Fórumok
Sziasztok!
Laikusként nem értem, hogy miért nem értesítik azokat a géptulajdonosokat/hálózat üzemeltetőket/előfizetőket, akiknek a készüléke részt vesz DDOS támadásban? Evvel jelentősen lehetne csökkenteni a fertőzött/fertőzhető gépek számát.
Van erre logikus válasz?
Üdv és kösz:
Lippi
Hozzászólások
Nincs rá kapacitás. Egy jó méretes DDoS sok tízezer forrásból jöhet. Ráadásul az egyik, amit egy DDoS támadás le tud ültetni elég hamar, az a logging.
Nem ragaszkodom ahhoz, hogy minden forrást értesítsenek, elég néhány százalékukat, már ez is érne valamit.
Nem.
Gyakorlatilag végtelen, újratermelődő és eldobható gép áll a rendelkezésükre.
Plusz napokkal, de inkább hetekkel később kapnának a géptulajdonosok egy levelet, hogy hátizé. Deee segíteni nem tudunk, oldjad meg.
Szóval ezért nem. Már szerintem.
Hogy értesítenék? És ha tudnák is értesíteni őket, szerinted értenének belőle bármit is? Tudná egy átlagfelhasználó, hogy hogyan kell eltávolítani hatékonyan a gépéről a malware-t ami DDOS-ol?
Arra meg bőven van példa, hogy a szolgáltatót értesítik, aki ideiglenesen letiltja az egész fertőzött szegmenst.
Tehát azért nem értesítjük a profit, mert hátha hülye?
A profi sajat maga eszreveszi, mert bejelez a sajat monitoringja.
Otthon milyen monitoringod van? Az én routerem/modemem semmit nem mutat.
Profiról volt szó. :)
>>> Otthon milyen monitoringod van?
Ja, talán nem a tp-link termékei közül kell routert választani. Egy kicsit több pénzért már kapni olyan eszközöket, amiken dedikált hálózatvédelmi megoldások futnak, monitoring rendszerrel (az Asus a termékein pl a trend micro cuccait licenceli).
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Ez jól hangzik. Pontos típust is kérhetek, ami használható otthoni környezetben?
Nem hátha, tényleg ...
Fedora 40, Thinkpad x280
WTF? Ezt kérdezted: "miért nem értesítik azokat a géptulajdonosokat/hálózat üzemeltetőket/előfizetőket". Azok a géptulajok/előfizetők, akik beszopnak egy DDOS-oló malware-t nem épp profik, a hálózati üzemeltető értesítésére meg számtalan példa van.
Arra sem válaszoltál, hogy hogyan is kéne értesíteni a géptulajokat. Tegyük fel, hatalmas forgalom érkezik a 2001:0db8:85a3:0000:0000:8a2e:0370:7334 IP címről. Kit akarsz ekkor értesíteni? És hogy? Emailben? Kinek küldenéd? Mobilon? Milyen számot hívnál?
(Abba bele se menjünk, mi van, ha a szolgáltatója NAT-olt címet oszt, mint ahogy az jellemző, ezért max. a szolgáltató router IP-jét láthatod, mint a forgalom forrását, a fertőzött gép címét direktben nem is.)
Attól meg isten ments, hogy bármelyik szolgáltató bármelyik ügyfelének személyes adatait kiadja telefonon csak úgy, bemondásra, ha esetleg egy ekkora hülyeségre gondoltál volna.
pláne kit értesítesz arról, hogy X szolgálató hálózatából érkezik pár százezer csomag olyan IP címekről amik Y szolgáltató hálózatához tartoznak
Ti nem értetek az IP-hez vagy DDOS hálozatot üzemeltettek? (Esetleg jó nektek a világ így?)
Küldesz a szolgáltatónak egy értesítést (szabványos protokolon), hogy ennek az IP -nek ezen portjáról DDOS-t végeztek. Légyszi értesítsd a felhasználódat!
Ezért kell az állam bele, hogy legyen kötelező eljárás).
