается «банить всех кто на моем адресе» не совсем понял о чем вы. Но рассмотрим этот случай. Допустим я тот конкурент. Вот мой веб-сервер. А между ним и Сетью некая железка которая прозрачно пропускает трафик, но мониторит его на адрес источника и может фильтровать.
Эта же железка время от времени получает некий список адресов из Центра и тупо отфильтровывает весь трафик с них.
Она же время от времени получает логи с моего веб-сервера и парсит их на предмет сканирования. Результаты парсинга отправляет в Центр.
Вы посканили веб-сервер. Сканирование это не атака. К тому же вашего адреса нет в списке из Центра.
После этого происходят следующие события:
1. в Центр улетает отчет о сканировании. Центр сверяет по разным признакам и решает на основе статистики бот это или одиночное сканирование. В первом случае адрес источника добывляется в лист фильтрации и лист обновляется на всех устройствах подключенных к Центру. Во втором адрес источника попадает в лист только для Моего устройства фильтрации но информация о сканировании сохраняется в Центре.
2. Мне(админу, в СБ)на почту приходит уведомление от Центра с информацией об атаке — когда, откуда, что сканировали и какие результаты(куда достучались куда нет). Так же по результатам — рекомендации что нужно сделать чтобы устранить существующие уязвимости.
3. Центр по мере возможности проводит работу по локализации сканера. Выходит на провайдеров. Вычисляет устройство с которого сканировали. В конце концов просто предупреждает владельца ресурса о нездоровой активности с его адреса.
Результаты:
1.никто кроме источника сканирования ничего не заметит. в лист фильтрации попадет только ваш адрес(точнее адрес сканера). И то временно(до выяснения).
2. Я получаю информацию о состоянии безопасности моего веб-сервера. Админ получает волшебного пенделя и принимает меры к устранению дыр. СБ возбуждается и проводит орг. мероприятия.
В чем профит для владельца сервера:
Больше не нужен аудит сетевой безопасности для веб(майл и прочих) серверов. Админы могут меняться, но их недостаточная компетентность будет компенсироваться компетентностью Центроа. СБ связывает факты сканирования с другой информацией и делает выводы об активности конкурентов.
Профит для Центра: хакер снимает заботу о поиске новых сетевых дыр — сканеры сами дают информацию о новых таргетах.
Центр увеличивает статистику и точность определения ботов, не дает им спокойно жить, заставляет менять адреса, словари.
А устройство сканирования может само проводить аудит безопасности — по данным из Центра. А также выполнять другие действия о которых я рассеказывать не буду, ибо хочу превратить эту идею в коммерческий проект.
Как-то так.
Как защититься? Кто-то знает. Кто-то нет.
Я предлагаю решить проблему глобально — иметь актуальный бан-лист ботов. Актуальный значит чт он может меняться постоянно в зависимости от статистики. А современные NG Firewall разве не так работают? Ведь практически все перешли на централизованное обновление сигнатур. Хоть возьмите Wildfire от Palo Alto…
Но это защита от нападения.
А я предлагаю пойти дальше — не дать злоумышленникам прощупать вашу систему. Пусть бан-лист получает сервер или железка СЗП. не суть. Это касается не только сканирования HTTP конечно, но и ssh и телнет и других уязвимых сервисов. Но основа — статистика. И чем ее больше тем точнее определяется источник угрозы.
2. HEAD это какой уровень? Сессия ТСР должна быть установлена (ACK! SEQ!). Это значит что на один адрес нужно отправить не один пакет с HEAD. Иначе ничего не придет боту. Тогда зачем он нужен?.. 100 байт это очень оптимистично. Теперь. сервер должен также переварить все оветы чтобы найти код 200. Много ли серверов VDS/VPS предлагают 10G интернет? Сколько это стоит? Доступно ли это школьникам? И т.д. вопросы, вопросы.
Еще вопрос в том, какое оптимальное количество агентов и где нужно разместить в Сети чтобы вычислить всех ботов?
Я уже ниже ответил, что теоретически все возможно, но есть реальность -ограничения ресурсов сервера и толщины канала в Сеть.
Вот у меня пока 2 агента в одном диапазоне адресов и я пока не вижу одновременности в действиях ботов.
Вопрос как правильно построить антибот-сеть и сколько минимально агентов нужно разместить и где чтобы вычислить всех ботов?
А теория она и есть теория — нужна конечно, но на практике все немного иначе всегда.
В общем пока одни вопросы. Но, думаю, чем больше статистика тем точнее результат. Ждем-с.
Есть ответ на задачку?
В нашем случае сканируется веб-сервер на наличие определенных путей.
По моим сведениям (из текущей статистики) в словаре обычно 5-10 таргетов. Примем — 5.
Задача бота получить ответ от сервера — есть такой таргет или нет. Значит одним запросом на таргет не ограничится (Протокол ТСР, установка соединения). Примем-5 запросов на таргет.
Таки на один словарик 25 запросов.
Задержка до разных IP будет разная( вот в Австралии, пишут, совсем плохо с этим).
ОК. Примем круговую — 10мс.
То есть на опрос одного таргета, с крошечным словариком и средней задержкой необходимо 25х10=250мс. Еще, если адрес недоступен, то наверняка срабатывает таймаут. Ну, допустим доступны все 4млрд.
Итак, 4млрд в наших, идеальных условиях будут опрошены одним ботом за 4млрд*250мс=31год
Чтобы опросить весь диапазон за 10 часов нужно использовать 27156 ботов, разделив между ними весь диапазон.
А теперь вопрос из жизни: Сколько существует ботов и какие диапазоны им нарезаны если ежедневно на одном адресе регистрируется 5 случаев сканирования, равномерно распределенных по времени суток.
Кстати, интересно было бы сравнить статистику скажем на 100 хостах.