Názory k článku Vlastimil Pečínka (Seznam.cz): Anomálie v trafficu nás dovedly do Ruska
-
Tak co třeba ty krabičky do zásuvky co fitrovaly tu ošklivou energii z Dukovan a Temelína :o) Tak zkouší třeba tohle. Tak Horste co pro nás máš dnes nového.....
Ne vážně, reálně při dnešním stavu Internetu to prakticky nejde. Nemyslím je technologicky , ale i organizačně. V takovém "defenzivním" režimu by pravděpodobně byl daný server tak omezený , že je otázka jak moc by byl nad funkcionalitou při útoku bez aktivní ochrany. otázka jestli provozovatatel by právě vůbec měl prostředky se bránit. Tím není myšleno jen těch 15melounů za krabičku filtrující "zlé pakety z Uralu". A ale jestli má náhradní kapacitu, konektivitu . Konče lidmi kteří vědí co stím.
-
Makovec (neregistrovaný)
Ano, základní pravidlo je že náklady na obranu by neměly přesáhnout možnou škodu.
Mimochodem, co se vlastně stalo tak strašného, tedy kromě titulků v lidovkách "Exkluzívně víme první: Země na kolenou vydaná napospas horám hackerů, po zpravodajských serverech zlikvidovány i banky a Seznam!!!" nebo jak to ty hysterky psaly? Seznam hodinu nešel? Nešlo se chvíli dostat na internetové bankovnictví? Silničáři neprotáhli okrsky půl hodiny po začátku sněhové vánice? Ó hrůza a běda!
-
Odesílat pakety s jinou zdrojovou adresou může být zcela legitimní. Např. pokud mám dvě linky, jedna má lepší upload a druhá download. Ale je pravda, že to nebude úplně běžné použití – pokud mne jako zákazníka ISP bude informovat, že blokuje odchozí pakety se "špatnou" zdrojovou IP adresou a odchozí spojení na port 25/tcp, a umožní mi tu blokaci snadno a bezplatně zrušit, ať to klidně dělá.
-
x (neregistrovaný)
On ten zakaznik muze mit (jak tu bylo zmineno) sekundarni konektivitu ... nehlede na to, ze proc by vubec ISP mel resit problem, kterej neni jeho problem? ISP proda zakaznikum trubky a je mu sumak co pres ne tece.
BTW: Ten jeden prikaz znamena, ze zatizeni CPU vzroste o kolik radu ??? ...
-
Vidite a presto se o to nekteri poskytovatele (celkem uspesne) snazi. Zejmena proto, ze slovni spojeni "1/2 zavirovanejch widli na netu" je pomerne v rozporu s realitou :-)
Jako poskytovatel infrastruktury muzete pouzivat ruzne "unfair" praktiky, jako syn cookies nebo anycasting (pro izolaci utocniku).
-
ondra.novacisko.cz (neregistrovaný)
Zdravím. Vysvětlete mi někdo, proč se SYN Cookies nepoužívá automaticky, nebo se nezapíná v okamžiku, kdy se začne zaplňovat fronta čekajících spojení? Já si dodnes myslel, že problém s podvrženými IP adresamy je tímto dávno vyřešen a nikdo si netroufne SYN Flood attack používat pro jeho nulovou efektivitu.
-
Docela pěkně je to vysvětleno zde:
http://lwn.net/Articles/277146/
The major downside to syncookies is that they only have space to encode the most basic of TCP handshake options. At the time of initial syncookie deployment this was not a large problem because the only option prominently in use at the time was the Maximum Segment Size (MSS) option. This option is provided to help the peer avoid unnecessary fragmentation by sending packets that the other end of the connection knows a priori are too large to cross its network. This is exactly the kind of information that is normally stored as state in the SYN queue. The syncookie designers knew that this option was important to performance and found 3 bits for it in the encoded syncookie. These bits are used to approximate the real value of the option to one of 8 common values.
In the intervening years new options have come into prominence and these are not syncookie compatible. The most important of these are the window scaling and Selective Acknowledgment (SACK) options. These features respectively allow the TCP congestion control window to grow beyond 64KB and be more efficient in the case of minor packet losses from those large windows. Without using these features it is impossible to get good transfer rates on networks with large bandwidth or large latency. Many household broadband links require at least the window scaling option to fully utilize the network connection. Due to this limitation, and the modest computation overhead of the cryptographic hash, the Linux stack only resorts to syncookie based connections when the number of half-open connection exceeds a high watermark controlled by the net.ipv4.tcp_max_syn_backlog sysctl. These connections are less featureful than normal connections but they are only resorted to when the queue would otherwise require active pruning.
-
MiK (neregistrovaný)
No, hodne mne prekvapuje, jak se tady pan Pecinka vytahuje, jak na vsechno prisel Seznam a diky nemu vse dopadlo dobre... kecy.
Akorat se vratil z dovoleny, precetl si co se o tom napsalo a "po bitve" se sesmolil takovyhle rozhovor?Jediny kdo byl schopen to konecne poresit, bylo az ve ctvrtek O2. To, ze velmi pravdepodobne jde o RETN, se vedelo uz v pondeli, psal to
brudrafon (4. 3. 2013 10:19) a to v dobe kdy vsichni plakali jak je to utok z cech.NIX, CSIRT, GTS... nikdo, nikdo z nich to nebyl schopen poradne identifikovat a vyresit (zariznout). Kdyby byli k necemu, tak ten zpusob utoku mohl fungovat max. dve hodiny.
-
dqd (neregistrovaný)
CTO Seznamu o podvržených IP adresách věděl poměrně brzy, viz: https://twitter.com/vpecinka/status/308610118067580928
-
Myslite smlouvu o peeringu? Takovy text jsem jiz delsi dobu nevidel.
navic, pokud mate dobre nastavenou smlouvu, tak jsou v ni pravdepodobne clanky umoznujici prijmout jednostranna opatreni v pripade, ze prijde z druhe strany provoz, ktery Vasi sit poskozuje (teda bude to zabaleny v nejakych pravnickych klickach).
-
ZP (neregistrovaný)
Rozvazani peeringu zpusobi tak akorat to, ze vam zminene packety pritecou transitem a vy uz tuplem nepoznate, zda je ten provoz podvrzeny nebo pravy. Uz se vam to tu pokouselo vysvetlit nekolik lidi, tak jim to zkuste verit.
S packety, ktere mi pritecou peeringem, samozrejme mohu delat, co uznam za vhodne, resp. co si dohodnu se zakaznikem, kteremu patri prislusne cilove adresy.
ČLÁNKY DO MAILU