Már bocsánat, de hány éves vagy?
Van egy sanda gyanúm, hogy nem sok mindent láttál még.
Azt ugye remélem tudod, hogy ha egy üzbegisztáni IP ddos-olja le a géped akkor a magyar államot egy hasonló kéréssel minden környező ország (joggal) körberöhögné.
melyik szolgálatónak küldök emailt?
amelyiknek a hálózatához tartozó IPcímről érkezik az áldás - vagy annak a szolgáltatónak amelyik a tranzitálást végzi?
Ha már DDoS-ról beszélünk, akkor kapsz flood-ot mondjuk egyszerre ~10K címről. Ezen címeknek a hostmaster-ét kikeresed és értesíted?
Az első D a distributed, azaz nem egyetlen IP címről megy a támadás. Ha egyet kilősz, lesz helyette száz másik. Továbbá földrajzilag is distributed. Nem tudsz minden vietnami, indiai, stb. botot kilőni. A megtámadott hálózat peremén lehet az ilyesmit megfogni (ha a védendő infrastruktúra megér annyit), léteznek DDoS elleni nagy teljesítményű hardvereszközök.
A Magyar Telekom évekkel korábban már csinált ilyen. Egy külső partnertől kapott lista alapján kereste meg a lakossági előfizetőket azzal, hogy gyanús forgalom jön a végpontjukról.
Hogy mennyire bírták ezt a szélmalomharcot arról már nem jutott el hozzám infó.
Itt jönne be az állam szerepe, ne bízzuk ezt a profit hajhászókra.
De akkor az államra se szabad... azokat végképp nem érdekli semmi más, csak a saját zsebük. Látod, mit csináltak a COVID hírlevéllel meg még a KRÉTÁval is azok az átkozott gazemberek!
nem értelek...
van 2 fajta user:
1) akinek fingja nincsen arról, hogy a szolgáltató jelzi neki: vagy megszünteti az adott tevékenységet, vagy lekapcsolják/korlátozzák a szolgáltatást
2) aki megköszöni ezt a jelzést, és megoldja/szakembert hív
Hogyan képzeled el a folyamatot, amikor az állam avatkozik bele a dolgokba? Mint 3. fél?
Honeypot-ot üzemeltet, és hátha ráragad a légy, vagy lehallgatja folyamatosan az IX csatlakozást?
Megkéri a szolgáltatót, hogy az állami szervet is vegye fel az adott ISP abuse@ címére?
Még jó, hogy nem azt kéred a hivataltól, hogy kötelezzék az ISP-ket az emailcímek szolgáltatóváltásának megoldására...
Allam max mint szabalyozo lepjen be, de ne csinaljon igy semmit. Legyen torveny pl ra, hogy mit lehet csinalnu, mi a kotelessege a szolgaltatonak stb.
ahogy a forgalomra veszelyes autorol is leveszi a rendor a rendszamot, ugy miert ne lehetne a netre veszelyes delikvenseket is letiltani? Ha nem ert hozza, forduljon szakemberhez. Ez ugyanigy megy a villannyal, gazzal stb is. Utobbinal sincs lacafaca, ha ugy van tel kozepen is leveszik az orat.
Domain, tárhely és webes megoldások: aWh
nagyon sok esetben itt is az van, hogyha a hálózat működését veszélyezteted, akkor előzetes értesítés nélkül lekapcsolnak.
elolvastad már a szolgáltatód ÁSZF-jét?
ps: jellemzően ezek az "otthoni zombik" rövid ideig aktívak - amire bárki is -realtime- beazonosítaná a tevékenységet - máris lezárult.
Igen, van, mert a szolgáltatók saját érdeke. De nincs egységesítve, minden szolgáltatónak van saját ászf-e, amiben valami van. Ha egységes lenne, akkor nem lenne ezer féle megoldás rá, az ezer szolgáltatónak.
