DDOS

[tomekp]

Prawde mowiac tak jak zostalo wspomniane na poczatku bardzo fajnym pomyslem jest projekt Lukasza B. http://lukasz.bromirski.net/bgp-blackholing/index.html

Jesli rozwinelo by sie to na wieksza skale i chcieli wspolpracowac ci wieksi oparatorzy to byla by to bardzo dobra i skuteczna obrona przed takimi atakami.

Jak wyobrazasz sobie praktycznie zastosowanie tego projektu pod katem ddos ?
---
pozdr

Poczytaj wszystko jest ladnie opisane na stronie jak to dziala...

[f2048r]

Poczytaj wszystko jest ladnie opisane na stronie jak to dziala...

ok, masz racje pisze w opisie o ddos. Wydaje mi sie ze zastosowanie tego projektu pod katem ddos jest stosunkowo mało praktyczne na dzien dzisiejszy ze wzgledu na mala liczbe czlonkow i stosunkowa małą liczbe prefixow, pytanie tez na ile jest to na biezaco aktualizowane przez czlonkow co byloby istotne z punktu widzenia ataku przed ddos. Ale oczywiscie pomysl i inicjatywa bardzo fajna.

[tomekp]

Poczytaj wszystko jest ladnie opisane na stronie jak to dziala...

ok, masz racje pisze w opisie o ddos. Wydaje mi sie ze zastosowanie tego projektu pod katem ddos jest stosunkowo mało praktyczne na dzien dzisiejszy ze wzgledu na mala liczbe czlonkow i stosunkowa małą liczbe prefixow, pytanie tez na ile jest to na biezaco aktualizowane przez czlonkow co byloby istotne z punktu widzenia ataku przed ddos. Ale oczywiscie pomysl i inicjatywa bardzo fajna.

No wlasnie tez nie wiem co sie z tym obecnie dzieje - jednak wlasnie mowilem ze jest to fajna koncepcja jak by sie to rozwinelo. Moze Lukasz sie cos wypowie co sie dzieje z projektem...

[lbromirs]

No wlasnie tez nie wiem co sie z tym obecnie dzieje - jednak wlasnie mowilem ze jest to fajna koncepcja jak by sie to rozwinelo. Moze Lukasz sie cos wypowie co sie dzieje z projektem...

Członków było w szczycie ponad 300, obecnie projekt powoli przymiera - ludzie zrywają sesje, nie ma z nimi kontaktu, nie pracują już w firmach w których konfigurowali sesje, etc.

Generalnie idea była fajna gdy popularyzowaliśmy (-łem?) ideę bezpieczeństwa sieciowego "namacalnego" dla każdego grzebacza z routerem firmowym lub quaggą/openbgpd. Później już się ze mnie śmiali (-iście?) że jak wyjdę to zaraz coś opowiem o blackholingu.

Oficjalnie nie udało nam się namówić z większych firm operatorskich nikogo poza dwoma - pozostali grzecznie odmawiali, ale po prostu budowali u siebie takie mechanizmy i nie zamierzali ufać 'byle komu'. Jest to oczywiście zrozumiałe.

Siłą projektu mogłoby być masowe uczestnictwo ludzi z /24, /23, /22 z których potencjanie mogły wychodzić ataki, choć przyjmowałem nawet ludzi z jednym adresem z /30, bo zawsze to te 2-10Mbit/s ruchu który mogą rzucić na jakąś ofiarę.

Dzisiaj każdy z operatorów ma takie mechanizmy 'produkcyjnie', choć często nie mówi się o tym, albo daje tylko wybranym klientom. Podobne projekty prowadzą sieci akademickie.

Myślę że nie ma sensu obecnie kontynować projektu w takiej formie w jakiej aktualnie jest utrzymywany - co prawda wchodzimy w IPv6 i znów możnaby zacząć serwować prefiksy, ale po pierwsze świadomość tego jak działa BGP blackholing w Polsce jest już dzisiaj dosyć powszechna (przynajmniej w porównaniu ze stanem sprzed 2-3 lat), a po drugie trudno mi osobiście ten projekt kontynuować samemu - nie skaluje się czasowo. Rozwiązaniem mogłoby być przekazanie go w ręce np. NOCa PLIXowego, ale tu pojawił się problem którego nie dostrzegałem, a który został podniesiony podczas dyskusji na PLNOGu - ludzie ufali mi, a niekoniecznie mogą/chcą ufać innym ludziom. To też jest dosyć zrozumiałe.

Jeśli chodzi o skuteczność - to tak, parę razy prefiksy były rozgłaszane i atakowani twierdzili że ruch im spadał, ale ilość źródeł z Polski vs świat stanowiła 2-5% ruchu (to raz), dwa te 2-3 lata temu nadal byliśmy jako ludzie w trybie nie mówienia i nie dzielenia się z nikim wiedzą dotyczącą tego ile ruchu ostatnio zostało zuRPFowane/zblackholingowane i nie miałem generalnie wielu szans pogadania o doświadczeniach 'real life'.

