Tovább folytatódik a saga. Ismét megjelent egy érdekes blog bejegyzés:
http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
Az egyik:
Two specific suggestions to limit attacks like this involve making it more difficult to attack the IP addresses that members of the IX use to interchange traffic between each other. We are working with IXs to ensure that: 1) these IP addresses should not be announced as routable across the public Internet; and 2) packets destined to these IP addresses should only be permitted from other IX IP addresses. We've been very impressed with the team at LINX and how quickly they've worked to implement these changes and add additional security to their IX and are hopeful other IXs will quickly follow their lead.
A másik az Open Resolver Project.
Az ilyen dolgok azért jók, mert egy csomót lehet tanulni belőlük.
Kíváncsi vagyok, hogy a HBONE/NIIF/HUNGARNET, az internet szolgáltatók, nagyobb hálózatot üzemeltető egyetemek és szervezetek (BME, SZTAKI, SOTE...) és a BIX követi-e ezeket a dolgokat? Szeretném hinni, hogy rajta vannak a dolgon.
Üdv:
Dw.
- 7365 megtekintés
Hozzászólások
ami 10-par eve a smurf volt, az most (meg mar miota) a dns flood. Btw. ez nem feltetlen csak az open resolverek problemaja, mert megfelelo elokeszulet eseten az auth dns szervereket is be lehet vonni egy hasonlo fun-ba, egyszeruen mert az udp jatszi konnyedseggel spoof-olhato.
- A hozzászóláshoz be kell jelentkezni
Ha pedig nem lenne a DNS, akkor találékony hackerek biztosan találnának rá megfelelő helyettesítőt.
Egyébként azt látom, hogy a HBONE-t és a SOTE-t elég szisztematikusan karban tartják. Haladnak a trendekkel.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
honnan latod, hogy haladnak a milyen trendekkel?
- A hozzászóláshoz be kell jelentkezni
HBONE-on rendszeresen tolják ki a frissítéseket, amikor jön az újabb Catalyst software. Volt már, hogy ebből vettem észre, hogy kijött a féléves software upgrade a Cisco-nál. És láttam már olyan ticket-et, amiből kiderül, hogy átkonfigurálást végeztek. Ezek egy része persze azt célozza, hogy megfelelő útvonalon haladjanak a csomagok, jól menjen a failover, másodlagos útvonalak, meg ilyesmi. De volt már olyan bejegyzés, amiből azt szűrtem le, hogy olyan BGP beállítások történtek, amiknek biztonsági vetülete is volt.
Évenként pedig van NIIF tájékoztató a HBONE-ról, ahol összefoglalják.
A SOTE-n azt tudom, hogy foglalkoznak VLAN-okkal, állítgatják az ACL-eket. Az eszközök egy részét a NIIF tartja karban, mert a HBONE-hoz tartozik, de az egyetemi informatikával együttműködve.
Nem fogalmaztam jól, mert azt csak remélem, hogy az ilyen trendeket is figyelik.
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
arpi_esp-t kéne megkérdezni. Mintha az Óbudai egyetemen benne lenne a HBONE-nal foglalkozó társulatban...
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
"gyszeruen mert az udp jatszi konnyedseggel spoof-olhato"
Es vedheto is pl. egy primitiv RPF-al.
Ellenben mint az open resolverekkel kapcsolatban nagyon helyesen megjegyeztek: provider hataskor. Majd ha lerohadnak meg parszor, lepni fognak. Legy nyugodt.
- A hozzászóláshoz be kell jelentkezni
Majd ha lerohadnak meg parszor, lepni fognak. Legy nyugodt.
meglatjuk, hogy igy lesz-e...
- A hozzászóláshoz be kell jelentkezni
Nincs nagyon mi amit egy intézmény tehet.
A DNS szerverek védelme lehet az egyik (ne legyen open resolver).
Nagyobb, átfogó hálózati szűréseket a HBONE hálózatán az NIIF tud eszközölni ha szükséges. Váratlan nagy forgalom esetén pl. támadásra használnak valakit szintén többnyire az NIIF szól (persze az intézmény is észreveheti), ilyenkor az adott intézmény kijavítja a hibát saját hatáskörben.
- A hozzászóláshoz be kell jelentkezni
Nem a 300Gbps volt a furcsa ebben a támadásban: http://cluepon.net/ras/gizmodo
In defense of the claims in other articles, there is a huge difference between "taking down the entire Internet" and "causing impact to notable portions of the Internet". My company, most other large Internet carriers, and even the largest Internet exchange points, all deliver traffic at multi-terabits-per-second rates, so in the grand scheme of things 300 Gbps is certainly not going to destroy the Internet, wipe anybody off the map, or even show up as more than a blip on the charts of global traffic levels. That said, there is absolutely NO network on this planet who maintains 300 Gbps of active/lit but unused capacity to every point in their network. This would be incredibly expensive and wasteful, and most of us are trying to run for-profit commercial networks, so when 300 Gbps of NEW traffic suddenly shows up and all wants to go to ONE location, someone is going to have a bad day.
But, having a bad day on the Internet is nothing new. These are the types of events we deal with on a regular basis, and most large network operators are very good at responding quickly to deal with situations like this. In our case, we worked with Cloudflare to quickly identify the attack profile, rolled out global filters on our network to limit the attack traffic without adversely impacting legitimate users, and worked with our other partner networks (like NTT) to do the same. If the attacks had stopped here, nobody in the "mainstream media" would have noticed, and it would have been just another fun day for a few geeks on the Internet.
Inkább az okozott fennakadásokat, hogy az *IX-ket támadták második hullámban:
It's usually against the rules of the individual IXPs to redistribute those blocks into the global table, but it's a common misconfiguration that still happens all the time, meaning anyone on the Internet can send traffic to those router IPs. When one of these IP addresses shows up in traceroute and attackers target it, it results in a large amount of traffic being unexpectedly dumped into this IXP LAN. The "quick fix" for this is for the IXP operators to chase down everyone who is redistributing the IXP block to the global table.
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
Kovetkezo levelet kaptuk a szolgaltatotol:
----------------------------------------------------
Tisztelt Ügyfelünk!
Értesítést kaptunk, miszerint az Önök IP címén illegális szoftvert helyeztek el, aminek segítségével támadásokat indítottak a cloudflare.com weboldal ellen. Erről bővebben itt olvashatnak: http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
Kérjük, hogy ellenőrizzék a hálózatukat, az érintett számítógépeket. Azokon vírusirtást, féregirtást végezzenek, a biztonsági szoftvereket rendszeresen frissítsék és gondoskodjanak a hálózatuk folyamatos biztonságáról, hogy a jövőben ne ismétlődhessen meg a visszaélés.
Kérjük, legyenek szívesek visszajelezni a megtett intézkedésekről.
Együttműködésüket köszönjük!
----------------------------------------------------
A kerdeses gep egy Windows 2008 R2 Server.
A temahoz jol ertok esetleg meg tudjak mondani, hogy ez igy eletszeru? Marmint a forras IP-ket spoof-oltak, ami a tamadas lenyege volt, akkor megis hogyan allapitjak meg utolag, hogy honnan erkeztek csomagok?
B. kerdes, hogy ehhez botnetet hasznaltak?
Vagy itt egyszeruen csak arra celoznak, hogy a fent levo DNS szerver open resolver es hasznalhato volt a tamadashoz?
Elore is koszi
dph
- A hozzászóláshoz be kell jelentkezni