Domain, tárhely és webes megoldások: aWh
Azé az államé, aki minden alkalommal, mikor valamelyik alulméretezett, fosul (sem) skálázódó állami rendszert megfekteti az előre "kiszámíthatatlan" mennyiségű forgalom (nem tudom, adóbevallás határidőnél az emberek adót akarnak bevallani, ugyanitt a meglepő hóesés december közepén), akkor kiállítja valamelyik faszt, amelyikben épp van elem, elmondani, hogy túlterheléses támadás volt? Na, hát az az állam inkább maradjon jó messze ettől. Foglalkozik ezzel a szolgáltató, a jól felfogott anyagi érdekéből, az ugyan fosnak hangzik, de a valóságos igényekhez sokkal közelebb fog állni :)
Reszben off, de vicces gondolatkiserlet lenne Indiat egy hetre lekapcsolni a nemzetkozi halozatokrol, hogy csak magukban forgalmazhassanak, orszagbol kifele ne. Kivancsi lennek, hany problema oldodna meg magatol, meg hany AI service menne downtime-ba. :)
Rossz ötlet. A végén kitalálják, hogy a VoIP, p2p bármilyen forgalom az DDoS, tehát tiltsa a szolgáltatód. Ekkor az addigi internet előfizetésed egy hírolvasó, médiafogyasztó szolgáltatássá silányul.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Hogy jön ez a DDOS-hoz? Szép kártérítést fizetne erre a szolgáltató, ha alaptalanul korlátozna.
A múltkor kaptunk egy weboldalra támadást. DDOS -nak mondanám, de nem igazán volt mit tiltani rajta, kb 5-8000 magyar ip cim, mindegyik kb 3-5 másodpercenként keresett valamit az oldalon, amit persze nem tudtunk cachelni.
Az oldal elérhetetlen, ha felhivom marika nénit, hogy 15 lap letöltést generált akkor meg mihez kezdesz vele... ennyi a böngészőből össze hoznak.
A megoldás az lett, hogyha egy bizonyos user agentel jöttek, akkor a kód felvette tüzfalba, és akkor már ott eldobódott a csomag. Vagy egy napig ömlött a forgalom, lassan cserélődtek az ip cimek. Utánna eltünt.
---...---
TLoF
CloudFlare volt előtte? nem léptetek valakinek a tyúkszemére? "csak úgy" azért szerintem ilyen nem jellemző...
Ez sajnos nem ilyen egyszerű.
1. Nincs senkinek teljes ember = IP cím összerendelése. Az államnak sincs.
2. Az IP címek rendszeresen cserélődnek (ezért nincs is értelme az 1. pontnak).
3. Tegyük fel, hogy minden ember és cég kapna fix publikus IP címeket / tartományt, ami csak kizárólag hozzá tartozik, senki máshoz. Marhaság, de mégis tegyük fel, hogy ezt megcsinálják.
3.1. IPv4-ből nincs elég, IPv6 kell.
3.2. Ha én a munkahelyemről netezek, akkor az én saját IP címem vagy a cég IP címe látszódjon?
3.3. Technikailag a routingot hogy oldanád meg? Pl: 1 ilyen IP cím a mobiltelefonomé, 1 ilyen az otthoni routeremé, 1 ilyen az IP kamerámé stb.
4. Ha be lehetne azonosítani bárki által egy embert az IP címe alapján, akkor azonnal eltűnne a neten az anonimitás. Az lenne csak az igazi 1984! Az emberek 99,99%-nak csak neten nagy az arca.
5. Manyi néni Wifi routere (amit az internet szolgáltatótól vett) EOL/EOS lesz. A routert feltörik, DDOS-olnak rajta. Manyi néni kap értesítést az államtól. Tegyük fel, hogy Manyi néni meg is érti a problémát. Mit tegyen? Dobja ki a routert? Tegyen másik fw-t a routerre, ha lehet? Vegye vissza a szolgáltató és ingyen cserélje azt le? A végén még kiderülne, hogy az IT terméktámogatás a béka feneke alatt van - és ebben Hajbazernek igazat adok. Perpillanat kiszámíthatatlan egy consumer IT termék életciklusa. Az IoT eszközök körüli kuplerájról már nem is beszélve.