Chętnie poczytam co na ten temat uważacie, bo chciałbym zdecydować do dalej.

[tomekp]

No to ja jestem jednym z tych banitow ktory znikl nagle z pewnej firmy i sprzet przejela inna osoba ktora zapewne to wywalila. Zreszta rozwalila cala siec pod katem bezpieczenstwa (nawet w DOCSIS wylaczyl BPI+) he he ktora niemal byla "moim dzieckiem".

Jednak projekt byl bardzo fajny przynajmniej moim zdaniem, moze faktycznie braklo troche komunikacji miedzy ludzmi choc byla lista dyskusyjna.

Czy sie ktos smial - nie wiem. Ja tego tak nie traktowalem moze inni - pytanie tylko dla czego skoro nie byl to glupi pomysl.

Co do zmiany osoby to faktycznie moze byc roznie, u mnie tak samo masz Lukaszu wielkie poszanowanie - za to co robiles i robisz w kwestji popularyzacji spraw zwiazanych z sieciami i sprzetem Cisco. Malo jest osob ktore chca sie w jakikolwiek sposob angazowac...

Ja juz dawno chyba takie sprawy olalem, chyba sie starzeje i potrzebuje wiecej spokoju

Choc jeszcze od czasu do czasu cos tam podzialam w kwestji bezpieczenstwa - ale obecnie to glownie tylko w sprawach sieci DOCSIS ktore staly sie moja pasja , a malo jest osob swiadomych ile ten standard ma slabych punktow

Jednak wracajac do projektu - prawde mowiac jesli sie nie znajdzie wiekszej ilosci chetnych to projekt faktycznie nie ma racji bytu. Swiat sie troche zmienil jak i same sposoby atakow oraz ich cele. Teraz bardziej licza sie dla atakujacych ludzie prywatni (a konkretnie ich dane jak i karty kredytowe )

Osobiscie na razie nie pracuje juz u ISP bo to nie na moje nerwy, jeszcze gdzie niegdzie troche doradzam i wdrazam moj system dla TV Kablowych... ale tez idzie to marnie

Natomiast w stalej pracy nie mam sensu nawet tego odpalac bo to glownie siec firmowa laczaca centrale z oddzialami na swiecie...

Moze znajdzie sie jakis mlodszy "narybek" ktory ma pod opieka jakies sieci i sie tym zainteresuje . A jak widac w tym temacie nie wszyscy o tym slyszeli...

[weis]

Hmm a tak się zapytam propo samych ddosów, czy ktoś przeżył taki atak na wysycenie łącza? Czy ktoś korzystał z usług firm broniących przed ddos'em i mógłby się podzielić doświadczeniami? Czy możecie powiedzieć na jakie problemy u swojego ISP można natrafić? I jakiej skali graczem trzeba być aby ISP raczył uruchomić swoje mechanizmy obrony? Sam takiego ataku nie przeżyłem ale zaczynam się tego powoli bać bo wychodzi na to że SMB nie ma żadnych szans na obronę poza zrobieniem "shutdown" na porcie WAN :/

[bartekr]

no generalnie nie znam skutecznych sposobow walki z DDOS :) to nawet dotyka najwiekszych he he i sobie nie radza.

Ja nie znam skutecznego (100%) sposobu na nic, nie martw sie.
Czasami jednak system skuteczny w 90% zaspokaja zupelnie potrzeby 99% jego uzytkownikow.

Co do takich firm to nie mam pojecia :) moze maja uklad z tymi co robia DDOS-a :mrgreen:
Zreszta nawet nie slyszalem o takich firmach.

Pierwsza z brzegu, a jest kilka o ktorych slyszalem - http://www.prolexic.com/

[tomekp]

A spox nawet sie nie interesowalem tym i nie wiedzialem ze swiadczy ktos takie uslugi...

Bardzo mozliwe ze jest to jakies rozwiazanie podobne do BlacHoling jak wsponial Lukasz o operatorach. Prawde mowiac innej koncepcji nie widze tak aby to bylo wmiare skuteczne i latwe do realizacji na duzym obszarze.

jednak tak troche na wesolo

Hollywood, Florida, USA, March 9, 2009: Prolexic Technologies, the global leader in managed Distributed Denial of Service (DDoS) protection, announced that it has been granted a patent for its unique DDoS detection and mitigation methods.

DDOSowany tez ma unikalny sposob detekcji (jak malo kto) i ograniczenia poprzez shutdown ...

[weis]

Trzeba też pamiętać że ddos ddosowi nie równy, a ten z wysyceniem łącza jest najbardziej paskudny. A jednak spokojnie można znaleźć firmy które się tym zajmują.

[tomekp]

Trzeba też pamiętać że ddos ddosowi nie równy, a ten z wysyceniem łącza jest najbardziej paskudny. A jednak spokojnie można znaleźć firmy które się tym zajmują.

Tylko pytanie na ile to jest skuteczne i czy nie rowna sie niemal z zrobieniem shutdown (jesli wazne dla firmy serwisy) zostana odciete od polowy swiata w celu ochrony...

