А че эксперты? Против атаки такого масштаба эффективных мер противодействия после ее начала не существует. А превентивные меры, которые можно предпринять, стоят столько, что доступны на постоянной основе единицам компаний по всему миру.
Особо смелые, могут настроить на DNS резолв атакуемого домена на 213.24.76.23, что будет хз, но что-то будет точно
Здравствуйте, 0K, Вы писали:
0K>А не пора ли наказывать Микрософт, за то что они делают такие дырявые программы?
Проблема не в программах. Проблема в той самой прослойке между стулом и монитором.
Я могу с тем же успехом написать скрипт на sh, который встанет на любую POSIX систему с правами обычного пользователя (а что еще надо для флуда ) и будет также висеть на секретном IRC канале и слушать мои команды
Кстати, IRC боты на sh, вроде, даже готовые есть.
Ну а способ дальше точно такой же, как для винды — "скачай супер-пупер ускоритель доступа в интернет, удлиннитель причинного места и увеличитель груди до 4-го размера" — ну кто тут устоит
K>? K>Выше в топике мной процитирован текст, скопированный с хабра еще до удаления, об адалте там ни звука.
В кэше bing исходная страница ещё жива (проверил минуту назад). В обсуждении несколько интересных постов от автора статьи. В частности этот:
equand, 9 октября 2010, 03:39 # ↑ ↓
0 Около миллиона IP, то что успели посчитать . Поди поищи.
Вполне может быть, можно по DNS вычислить папу, но надо как минимум 150 гбит/с канал, чтобы попереключать по подсетям и отловить козла по странным прямым запросам к ДНСу, хотя возможно запрос будет не странным, и с разных серверов мира.
Кстати ботнет скорее всего русский, т.к. атака была на русскоязычный сайт, при беглом осмотре, что-то вроде адалт-тематики, нелегала не нашел. Второй адалт уже за неделю и тот же ботнет. Первый правда ToS нарушал, а к этому даже придраться невозможно было, хорошо что товарищ все-таки убрал IP из днса.
вот весь текст (вроде бы то же самое что на habrahabr.ru было):
DDoS со скоростью 100 Гбит/с
* Взлом
Скажите, вы когда-нибудь сталкивались со 100 гигабитной атакой на подсеть?
Когда-нибудь кто-нибудь видел как лежит yandex? rtcomm? ukrtel? darpa? evoswitch? webazilla? Сеть в мир небольшой европейской страны?
И не дай-бог вам увидеть подобное.
Если кто-то думал, есть ли термоядерное оружие в интернет — оно есть.
Затишье перед бурей
25 сентября 2010 г.:
18:25
На один IP адрес в нашей сети начинается атака, стандартный UDP flood случайными пакетами. Просим дц закрыть UDP траффик на IP, никто больше 10 гбит/с не атакует, верно?
18:35
Дц рапортует о блокировке с красивым графиком падения нагрузки на порт.
18:40
Предпоследний вопрос получил ответ — неверно! На IP дали 40 гбит/с UDP flood на всю подсеть (512 IP /23). Провайдер null рутнул всю подсеть. Подсеть не с нашей AS. Сделать ничего невозможно.
27 сентября 2010 г.:
17:30
После объяснительной нашу сеть включают, естественно атакованного попросили уйти, сменить А запись и забыть про наш хостинг еще 25-ого, пару дц положил он гуляя (кажется netdirekt и какой-то украинский).
Doomsday
7 октября 2010 г.:
10:30
На клиента-хостера, а точнее его клиента (code-named товарищ) в небольшой подсети дали атаку в 10 гбит/с, т.к. мы на «испытательном сроке», с PA подсетями туго, решили блокировать IP, попросили нуллрутнуть. Не тут-то было, старый друг вернулся. Венгерские каналы за рубеж для многих сайтов закрылись, обратно тоже самое. Атака в 100 гбит/с положила международные каналы проверки EU VAT, банковские каналы, основной канал фондовой биржи, ADSL сети и несколько ДЦ. Для локальных пользователей пол-Европы не было видно. Нас рутят в ноль.
13:44
По данным дц, спустя 1 час после дропа IP атака продолжалась на другие подсети их AS. По данным от клиента они попытались перенести сайт на Leaseweb, IP сменили. Evoswitch частично лег моментально, пока не зануллраутили IP. При смене A записи у домена атака начиналась моментально в 10 гбит/с постепенно увеличиваясь.
