Te mit tennél DDoS esetén?

subs... (akartam írni valamit, de úgy sejtem, ez komoly téma számodra, nem csak kíváncsiságból kérdezed - nem tudom, van-e bármiféle technika egy jól kivitelezett ddos elhárítására a kiváráson túl)

Ez engem is érdekel.

--
Fontos! Ha berágok, nem feltétlen személyed ellen szól...
openSUSE 13.1 x86_64

Ennél értelmesebb topikcímet adnék kezdetnek. Második lépésként megpróbálnék megfelelőbb fórumkategóriát választani. Átmozgatva.

--
trey @ gépház

Eloszor elgondolkodnek mit kene valtoztatni, hogy maskor nem forduljon elo ilyen. ( Eszkoz csere, uj eszkoz beszerzes, felugyelo szemlyzest tovabb kepzese, esetleg csereje ...)

Masodszor probalnam a felhasznalo elott megfogani az ilyeneket, hogy a tobbi szolgaltatast ne veszelyeztesse.

Harmadszor, ha a berlonek koze van a tamadashoz es az AFSZ add ra lehetoseget szuneteltetnem a szolgaltatast. Persze a berlot elotte ertesitenem.

Ha nem tudod lenyomni kapacitasban (savszelesseg, szerver teljesitmeny) a DoS-t akkor nem sok eselyt latok.
Esetleg elkoltoztetni az ugyfelet valami felhobe (Amazon?), azt probaljak DoS-olni. Erdekes lenne kideriteni azt is, hogy miert DoS-oljak, esetleg ott is megoldhato a problema. Ha valami viagrat reklamozo site akkor nem igazan tudom sajnalni...

Topik cim modositasban egyetertek Trey-el.

DDoS védelmet ajánlanék neki (distributed reverse proxy cloud/cluster), ha nem akarja vagy nem lehetséges, akkor felmondanám a szerződést, mielőtt a kimaradozó hálózat miatt a többi ügyfel mondja fel velem.

Nem feltétlenül fair, de üzletileg ésszerű.

Szerintem legfontosabb, hogy informáld az ügyfeledet, mit és hogyan támadnak, esetleg, honnan támadnak. Ha a futtatott kód fogékony az ilyen típusú támadásokra, akkor neki kutya kötelessége tenni ez ellen.

Aztán a webkiszolgálóknak is van több kevesebb eszközük amivel lehet küzdeni a DDOS ellen. Illetőleg IPS/IDS is szóba jöhet, ezek között van ami tud tenni a DDOS ellen

----
올드보이
http://molnaristvan.eu/

Dedikalt IPje van-e a servernek, ha igen akkor egyszeruen megkered a szolgaltatot, hogy routolja null0-ba az IP cimet. Vannak erre technikak, bgp-vel es dedikalt community-vel szoktak megoldani a dolgot es akkor meg neha ra is tudsz tesztelni, hogy megy-e meg.
Ha nincs dedikalt IPje es az osszes savszel oda akkor el kell kuldeni mashova, ha nem akarsz arcvesztest akkor megprobalod az ec2-t finanszirozni neki a havi/eves dijbol.

Először húznám a hajamat, aztán neki állnék gondolkozni.
Először is lehúznám a hálózatról és aztán vissza, hogy hozzáférjek, majd a tűzfalnál csak a saját ip címet engedném át, a többi kapcsolatot eldobnám.
Aztán ha van miből(pl napló), elemezném, hogy mely ip címről vagy ip tartományról támadnak, azokat el lehet dobatni, megy a fekete listára majd. Ha mindenféle ip-ről jön, akkor más szabályszerűséget kell keresnek, ami alapján jól be tudom azonosítani. Pl olyan ip címek ezek, amik mostanában tűntek fel szinte egy időben. A régiek fehérlistára, ezek a fekete listára mennek.

......................
Egymás segítésére még: http://pc-kozosseg.com

Sajnos voltam mar en is erintett hasonloban: a bohockodasra hasznalt gepen volt egy ts3 szerver, amit a haveri tarsasag hasznalt. egyszer osszebalhezott ket arc, erre elkezdtek dosolni a gepet. kesobbi logokbol kiderult, hogy 5-6 isp tartomanyabol 20-30 iprol jott az aldas. nem is csoda, ma mar lakossagi szolgaltatassal is lehet venni 10-20-100Mbit uplinkkel rendelkezo netet, ebbol nemkell sok, es pikk-pakk le lehet dosolni egy gepet. mivel nalunk nagyreszt bohockodasra van a gep, elegge koltsegszegeny a moka, igy a 100M-as vonalat siman kitomtek.

Mit tehet ilyenkor az egyszeru user? kb semmit.
- hiaba teszek a gepen egy iptables szabalyt az ipkre, attol meg a packet bejon a gepre, es eldugitja a savszelt.
- lehet irni az isp abuse cimekre, de ehhez kell a szolgaltatotol kapott log, hogy lassuk a tamado ipket. dehat azok is lehetne egy botnet resze, a gazda tudta nelkul.
- lehet felberelni ket "szekrenyt" akik "elbeszelgetnek" az illetovel, ez nem a mi stilusunk
- ???

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

tipp: nem a célgépen, hanem előtte futtatni IDS-t, ami detektálja a gyanúsan megnövekedett packet forgalmat. (ha más nem, egy alap NFSen futtatása egy gépen, 5percenként letárolt és feldolgozott adatokkal)

A DDoS-olt IP-t gyorsan blackhole hirdetném, ezzel megállt a forgalom, majd a jelezném az abuse címekre a DoS-t. Ez az agresszívabb verzió.

A kevésbé agresszív verzió, ha van egy erre a célra fenntartott vékonyabb csöved (tegyük fel a primer vonalad 1gbps, a tartalék 100 mbps) és a DoS-olt címet (v tartományt) oda hírdeted be.

Tegyük fel, hogy egy szerverhoszting tulajdonosa vagy, és az egyik ügyfeledet ledosolják,

pontositsunk egy kicsit: tegyuk fel, hogy te vagy mondjuk az Adatpark tulajdonosa, vagy tegyuk fel, hogy van 3 desktop pc-d, amit betettel az Adatparkba? Csak azert kerdezem, mert nem feltetlen ugyanazok a lehetosegeid...

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

Egyes szerver és tárhelyszolgáltatók nyújtanak DDOS támadás ellen védelmet, ha jól látom. Tudtok erről valamit?
Pl ez is ezt nyújtja, ha jól gondolom: http://datasoft.ws/ds_ddosweb.php
Lehet ez jó megoldás?
......................
Egymás segítésére még: http://pc-kozosseg.com