6. Töröljük el a korlátlan lakossági netet és legyen forgalom alapú díjazású. Miben segítene ez érdemben?
7. Az egész IT úgy lyukas, ahogy van. Túl fiatal, kidolgozatlan. A DDOS csak egy nem egyedüli tünete ennek - mondjuk az építőiparhoz viszonyítva, ahol volt párezer évünk működő és stabil megoldások kitalálására.
8. A legnagyobb visszatartó erő talán a büntetés lehetne. Pontosabban a lebukástól való félelem, amit büntetés követne. Mivel az elkövetőket nem kapják el, így nem is büntetik őket.
9. IT biztonság tudatosság a béka feneke alatt van. Ez mondjuk az autók biztonsági övének használatára is igaz bizonyos körökben.
Ami talán érdemben segíthetne - bár van köztük vad ötlet:
- Minden netképes termékre legyen kötelező EOL / EOS, amit már a vásárlás pillanatában ismernie kellene mindenkinek.
- Hibajavítás - különösen CVE-kre - 1-2 héten belül telepítésre kerüljön automatikusan az összes érintett termékre. (garantált parasztlázadás)
- EOL / EOS státuszú termékeket be kell gyűjteni / bedarálni / tilos netre kötni. (ez is tuti felháborítana sokakat, okkal)
- Ahonnan DDOS jön, őket lehessen kizárni az internet eléréséből. (tuti felháborodást okozna ez is)
ripe/arin stb tudja kinek adta a cimet. Az ha tovabbadja (mert isp) akkor tudnia kell, hogy kinrj adta. Hirkozlesi trv-ben benne van meddig kell orizni (isp-kre vonatkozik). Szoval egy valaki valoban nem tudja, de valakihez minden ip tartozik.
Domain, tárhely és webes megoldások: aWh
Ebben igazad van, csak ez a folyamat lassú. Nagyon lassú. Inkább hetek, mint órák kérdése, hogy meg lehessen találni az ügyfelet és értesíteni. A szolgáltatónak nincs erre humán kapacitása.
Spam-ekre van az ARF-es cucc, esetleg azt ki lehet egészíteni, hogy ilyenre is jó legyen (már ha nincs ilyenre amúgy egy RFC), és gépi úton feldolgozni. Szerintem senki nem várja el, hogy ezek kézzel történjen.
Lehetne lépcsőzetes a dolog. Pl. első tresholdnál automata figyelmeztetés, mégegyszer, második figyelmeztetés, harmadiknál pedig közbeléphet személy, stb. Nem tudom pontosan, ezt most találtam igy ki amig ezt leirtam.
Domain, tárhely és webes megoldások: aWh
tehat egy dos-t teteznel egy kis spamelessel is? :D vegulis... :D nem volt eleg adatforgalom/terheles by default.
>>> A szolgáltatónak nincs erre humán kapacitása.
Láttál már számítógépet 5m-nél közelebbről?
amennyiben a szolgáltató által biztosított eszköz lesz EOL - akkor teljesen jogos az igény, h frissítse (de legalábbis védje meg)
Az már egy más kérdés, hogy a 3 éve vásárolt DLink NAS-odat hágják meg, ami valamiért (pl privát felhő szolgáltatás) miatt kint van neten - és ezzel másnak kárt okoznak, akkor ezért ki tartozik (kártérítési) felelősséggel...
Én nem a felelősség oldaláról közelítem a problémát: állítsuk meg a támadásokat, de ehhez segíteni kell a felhasználókat, hogy tudatosan viselkedjenek.
