Neas <neas@neas.invalid> wrote:
> Krzysztof Oledzki pisze:
>
> > I teraz pomyśl chwileczkę, ile zajmuje zakładanie blokadny na kilkuset src
> > i ile razy dzinnie coś takiego możnaby robić. Blokowanie danego hosta
> > albo konkretnego portu jest jedynym rozwiązaniem, serio.
>
> A, jeszcze coś.
>
> Kiedyś atakowano mi DNS-y w dośc ciekawy sposób. Mianowicie wysyłając setki
> zwykłych zapytań o nieistniejące hosty w którejść z moich domen na sekunde.
> Było to w porywach 0.5 mbita i nie zapychało łącza, ale skutecznie
> blokowało moje DNS-y. Te zapytania szły z prawie tysiąca hostów, pewnie z
> resztą był to spoof. Ale mniejsza o to. Napisanie prostego skryptu który
> wyciągnął mi te ipki z logów i dropnął zajęło mi chwilę.
A teraz pomyśl że nie masz dostępu do takich logów, tak jak operator Polpaka.
Co teraz? Jak poznasz że dane zapytanie DNS było częścią ataku?
> Moim zdaniem zdecydowanie przejaskrawiasz ten domniemany problem z tymczasowym
> wycięciem kilkuset ipków.
Ciągle zapominasz, że nie jesteś sam. OK, jako administrator swojej sieci
możesz poświęcić dowolnie wiele czasu na odpieranie ataku. Będąc operatorem
w takim jak Polpak nie masz już takiego komfortu - masz tysiące klientów,
każdy ma jakieś problemy. Zostało zaproponowane rozwiązanie, które
w dobrze zaprojektowanej sieci powinno zadziałać. Kto poważny wchodzi na IRC
z adresem, na którym znajdują się krytyczne dla pracy firmy usługi?
> Jeśli już nie potrafią zastosować bardziej sensownego
> rozwiązania (przykłady podałem w innych postach) to mogliby zrobić chociaż
> to.
Podałeś im gotowe ip? Zasugerowałeś że przygotujesz aclki wg. ich zaleceń?
Pozdrawiam,
Krzysztof Oledzki
-- Krzysztof Olędzki e-mail address: ole(a-t)ans(d-o-t)pl Registered User: Linux - 189200, BSD - 51140 Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)Received on Fri May 20 01:35:17 2005
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 20 May 2005 - 01:40:03 MET DST