Nie raz moze byc to latwe np. zombie lacza sie z jakims portami uslug typu WWW itd., a chcemy np. ochronic postawione na tym laczu VPN-y. Wtedy mozemy sie zgodzic na dropowanie wczesniej ruch do tych uslug ktore mozemy poswiecic...

Jednak takie ciecie musi byc robione najczesciej wczesniej na wydajniejszym laczu niz mamy...

EDIT (Dodane):

A odnosnie obrony SMB to np. taka "samopomoc chlopska" czyli np. projekt Lukasza Tylko jak widac zainteresowanie jednak marne, a szkoda...

[gryglas]

Trzeba też pamiętać że ddos ddosowi nie równy, a ten z wysyceniem łącza jest najbardziej paskudny. A jednak spokojnie można znaleźć firmy które się tym zajmują.

A obowiązkowo po wykupieniu usługi antyddos trzeba ją przetestować czy działa : http://dos-attacks.com/2009/10/09/malwa ... bot-today/

[f2048r]

Członków było w szczycie ponad 300, obecnie projekt powoli przymiera - ludzie zrywają sesje, nie ma z nimi kontaktu, nie pracują już w firmach w których konfigurowali sesje, etc.

Po dokladniejszym rozeznaniu mysle ze pomysl jak najbardziej fajny i ciekawy. Wogole wszelkie projekty zmierzajace do poprawy bezpieczenstwa sieci sa potrzebne i to jest bezdyskusyjne. Fajnie gdyby w takim projekcie bylo wiecej tez "srednich" dostawcow usług. Ale nawet jesli docelowe grono uczestnikow jest/moze byc i tak stosunkowo wąskie to swoim zasiegiem i tak obejmuje niemały przeciez fragment sieci polskiego internetu.

A popularyzacji takich projektow i rozmów o mechanizmach bezpieczenstwa nigdy nie jest za duzo, nie wszyscy jezdza regularnie na konferencje i inne eventy ktorych jest troche (jak trzeba wybrac wlasna edukacja czy udzial w konferencji no to naprawde ciezki wybor), teamy techniczne tez sie zmieniaja.

[tomekp]

Członków było w szczycie ponad 300, obecnie projekt powoli przymiera - ludzie zrywają sesje, nie ma z nimi kontaktu, nie pracują już w firmach w których konfigurowali sesje, etc.

Po dokladniejszym rozeznaniu mysle ze pomysl jak najbardziej fajny i ciekawy. Wogole wszelkie projekty zmierzajace do poprawy bezpieczenstwa sieci sa potrzebne i to jest bezdyskusyjne. Fajnie gdyby w takim projekcie bylo wiecej tez "srednich" dostawcow usług. Ale nawet jesli docelowe grono uczestnikow jest/moze byc i tak stosunkowo wąskie to swoim zasiegiem i tak obejmuje niemały przeciez fragment sieci polskiego internetu.

A popularyzacji takich projektow i rozmów o mechanizmach bezpieczenstwa nigdy nie jest za duzo, nie wszyscy jezdza regularnie na konferencje i inne eventy ktorych jest troche (jak trzeba wybrac wlasna edukacja czy udzial w konferencji no to naprawde ciezki wybor), teamy techniczne tez sie zmieniaja.

Pomijajac juz wspomniany DDOS - ale w realu stosunkowo male jest zainteresowanie bezpieczenstwem sieciowym (no moze poza ideologia jaka karmia nas firmy produkujace sprzet lub oprogramowanie zapobiegajace)...

Jesli chodzi o cos wiecej to najczesciej dyskusja szybko sie konczy... Wiele osob wrecz nie chce slyszec ze ich system ma jakies wady...

[mycha]

A tak z ciekawości to co dokładnie może zrobić taki ISP jak cel jest atakowany za pomocą ddos'a pochodzącego z np 4000 hostów znajdujących się w różnych strefach geograficznych a nie np w 1 lub 2 as'ach?

Witam,

Np. gdy masz siec multihoming:
- jezeli atak jest ze swiata moze przestac ciebie rozglaszac w bgp do sieci tranzytowych, jest szansa ze z polski bedzie ciebie widac,
- jezeli atak jest na okreslone adresy IP z twojej puli moze zaczac ruch do nich dropowac,

A tak pozatym to nie jestes wstanie okreslic poprawnych adresow IP z ktorych pochodzi taki atak.
Najczesniej sa on podmienione na nieprawdziwe i ISP ich nie wyfiltruje.

--
pozdrawiam
mycha

Samuel Goldwyn - "I'm willing to admit that I may not always be right, but I am never wrong."

[lbromirs]

A tak pozatym to nie jestes wstanie okreslic poprawnych adresow IP z ktorych pochodzi taki atak. Najczesniej sa on podmienione na nieprawdziwe i ISP ich nie wyfiltruje.

Wręcz przeciwnie. Większość ataków dzisiaj prowadzą botnety, które zupełnie nie uważają na ukrywanie własnego IP