19:17
Товарищ сделал 127.0.0.1 у домена.
Утро вечера не мудренее
8 октября 2010 г.:
10:30
Клиент сообщает, что после переноса сайта товарища в дц webazilla на него опять полилось 60 гбит/с
11:57
Вебазилла умоляет убрать из домена A запись, т.к. магистральщики умирать начинают — льется больше 100 гбит/с.
Весело да?
После этого товарищ попрыгал по антиддосерам (укртелеком и еще какие-то вроде sharktech и еще кто-то), сайты которых быстро валились и подсети тоже.
Напомню смена A записи моментальна давала атаку, а нулрут — атаку на под-сеть, мулти-запись А — мулти-атаку!
Тут увидел что яндекс не открывается, как оказалось все довольно просто: когда товарищ уже видимо от безысходности и глупости вписывал IP адреса darpa.mil, yandex.ru, голдентелекома, google и еще кого-то, атака продолжалась на эти IP, никто не продержался.
Представьте у Вас шланг — в виде A записи, с возможностью направить куда угодно и уничтожить почти, что угодно. Попросил клиента уговорить товарища (т.к. не смыслил он, что творил, или смыслил?) прекратить делать окружающим также плохо как и ему и прописать 0.0.0.0 или 127.0.0.1.
Чудо случилось к 21:00 — darpa.mil поднялась, а ддос магически исчез.
Встает вопрос: как бороться с этим, без nullрута подсетей?
36 часов атаки, кто на такое вообще способен? И сколько такое вообще может стоить?
P.S.: Мои подсети до сих пор не включили, магистральщики боятся и просят ждать 72 часа. Дц боится вообще прикасаться к ним, оно и ясно, у них SLA 99.9% дважды нарушено, выходит они и нам должны и остальным клиентам, проще им с нами судиться, чем если что, с тысячами их клиентов.
Здравствуйте, quwy, Вы писали:
Q>И вот после всего этого снова встает закономерный вопрос: не пора ли законодательно наказывать ламеров с зоопарком троянов в системе? Для начала -- обязательным отключением от интернетов, а потом можно и круче.
А не пора ли наказывать Микрософт, за то что они делают такие дырявые программы?
Здравствуйте, quwy, Вы писали:
Q>Здравствуйте, kero, Вы писали:
Q>И вот после всего этого снова встает закономерный вопрос: не пора ли законодательно наказывать ламеров с зоопарком троянов в системе? Для начала -- обязательным отключением от интернетов, а потом можно и круче.
Осталось только добавить "и насильно пересаживать под Генту с настроенным SELinux без прав рута и иксов", а то неполный вброс .
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Ватакуси, Вы писали:
KV>>Но подобные контрмеры невозможно скоординировать и осуществить за 1,5 часа "с нуля". Они были готовы к подобной атаке В>Т.е. они входят в эти еденицы.
Слова о единицах были гиперболой. Разумеется, таких компаний больше чем 9, но в массе всех остальных они тянут на "единичные случаи".
В>А если бы, на них сейчас подали бы 100-150 гигов, как вы думаете, выжили бы они?
Не знаю, слишком мало информации о характере атаки и их инфраструктуре
В рассматриваемой в этой теме атаке (100+), например, ноды ботнета периодически актуализировали информацию об IP адресе атакуемого хоста. Брали они ее, скорее всего, непосредственно с неймсерверов, обслуживающих этот домен (ибо там наиболее актуально в каждый момент времени). Что, если бы DNS, обслуживающий этот домен, кэшировал бы IP всех, кто за время атаки обращался за резолвом их домена и возвращал бы в ответ один из закэшированных IP? Ботнет бы начал атаковать сам себя (а также тех несчастных, которые имели неосторожность разрешить имя того домена в тот период, таки-да) и, за некоторое время, вполне бы мог и развалиться. Конечно, атакуемый хост был бы тоже недоступен по имени, но зато было бы куда интереснее и веселее
А реализовать подобное тем, кто на DNS собаку съел и имеет в этом отношении весьма неслабые мощности, по-моему, вполне реально.
Здравствуйте, 0K, Вы писали:
0K>Здравствуйте, kero, Вы писали:
K>>Эксперты, ау!
