polip: Re: DDoSy, co robic?

Re: DDoSy, co robic?

Autor: Łukasz Bromirski (whetever_at_whenever.goes)
Data: Thu 08 Jan 2004 - 12:13:17 MET

Następna wiadomość: Mariusz Krukowski: "Re: DDoSy, co robic?"
Poprzednia wiadomość: Piotr KUCHARSKI: "Re: DDoSy, co robic?"
W odpowiedzi na: Piotr KUCHARSKI: "Re: DDoSy, co robic?"
Następna w wątku: Piotr KUCHARSKI: "Re: DDoSy, co robic?"
Odpowiedz: Piotr KUCHARSKI: "Re: DDoSy, co robic?"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

Piotr KUCHARSKI wrote:

>>I tak i nie. Atak czesto jest wymierzony w konkretny adres IP, powoduje
>>natomiast zapchanie calego lacza, za ktorym moze sie znajdowac wiele
>>urzadzen. Jezeli zablokujesz ruch do atakowanego adresu, odciazysz
>>przynajmniej pozostale urzadzenia u tego samego klienta.
> Ale łącze do operatora dalej jest zatkane.

No nie jest. Masz np. pulę 192.168.0.0/24, DDoS przychodzi na
dwa IP: 192.168.0.64 i 192.168.0.251. Masz ze swoim (-imi) ISP
ustalony peering BGP, więc po wpisaniu do swoich routerów BGP
linijek:

ip route 192.168.0.64 255.255.255.255 Null0 tag 12345
ip route 192.168.0.251 255.255.255.255 Null0 tag 12345

...powodujesz, że przez BGP (dzięki dodatkowo route-mapie i
ustaleniu community) taka trasa znajduje się najpierw
w brzegowym routerze operatora, a chwilę później w całej jego
sieci.

To powoduje, że na każdym punktu styku w ASie Twojego ISP
z innymi ASami, cały ruch do nieszczęsnych 192.168.0.64 i .251
jest od razu routowany do Null 0, natomiast cała reszta
ruchu z podsieci 192.168.0.0/24 przechodzi do Ciebie. Dodatkowym
zyskiem dla ISP jest oszczędzenie swojej sieci, bo nie tranzytuje
śmieciowego ruchu DoS/DDoS.

Jeśli ofiarą ataku jest klient, to prosisz go żeby w celu
dalszego korzystania z Internetu czasowo zmienił sobie IP,
jeśli serwer - trzeba uprzednio przygotować sobie zapasowy.
Najgorzej jak celem ataku DDoS stanie się IP na interfejsie
Twojego routera brzegowego - wtedy jedynym rozwiązaniem jest
blokowanie po źródłach ataku a nie po adresie docelowym, bo
w innym przypadku ISP odetnie sobie Ciebie ;)

> Gdyby tylko dało się łatwo udowodnić, kto stoi za atakami, eh.
> I doprowadzić do skazania. Po kilku takich procesach przestaliby
> bezmyślnie szastać DDoS-ami.

Dopóki ludzie będą bezmyślnie używać systemów niezabezpieczonych
przy podłączeniach do Internetu, możliwość ich masowego przejęcia
i zastosowania w takim ataku będzie bardzo atrakcyjną perspektywą.
Czyli - nieprędko chyba się to skończy.

Przykładów z routerów których doglądam przytaczać chyba nie
ma sensu, ale nie ma nawet takiej potrzeby - mam w domu Neo+,
którego adres zmienia się co 3-4 godziny i codziennie puka do mnie
paręnaście stacji, które bardzo proszą się o przejęcie nad nimi
kontroli. No i zawsze znajdzie się ktoś, kto skorzysta.

-- 
Łukasz Bromirski                             lbromirski:mr0vka,eu,org

Następna wiadomość: Mariusz Krukowski: "Re: DDoSy, co robic?"
Poprzednia wiadomość: Piotr KUCHARSKI: "Re: DDoSy, co robic?"
W odpowiedzi na: Piotr KUCHARSKI: "Re: DDoSy, co robic?"
Następna w wątku: Piotr KUCHARSKI: "Re: DDoSy, co robic?"
Odpowiedz: Piotr KUCHARSKI: "Re: DDoSy, co robic?"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:10:26 MET DST