Szerintem, ha valakinek rendszeresen küldenek értesítést, hogy szar a rendszere (és időnként elnémítják), akkor talán lesznek olyanok, akik hozzáértő segítséget kérnek (nem beszélve arról, hogy mennyi munkánk lesz :-) )
értem. Tehát némi edukációval eléred, hogy Józsi ne a temu-ról / alibaba-ról rendeljen 50USD-ért kamerát, hanem keressen meg szakit, aki 3-5x ennyiért adja el neki a (papiron) hasonló specifikációval bíró "ipari" terméket.
Igaz, hogy az elsőhöz jobb esetben 2x kapsz fw frissitést (a termék egész életciklusa alatt) - amíg a másikhoz párhavonta érkezik frissités/security fix - de ez mindegy, mert Józsi úgysem fogja kihívni a szerelőt fél év múlva egy frissités végett. Még akkor sem, ha a frissités kritkusságára a szerelő külön felhívja a figyelmet...
Az első lépés ez, hogy monitorozzuk a felhasználókat, a következő meg az, hogy nézzük, hogy milyen weboldalakat nézegetnek, melyik felekezethez tartoznak, de nem a választások befolyásolása miatt, meg manipuláció miatt, hanem a terrorizmus megfékezése miatt. De közben meg a védekező Izraelt basszuk le, mert meg mert ölni néhány tenoristát, akik rakétázták őket.
A jelenlegi politikai irányvonalat tekintve inkább ne legyen DDOS naplózás, max kirívó esetben az ISP vegye le róluk a netet.
hup.hu##article[data-comment-user-id="16401"]
hup.hu##article[data-comment-user-id="4199"]
Igen. Hogy nem lehetne ezzel jelentősen csökkenteni. :)
Csinálnak egyébként ilyesmit, én például többször futottam kört a digivel, mert valami partnerük jelezte, hogy DDoS támadást észleltek tőlem (értsd, kaptak egy levelet az abuse@-ra valami automatától), és csináljak valamit. Talán még azzal is jöttek, hogy különben korlátozhatnak. Az egyikben három darab random udp packetre panaszkodtak, a másikban már nem tudom mi a pöcsre, ezeknél megbeszéltük, hogy értem én, értem, de ugye ha a 300Mbites uplinkemen aznap összesen nem ment fel nem tudom, 1-2 giga adat, akkor lehet, hogy mégse dosolok, természetesen a háztartásban levő összes windowson (0) van vírusírtó, meg frissülnek automatán, szóval szórakoztassunk mást.
Illetve egyszer volt valami, mikor az xbox csinált valami packet stormot, tényleg félig hanyatt baszta a mikrotiket, az valóban nem lehetetlen, hogy kilátszott (bár csodálkoznék, ha az ő eszközükön túlra tette volna), kikapcsoltam valami érdektelennek tűnő featuret (nem tudom, local sharing, vagy valami hasonló faszság), azóta béke van.
Az összes ilyen bérelt infrán meg foglalkoznak ezzel, már csak saját hatáskörben is, mert valójában nekik érdekük. (Hacsak nem a spammer tanya az üzleti modell).
Hun-CERT szerintem pont valami hasonlot csinal.
Teljesen el vagyok keseredve: itt a "hozzáértők" nem bánják, hogy a mindennapi életünket fillérekért szétbarmolják (itt arra gondolok, hogy jelentős társadalmi hatása lehet, ha célzott támadás történik - pl a választás napján).
A mai gigabites netek világában, egy ugyfél ha csak pár bájttal DoS -ol az senkinek nem fáj a támadotton kívül, másoknak fel se tűnik. Innentől kezdve senki nem fogja az ügyfelet basztatni emiatt, napokkal / hetekkel később. Főleg úgy, hogy az ügyfelek 85%-nak az internetet a facebook és a YT tiktok stb jelenti ...
Esetleg ha az IP szerver akkor érdemes lehet a tulajnak küldeni egy emialt. De a logokban naponta százával látok próbálkozásokat szerveres IP-kről is ... Szóval ez is csak hiú ábránd az esetek nagy részében.
Fedora 40, Thinkpad x280