0K>100 Г -- не найдете эксперта. Далеко не у каждого Д.Ц. канал шириной 100 ГБит.
0K>Мне интересно чем же это люди занимаются, что есть смысл их так ддосить?
Что значит так DDoS'ить? Просто на рынке услуг по DDoS'у появилась достаточно мощная сеть — не думаю, что они берут шибко дороже конкурентов — а цены там такие, что такое попадалово может устроить просто недовольный посетитель сайта.
P.S. Кто-то мне тут как-то доказывал, что DDoS на канал это типа невозможно, все DDoS'ят ресурсы сервера — вот их и надо позвать "Ау-у-у-у!"
Здравствуйте, kero, Вы писали:
K>http://habrahabr.ru/blogs/hosting/105830/ K>Эксперты, ау!
Это называется ППЦ. Такую атаку можно выдержать только кластером из 100+ машин и только при наличии канала, способного это все пропустить.
Здравствуйте, Submitter, Вы писали:
S>Здравствуйте, kero, Вы писали:
S>Статью убрали.
Цитата:
100+ Гбит/с DDoS
Скажите, Вы когда-нибудь сталкивались со 100 гигабитной атакой на подсеть?
Когда-нибудь кто-нибудь видел как лежит yandex? rtcomm? ukrtel? darpa? evoswitch? webazilla? Сеть в мир небольшой европейской страны?
И не дай-бог Вам увидеть подобное.
Если кто-то думал, есть ли термоядерное оружие в интернет — оно есть.
Затишье перед бурей
25 сентября 2010 г.:
18:25
На один IP адрес в нашей сети начинается атака, стандартный UDP flood случайными пакетами. Просим дц закрыть UDP траффик на IP, никто больше 10 гбит/с не атакуют верно?
18:35
Дц рапортует о блокировки с красивым графиком падения нагрузки на порт.
18:40
Предпоследний вопрос получил ответ — неверно! На IP дали 40 гбит/с UDP flood на всю подсеть (512 IP /23). Провайдер null рутнул всю подсеть. Подсеть не с нашей AS. Сделать ничего невозможно.
27 сентября 2010 г.:
17:30
После объяснительной нашу сеть включают, естественно атакованного попросили уйти, сменить А запись и забыть про наш хостинг еще 25-ого, пару дц положил он гуляя (кажется netdirekt и какой-то украинский).
Doomsday
7 октября 2010 г.:
10:30
На клиента-хостера, а точнее его клиента (code-named товарищ) в небольшой подсети дали атаку в 10 гбит/с, т.к. мы на «испытательном сроке», с PA подсетями туго, решили блокировать IP, попросили нуллрутнуть. Не тут-то было, старый друг вернулся. Венгерские каналы за рубеж для многих сайтов закрылись, обратно тоже самое. Атака в 100 гбит/с положила международные каналы проверки EU VAT, банковские каналы, основной канал фондовой биржи, ADSL сети и несколько ДЦ. Для локальных пользователей пол-Европы не было видно. Нас рутят в ноль.
13:44
По данным дц, спустя 1 час после дропа IP атака продолжалась на другие подсети их AS. По данным от клиента они попытались перенести сайт на Leaseweb, IP сменили. Evoswitch частично лег моментально, пока не зануллраутили IP. При смене A записи у домена атака начиналась моментально в 10 гбит/с постепенно увеличиваясь.
19:17
Товарищ сделал 127.0.0.1 у домена.
Утро вечера не мудренее
8 октября 2010 г.:
10:30
Клиент сообщает, что после переноса сайта товарища в дц webazilla на него опять полилось 60 гбит/с
11:57
Вебазилла умоляет убрать из домена A запись, т.к. магистральщики умирать начинают — льется больше 100 гбит/с.
Весело да?
После этого товарищ попрыгал по антиддосерам (укртелеком и еще какие-то вроде sharktech и еще кто-то), сайты которых быстро валились и подсети тоже.
Напомню смена A записи моментальна давала атаку, а нулрут — атаку на под-сеть, мулти-запись А — мулти-атаку!
Тут увидел что яндекс не открывается, как оказалось все довольно просто: когда товарищ уже видимо от безысходности и глупости вписывал IP адреса darpa.mil, yandex.ru, голдентелекома, google и еще кого-то, атака продолжалась на эти IP, никто не продержался.
