Elméleti síkon akarom megérteni (tanulni szeretnék)...
Tegyük fel van egy "szerver" aminek van egy 100/100-as csatlakozása a világ felé.... a sávszélesség dos-olást szeretném megérteni így tegyük fel hogy geoip alapján tiltom az összes nem magyar forgalmat szoftveresen. (tudom kijátszható stb... ezért írtom hogy tegyük fel).
Tegyük fel hogy csak Magyar forgalomban nincs dosolási szándék vagy akár tételezzük fel hogy a forgalom nulla rajtam kívül. (tehát csak én csatlakozok a szerverhez senki más).
Külföldről meg akarják zabálni a sávszélességem...
Mivel már a végponton szoftveresen állítom meg a külföldi forgalmat, ezért gyakorlatilag képesek arra külföldről hogy a normál magyar forgalom elől elvegyék a sávszélességet, azaz kitömjék forgalommal a csatlakozásom?
Hozzászólások
Mivel a szerveren állítod be a geoip-t azt, pikk pakk kitomik 100Mbittel, tehát semmi értelme a geoip-nek.
Ilyenkor a szolgáltatót lehet megkérni akinek sok sok gigabitje van hogy toljon rád GEOIP-t.
Így amíg a szolgáltatót nem ülteti le a DDoS, addig te elleszel, ha neki is kevés a szávszél akkor bukta.
Fedora 25, Thinkpad x220
Miért ne? A Hozzád menő vonalon bemegy minden csomag, amit Neked szántak, csak Te nem engeded őket be. Olyan, mintha rengetegen behajtanának egy bekötőúton, majd a farm kapujában az őr mindenkit elhajtana (illetve eltenne láb alól). Attól még dugó lesz a bekötőúton...
Üdv,
Marci
Klasszikust csak pontosan ha kerhetem ;)
Komatsu effekt
Elnézést, igyekszem, hogy máskor ne forduljon elő! :)
Az külön tetszik, hogy homályban hagyja, mit is csinál a portás...
Üdv,
Marci
Gondolom egy klasszikus fogast hasznal:
Visszamennyé
;)
Topic torolve lett szoval itt az eredeti idezet:
"Akkor az nem DDOS volt.
Megprobalom szemleltetni.
Tegyuk fel hogy a szervered egy nagy raktarhaz odavezeto 4 savos uttal.
A fail2ban a portasbacsi
Namost a DDOS az nem abbol all hogy jon egy darab biciklis futar es allandoan nyomja a csengot a portasod meg elzavarja.
A DDOS az abbol all hogy sok ezer kisebb vagy nagyobb futar ( biciklistol a KOMATSU domperig bezarolag ) a te kicseszett kapud elott fog tolongani egeszen addig amig a hozzad vezeto utat teljesen le nem blokkoljak ugy hogy meg egy gyalogos se tud a kozelebe ferkozni a gyarkapudnak.
Ezen hogyan segit a portasbacsi?"
Ha érted, akkor mit nem értesz? :)
Amennyire én tudom, igen!
Hiába tiltasz akármit szoftveresen, ha már odáig eljut az adott csomag akkor sávszélességet használ, attól hogy te ezeket eldobod nem sokat jelent, mert simán jöhet annyi kérés ami kitömi a sávszélességedet.
Ez itt a reklám helye: ezt oldja meg jópár helyzetre például az Azure Application Proxy.
Üdv,
Marci
A Microsoftnál dolgozom.
3 perc alatt elmentél az MS-hoz dolgozni? ;p
@@
"You can hide a semi truck in 300 lines of C."
Nálunk ilyen hatékony a recruitment :)
Pont ez volt itt a lényeg hogy jól értelmezem-e a dolgot de ezek szerint jól :(
Tehát ahogy korbábban mondták nincs megoldás mint az ISP adjon rá 10 gigbatitet és talán azt nem tudják kitömni... De ha pl 15 gigabittel tömnek és az isp azt mondja hogy nem ad ennyi sávszélt mert ad1 nincs neki ad2 inkább eladja hostingnak mint 1 szerver ddos védelmére ad3 nem tudok annyit fizetni :)
persze vannak alternatívák pl webszerver esetén cloudflare... stb stb...
Telekom hosting sales-es mondta, hogy ddos védelem szolgáltatásként lehet kérni, hogy az IP címedet kivegyék a routingbol, így a nemzetközi routing táblákban nem lesz benne és csak Magyarországról lesz elérhető az IP címed. Biztos lehet ilyet máshol is venni, esetleg egy kis utánna olvasást megér.
Helyesen: az IP címedet null route-olják, és így már a szolgáltató felett eldobásra kerül, azaz már az ő hálózatába sem érkeznek be a csomagok.
jah es ugyanugy nem lesz elerheto a szolgaltatasod kulfoldieknek... vagyis nem szartak a kutba, csak a kavara majd beleloktek...
