100+ órája DDOS alatt a GitHub

 ( KissT | 2015. március 30., hétfő - 11:12 )

Március 27-én reggel a kínai keresőszolgáltató Baidu, statisztika és reklám js-eit felhasználva nagyméretű DDOS-t indítottak a GitHub ellen. A támadás többször taktikát váltott. Először két, cenzúrával is kapcsolatos repót támadtak, ugyanakkor kisebb lassulásoktól eltekintve a népszerű kódhosting folyamatosan elérhető maradt a támadás alatt.

További részletek:

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

engem január elején doszoltak ugyanigy, scriptet kellett irni ami TCP szinten b@ssza ki a kérést, mert megfeküdt az apache.

durva pár nap volt.


------------------------
Jézus reset téged

Erről tudnál írni egy kicsit többet?
Érdekelne, hogyan lehet kezelni egy ilyen szituációt.

Nekem anno volt hasonló problémám, és sikerült megoldanom. Itt a fórumon végig követheted.

------------------
My Open-Source Android "Projects"

Köszi, ez még hasznos lehet. :-)

KÜLÖNBÖZŐ!!!!! ip címekről jött másodpercenként rengeteg kérés. na jo, volt hogy egy ip akár kétszer is betalált. az ip range kitiltás nem segitett, pont a sok ip miatt.
szerencsére minden ip ugyanazt a hostot(ipvel hivva, nem névvel), és jellemzően ugyanazokat a nemlétező urleket tekerték. több 100, akár 1000 apache processt indítva.
így szépen mint egy kis kinai, ültem a gép előtt, ment a tail -f, másik konzolban meg néztem az elszalado sorokat és ami jellemző string volt, azt beadtam a sciptemnek, ami TCP csomag szinten tiltott, és eltette a szót vagy szövegrészt egy text fileba. később egy másik script felolvasta ezt a fájlt és ujra élesek lettek ezek a tiltások. az automatizálás ment egy darabig, mindaddig, amig a google-t is sikerült kitiltani.
eleinte napi 3 ora, majd ahogy gyűltek a szavak, negyed ora alatt vissza lehetett szoritani a támadást. aztán eccer csak abbamaradt.


------------------------
Jézus reset téged

Ha volt azonos, kiszűrhető tulajdonság a requestekben, akkor fail2ban szépen megoldja ezt Neked.
--
PtY - www.onlinedemo.hu, www.westeros.hu

az elso kerest az iprol me'g be fogja engedni csak utana tilt. szvsz jobb a string szures iptablessel:

iptables -A foo -m string --string 'badstring' -j DROP

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Így meg minden tcp csomagot szűrsz, és azért eszik sok CPU-t.
--
PtY - www.onlinedemo.hu, www.westeros.hu

és? azért van. meg ideiglenesen mindegy, csak mukodjon.


------------------------
Jézus reset téged

Pf. Akkor nem mindegy?
Ezen az alapon akkor 4000 karakter hosszú base64-es GET kérésekkel simán ki lehet purcantani a CPU-dat. Patternt nem fog benne lelni az IP filter, de legalább a CPU kikönyököl a vas oldalán.
--
PtY - www.onlinedemo.hu, www.westeros.hu

ofc, elotte szepen le kell valogatni h melyik packetbe akarunk belenezni

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Apache leállítás nem segített? Pár órára leállítod, nem "unnak rá" a próbálkozásra?
Részletek engem is érdekelnek, +1

Hobbioldalnál megteheted, máshol nem :(
--
PtY - www.onlinedemo.hu, www.westeros.hu

Azt nem ertem, hogy a kinai nemzetkozi savszel nem valami nagy, akkor hogy tudtak pont ezen keresztul megfektetni?
Bar lehet, hogy csak a kliensek szamahoz kepest nem eleg (plusz ott a tuzfal, de elvileg eleg szar Kinabol nem kinai tartalmat bongeszni).

--
What's worse than finding a worm in your apple?
Finding a U2 album on your iPhone.

ha jol ertem, akkor akik kivulrol megneztek a Baidu egyes cuccait, a nagy kinai tuzfal adott hozza a tartalomhoz egy kis javascript okossagot, amivel js ajax masodpercenkent lekerdezte a github ket repojat.

akik a tuzfalon belul voltak azok nem kaptak semmit.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Micsoda ötlet! Nekem nem jutott volna eszembe. Mondjuk nem vagyok rosszindulatú...

Megneztem a 2. linket, igy mar ok. Ugyes.

--
What's worse than finding a worm in your apple?
Finding a U2 album on your iPhone.

Megszolalat a Baidu is a The wall street journal megkeresesere.

"Baidu said it wasn’t involved in the attack and its systems weren’t infiltrated. “After careful inspection by Baidu’s security engineers, we have ruled out the possibility of security problems or hacker attacks on our own products,” it said in a statement."

Oke, es ha megis ok csinaltak kormanyzati megkeresesre, megis mi az eselye annak, hogy kaptak engedelyt a nyilvanossagra hozatalra? Valoszinuleg akkor arra is megkertek oket, hogy tagadjak.
Ez az USA-ban is ugyanigy megy, es Kina egy bevallottan kommunista orszag.

--
What's worse than finding a worm in your apple?
Finding a U2 album on your iPhone.