Представьте у Вас шланг — в виде A записи, с возможностью направить куда угодно и уничтожить почти, что угодно. Попросил клиента уговорить товарища (т.к. не смыслил он, что творил, или смыслил?) прекратить делать окружающим также плохо как и ему и прописать 0.0.0.0 или 127.0.0.1.
Чудо случилось к 21:00 — darpa.mil поднялась, а ддос магически исчез.
Встает вопрос: как бороться с этим, без nullрута подсетей?
36 часов атаки, кто на такое вообще способен? И сколько такое вообще может стоить?
P.S.: Мои подсети до сих пор не включили, магистральщики боятся и просят ждать 72 часа. Дц боится вообще прикасаться к ним, оно и ясно, у них SLA 99.9% дважды нарушено, выходит они и нам должны и остальным клиентам, проще им с нами судиться, чем если что, с тысячами их клиентов.
Здравствуйте, Ромашка, Вы писали:
Р>09.10.2010 16:52, Здравствуйте, kero: >> Эксперты, ау!
Р>Порядка $5000/сутки. Телефон тебе достать или что ты хотел-то?
Это действительно так дорого стоит?
Help will always be given at Hogwarts to those who ask for it.
Здравствуйте, _FRED_, Вы писали:
Р>>Порядка $5000/сутки. Телефон тебе достать или что ты хотел-то?
_FR>Это действительно так дорого стоит?
Так дорого стоят широкие каналы. И вовсе не факт, что даже за 5000 в день смогут победить атаку -- как обычно деньги возьмут, пыль в глаза пустят и все.
10.10.2010 14:47, Здравствуйте, 0K: > Р>>Порядка $5000/сутки. > _FR>Это действительно так дорого стоит? > Так дорого стоят широкие каналы. И вовсе не факт, что даже за 5000 в > день смогут победить атаку -- как обычно деньги возьмут, пыль в глаза > пустят и все.
$5000/сутки стоит сама атака. Как-то противодействовать ей практически
невозможно.
Posted via RSDN NNTP Server 2.1 beta
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Особо смелые, могут настроить на DNS резолв атакуемого домена на 213.24.76.23, что будет хз, но что-то будет точно
ИМХО, darpa.mil все же эффективнее
Здравствуйте, Ромашка, Вы писали:
Р>>>Порядка $5000/сутки. Телефон тебе достать или что ты хотел-то?
Р>>Это дешево, учитывая возможные последствия. В 2004м медиа-пул Януковича пережил такую атаку. Если бы нашли кто, просто убили бы.
Р>$5000/сутки стоит сама атака. Как-то противодействовать ей практически невозможно.
Ух ты, как конкретно. Так эта... в случае чего — с заказом к тебе обращаться? А если найдут и убьют — то тогда к кому?
10.10.2010 18:27, Здравствуйте, kero: > Ух ты, как конкретно. Так эта... в случае чего — с заказом к тебе > обращаться?
Нет. Мои друзья попали под такую атаку в 2004м, им пришлось изучить
рынок. Если ты из правоохранительных структур, я поспрашиваю телефоны.
> А если найдут и убьют — то тогда к кому?
В страховую компанию.
Posted via RSDN NNTP Server 2.1 beta
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, c-smile, Вы писали:
CS>Здравствуйте, 0K, Вы писали:
0K>>Мне интересно чем же это люди занимаются, что есть смысл их так ддосить?
CS>Это как я понимаю весь Укртелеком. http://lenta.ru/news/2010/10/08/ddos/
Если это Уртелеком, то неясно, кому он снадобился. В Украине они давно и далеко не монополисты, в том числе и по магистральным каналам.
А так да, более 100 гигабит это жестоко.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, quwy, Вы писали:
Q>Здравствуйте, kero, Вы писали:
K>>http://habrahabr.ru/blogs/hosting/105830/ K>>Эксперты, ау! Q>Это называется ППЦ. Такую атаку можно выдержать только кластером из 100+ машин и только при наличии канала, способного это все пропустить.
Если правда про Укртелеком, то каналы, вроде бы, даже у него в Украине довольно жирные, 100 гигабит не так и много. А вот сервера да.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
И вот после всего этого снова встает закономерный вопрос: не пора ли законодательно наказывать ламеров с зоопарком троянов в системе? Для начала -- обязательным отключением от интернетов, а потом можно и круче.