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Azért mégis jó megoldás ez sok site-nak, ami csak a magyar internetező közösséget célozza meg. Talán ez a legjobb megoldás nekik.
Ja, aztán, vagy a bix-en jön, vagy nem, lásd upc pl.
Minden lukat nem lehet befoltozni, mert akkor nem tudsz bebújni a gatyádba. Legalább hármat úgy kell hagyni, ahogy van. :) De akkor mi a jó és hatékony megoldás?
ez jóóó :-)
Az egyik, hogy a blackhole (vagy null route) egy adott route-ra vonatkozik, ahonnan a támadás jön.
Azaz nem feltétlen az egész világot zárod ki, csak specifikus peering pontokról jövő forgalmat.
Ha minden peering ponton kapod az áldást, az pech.
Ilyenkor szokott előfordulni az, hogy gyorsan másik IPre kapcsolján az adott domaint.
Volt korábban egy kollégám akinek volt egy webshopja. Egyik hostingról menekült a másikra. Dosolták állandóan.... (nem tudta rábizonyítani hogy a konkrenciája de egyértelmű volt mert specifikus volt a webshop) szóval ha egy weboldalt céloznak akkor nem megoldás a dobálózás :)
Ilyenre pont jó a Cloudflare. Persze a valós IP-t titokba kell tartani.
Valószínűleg ez lett a megoldás, sajnos a történet végét nem tudom mert elváltak útjaink és azóta se beszéltünk.
Kis magyar valóságban is van ilyen? Komolyan kérdezem, hogy ez nem csak kínai bot-specifikus "jelenség"? Valaki (xy.hu) úgy akarja ellehetetleníteni a másikat (xy-z.hu), hogy DDOS-olja?
Képzelt történet: "Karcsi és felesége pelenkatortát árul a weben. Egy nagy konkurenciája piaci előnyre tesz szert azzal, hogy az 50Mb-es THome kapcsolatát kihasználva hihetetlen nagy, szinte gigantikus támadást indít a 2cpu+4Gbram+100Mbit konfigurációjú VPS ellen."
a dolog ott hibádzik hogy nem t-home netet használtak, hanem vegyesen amihez hozzáfértek. Eleinte webes appokat használtak, pl van egy már nem emlékszek a linkre, ami 30 másodpercig dosol talán 300 mbittel.... így kezdődött, aztán nyilván ez ellen lehet védekezni, de aztán amikor ezek az amatőr próbálkozások kifutottak akkor sok külföldi botnettel tolták... amúgy meg egyértelmű volt hogy ki az, mert meg akarták venni a webshopot, mivel a feltételezett támadó is azzal a specifikus dologgal foglalkozott megyén belül....
Irreleváns, csak arra reagáltam, hogy nem az IP címedet távolítják el a világ routing tábláiból. :)
A fenti példa csak a sávszélesség dosolás megértését célozta. Természetesen nem akarom a külföldi forgalmat kidobni. Itt a lényeg az volt ha szoftveresen szürőm a bejövő forgalmat a végponton attól még kitudják tölteni az oda vezető sávszélt.
Hozzáteszem manapság a 1000-res digis netből 2-3 is elég gigabitnél hogy egy magyar szerver sávszélességét kitömjem.... igaz a bixes statisztika meg hogy kinek mekkora sávszéle van nem mérvadó mert egymás között is cserélnek adatot pl telekom digivel a bixen kívül, de ha jól látom aki kimondottan szerverhostinggal foglalkozik csak az a deninet akinek a legnagyobb a bixes upja..... igaz ilyen támadás esetén pikk pakk lehet intézkedni.... épp inkább a külföldi sávszél lett volna lényeg...
Te meg elhitted? :D Hiba volt. Ha Windows-t kérnél SPARC vason, egy sales-es arra is azt mondaná, hogy lehet. :D
bár jelen esetben nem hazudott :-)
Bejövő sávszélesség problémákat nem tudsz megoldani a végponton. Akármit és akárhogyan szűrsz/kezelsz egy dolog mindig állni fog: a csomag már bejött, már elhasználta a sávszélességedet. (Sokan ezt az egyszerű tényt elfelejtik minden olyan helyzetben, ahol sávszélességet kell kezelni, pl.: priorizálás, load ballancing, stb...).
Két dolgot érhetsz el a szűréssel: nem tudják dos amplifcationre használni a rendszeredet, illetve (ha jól méretezel), akkor nem fogsz kifutni a CPU-ból és RAMból mielőtt kitömik a sávszéledet. (Ez utóbbi egyébként elég fontos és hasznos: készülnöd kell arra DDOS támadások esetén, hogy a maximális bejövő forgalmat le tudd kezelni a szerveren, ne boruljon meg a szerver a túlterhelés miatt. Ezt viszont elég hatékonyan lehet kezelni végponti szűrőkkal, mivel a szűrés jóval olcsóbb CPU időben, mint megpróbálni kiszolgálni az "illegitim" kéréseket.)