0K>Мне интересно чем же это люди занимаются, что есть смысл их так ддосить?
На хабре до удаления статьи было написано что тема сервера который досили — адалт. Пару лет назад варезники лупились на 50Гб/с. Походу любая ниша в которой устранение одного конкурента окупается — кандидат на разборки с применением пушек такого калибра.
Здравствуйте, kero, Вы писали:
_>>На хабре до удаления статьи было написано что тема сервера который досили — адалт. K>? K>Выше в топике мной процитирован текст, скопированный с хабра еще до удаления, об адалте там ни звука.
у тебя там похоже не весь текст. там было про тему в какой-то момент.
Здравствуйте, Antikrot, Вы писали:
K>>Выше в топике мной процитирован текст, скопированный с хабра еще до удаления, об адалте там ни звука. A>у тебя там похоже не весь текст. там было про тему в какой-то момент.
Здравствуйте, Eugeny__, Вы писали:
Q>>И вот после всего этого снова встает закономерный вопрос: не пора ли законодательно наказывать ламеров с зоопарком троянов в системе? Для начала -- обязательным отключением от интернетов, а потом можно и круче. E__>Осталось только добавить "и насильно пересаживать под Генту с настроенным SELinux без прав рута и иксов", а то неполный вброс .
А это и не вброс. Одним из основных моих занятий на данный момент является именно защита от DDoS. И мне отсюда видно, что любые технические методы -- это лишь полумеры. Юзеров в интернете столько, что мобилизовав не более 0.001% от их числа, можно положить среднюю европейскую страну по всем подсетям и никакие технические средства на данном этапе развития технологий не смогут этому помешать.
P.S. Несколькими годами ранее я держал небольшую шаражку по ремонту компьютеров. Я насмотрелся там такого, что теперь меня совершенно не удивляют случаи, когда компьютер хозяина/админа защищаемого сайта оказывается в списке атакующих.
P.P.S. И операционки тут не при чем, DOOM прав. До тех пор, пока юзер не уяснит, что отсутствие компьютерной гигиены черевато отключением от однокласников [и штрафами], никакие линуксы положения не изменят.
Здравствуйте, hi_octane, Вы писали:
0K>>Мне интересно чем же это люди занимаются, что есть смысл их так ддосить? _>На хабре до удаления статьи было написано что тема сервера который досили — адалт. Пару лет назад варезники лупились на 50Гб/с. Походу любая ниша в которой устранение одного конкурента окупается — кандидат на разборки с применением пушек такого калибра.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>А че эксперты? Против атаки такого масштаба эффективных мер противодействия после ее начала не существует.
А тут пишут, что справились довольно быстро.
Врут?
DNS Made Easy currently offers DNS services to approximately 500,000 domains on the Internet. Being the largest Enterprise DNS provider permits us to keep costs low and pass the savings along to our customers
А превентивные меры, которые можно предпринять, стоят столько, что доступны на постоянной основе единицам компаний по всему миру.
Превентивные меры ими выполнялись (распределение серверов на весьма широких каналах, возможность гибкой и оперативной балансировки трафика между нодами). Заручившись поддержкой владельцев магистральных каналов и датацентров, способных принять на себя некоторую часть паразитного трафика они вполне могли отбить атаку за 1,5.
Но подобные контрмеры невозможно скоординировать и осуществить за 1,5 часа "с нуля". Они были готовы к подобной атаке
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Но подобные контрмеры невозможно скоординировать и осуществить за 1,5 часа "с нуля". Они были готовы к подобной атаке
Хотя, лично мне представляется, что справились они в основном потому, что большая часть подсети лежала в Китае и китайские провайдеры просто напросто их "обрубили" оперативно.
Если бы как в этой 100 гиговой атаке ддосили со всего мира, так быстро бы не отделались бы.
Здравствуйте, quwy, Вы писали:
Q>И вот после всего этого снова встает закономерный вопрос: не пора ли законодательно наказывать ламеров с зоопарком троянов в системе? Для начала -- обязательным отключением от интернетов, а потом можно и круче.
Ну, не кажется фантастическим и более радикальный подход: в процессор кое-что встраивать, на уровне производителя. Хотя, конечно, я — против
) и будет также висеть на секретном IRC канале и слушать мои команды 
. Поди поищи.