Zavard össze a világot: mosolyogj hétfőn.
Ez természetes... nyilván webszerver esetén lehet úgy méretezni hogy ne haljon meg a szerver, és be tudj ssh-zni egy másik ipn ami másik netet használ pl. De ezzel mire mész? Kitömik a hálózatod kifelé áll minden. Hiába vagy bent a szerveren lényegen nem változtat..... max van idő kideríteni hogy honnan jön a támadás, de mielőtt nyitottam totyikot keresgéltem, hasonló témát érintettek, igaz ott konkrét problémával küzdöttek és ott nagyon szép topográfiai rajz volt, hogy a támadó csatlakozik 2 zombi gépre, és a két zombi gépről irányítja a többi zombi gépet. Vagyis hiába nyomozol a tényleges támadót soha nem fogod elkapni.
A DDOS célja, hogy elégesd a cél erőforrásait. Ezt lehet bután csinálni, pl. brute force jelleggel eltömöd a hálózatot, Ez ellen a szolgáltatód tud megvédeni, te nem sokat tehestsz.
A másik mód a személyre szabott DDOS.
Az igazi cél, hogy minél kisebb erőforrásbefektetéssel, minél nagyobb terhelést okozz.
Ezért az első lépés mindig az, hogy feltérképezik a célt, milyen kérésre, oldalletöltésre hány másodpercen belül érkezik válasz.
Weboldalaknál a szűk keresztmetszet a szöveges keresés szokott lenni. Itt érhető el, hogy pár byteos kéréssel sok CPU-t, RAM-t és disk I/O-t égethetsz el. Álltalános szóra, mint pl. és, az, hogyan stb. keresve még sok találatot is kapsz, így a sávszélességet maga a weboldal égeti el amikor visszaküldi a választ.
Persze ezek ellen lehet védekezni, de a weboldal készítésekor kevesen gondolnak rá.(pl. egész kevés olyan oldal van, ahol funkciókat tudsz ideiglenesen kikapcsolni, pl. keresést) Fórumok, vendégkönyvek erősen DDOS mágnesek.
Update: bocsánat a nekromanciáért, nem láttam a thread dátumát, csak hogy főoldalon volt a fórumban.
Általában nem a fizikai sávszélességet tömik ki, hanem a sok SYN csomag megnyit és lefoglal ugyanannyi TCP socketet, amiknek mindnek van memóriaigénye is, és végül a szerver erőforrásai fogynak el.
Kivéve, ha van valahol - akár a serveren, akár előtte a tűzfalon - syncookie védelem
A syncookie védelem mindenhol alap nem? Én azt sem értem miért lehet ki/be kapcsolni. :D
"A megoldásra kell koncentrálni nem a problémára."
Úgy látom a címben DDoS-t említesz, de a topik nyitóban DoS-ról beszélsz. Vagy elgépelted, vagy nem látod hogy ez két különböző dolog, és mi a különbség.
Nem baj, csak akkor tisztázzuk:
- DoS : denial-of-service
- DDoS : Distributed Denial-of-Service
Az első jellemzően egy forrásból érkezik, fentebb említett módon: feltérképezett működés után "erőforráségető" kérések sokaságával fordulunk a szolgáltatáshoz. Viszonylag könnyű védekezni, mert bannolod az IP-t.
A második hasonló, de több forrásból érkezik. Jellemzően botneteket felhasználva. Itt kis session nyitásoki is elegek, mert milliószám képződhet kapcsolat. Mivel több IP-ről, több országból, és szolgáltatótól érkezik, nehezebb védekezni ellene. Leginkább az ISP képes rá. Jó esetben. Ha hajlandó is...
IP alapon saját OS-ben tartományokat, és országokat, vagy kontinenseket nagy tételben szűrni azért kockázatos, mert minden bejövő csomag végigmegy minden szabályon (ha tiltás alapon dolgozol), és bizony CPU-ból dől el, hogy kína,india,banglades,azerbajdzsán...stb -e, és kidobjuk, vagy beengedjük? Ezeken az ellenőrzéseken pedig azok a csomagok is végigmennek (CPU-t használva!), akiket végül beengedsz.
Persze lehet ezt okosabban csinálni, vagy hatékonyabban, de igazából ezt nem iptables/nft vonalon kellene kezelni.
"A megoldásra kell koncentrálni nem a problémára."
2017. 02. 20., h – 11:54
Továbbá a posztoló 5 éve nem kommentelt sehova
Aláírás _Franko_ miatt törölve.
neut @
Azóta már biztos megtanulta! :D
Vagy DDOS miatt nem bir feljelentkezni :P
ohhh. Ezt nem figyeltem. Én hibáztam. Elnézést kérek!! :)
"A megoldásra kell koncentrálni nem a problémára."
De a többiek legalább tanulnak belőle.
én semmiből sem tanulok!