Üdv,
Épp DDoS alatt áll(t) rendszerem - szerencsére időben elcsíptem és blokkoltam az egész 5.188.211 subnetet. (from russia with love)
Azon tanakodtam, vajon hogyan, kinek lehetne/kellene jelenteni, ha ilyennel találkozik az ember. (a neten csak általánosan írnak "kibertámadás bejelentése" témakörben, hogy szóljak az ISP-nek, meg a hatóságnak stb - bármilyen nyelven. is.)
pl.: https://www.icann.org/news/blog/how-to-report-a-ddos-attack
OK, de konkrétan kinek?
Össze kéne szedni, milyen címre, milyen infót kell küldeni. Hátha valakinek több tapasztalata van.
Indulónak talán ez a legértelmesebb oldal, amit találtam, bár ez is messze van az egyszerűen elérhető konkrétumoktól:
https://www.enisa.europa.eu/
- 2247 megtekintés
Hozzászólások
ha nagyon unatkozol, írhatsz a subnet abuse címére. Gyakorlatban ezekre eddig csak én válaszoltam bárkinek, másoktól soha nem jött semmi
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
Kb esélytelen. Támadj vissza!
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
"Fontos megjegyezni, hogy nincs közvetlen segítségnyújtás a végfelhasználók részére; velük szemben elvárás, hogy saját rendszergazdájukkal, hálózati adminisztrátorukkal vagy ügyfélszolgálatosukkal vegyék fel a kapcsolatot. A Hun-CERT ez utóbbiakat támogatja. A végfelhasználóknak a hálózati biztonsággal foglalkozó Hun-CERT oldalak információinak hasznos olvasását tanácsoljuk."
- ez is egy gittegylet.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Dolgoztál valamelyik magyarországi CERT-tel, és onnan ez a vélemény?
- A hozzászóláshoz be kell jelentkezni
nem, viszont elolvastam a honlapjukat és ott világosan leírják a tevékenységüket, a lehetőségeiket.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Az IT biztonsági képzéseken bizonyára ódákat zengenek róluk. ;) Nekem még nem volt dolgum velük, de egy SSL cert elférne a sitejukon. :P
PS: Ja, látom több is van, én erről beszélek: http://www.cert-hungary.hu/
- A hozzászóláshoz be kell jelentkezni
Sőt, még találkozni is lehet velük, ezért lenne szerencsés gittegyletezés helyett tájékozódni. Még a végén meglepődne az ember. :)
- A hozzászóláshoz be kell jelentkezni
Én nem gittegyleteztem. De sajnos simán el tudom képzelni, hogy a szokásos papírhegy gyártók "IT Biztonság" címszó alatt.
- A hozzászóláshoz be kell jelentkezni
én gittegyleteztem és továbbra is fenntartom, hogy valszeg' nem ők fogják windows pisti szappantartó rúterét kimenteni az ukrán hekkerek karmai közül.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
> valszeg' nem ők fogják windows pisti szappantartó rúterét kimenteni az ukrán hekkerek karmai közül
Ja, hát ez mondjuk igaz. :)
- A hozzászóláshoz be kell jelentkezni
biztos így van, csak akkor egy kicsit határozottabban is ki lehetne állni a frontvonalra, mert a leírtak alapján az embernek elmegy a kedve az űrlapkitöltéstől is.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Első lépésként megtehetnék azt, hogy leírják mi fog történni a bejelentés után. Például ők mit fognak tenni, várhatólag mennyi időn belül kap valamilyen visszajelzést a bejelentő,… Mondjuk az űrlap előtt egy-két bekezdésben, hogy egyből egyértelmű legyen. Mert így még azt is gondolhatja a bejelentésre készülő, hogy csak az ő adatainak a begyűjtése a cél.
Esetleg egy kicsit át is lehetne dolgozni az úrlapot. Például lenne egy legördülő lista amiben kilehetne választani a támadás jellegét. És utána már csak a választástól függő kérdések jelennének meg. Mert egy „tisztességes” DDoS esetén a hostnevek és az IP címek felsorolása is gondot okozhat, de a kapcsolatfelvétel megtörténte iránti érdeklődés teljesen feleslegesnek tűnik.
Ha az utolsó – kötelező – mezőt tényszerűen ki tudom tölteni, akkor már nem fognak tudni olyat mondani nekem, amit még nem tudok. Így ez megint csak adatgyűjtésnek tűnik.
- A hozzászóláshoz be kell jelentkezni
Nekem egy nagyintenzitasu ip spoofing + DDoS tamadassorozat alkalmaval javasoltak, hogy tegyek feljelentest a rendorsegen.
Szerintem hasznosak.
- A hozzászóláshoz be kell jelentkezni
Ok és jutottak valamire, volt érdemi reakció belőle? Jellemzően a DDoS zombigépekről jön, igen nehéz megfogni a valódi elkövetőt.
- A hozzászóláshoz be kell jelentkezni
Lol
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Weclome to the Security Theater!
--
zrubi.hu
- A hozzászóláshoz be kell jelentkezni
De hogy konstruktív is legyek :)
Ha van nálatok SOC szerű dolg, akkor nyilván ők fogják ezt észleni,
emögött nyilván van valmilyen SIEM rendszer, amibe (akár manuálisan) fel lehet venni az ilyen gonosz tartományokat, amikből aztán jobb esetben tűzfal/proxy/akármi szabályok is keletkezhetnek, és ezzel akár meg is védhetitek a saját dolgaitokat...
(Komoly business esetén ezzel azonban több baj van, mint amit általában el tud képzelni a főnökség :)
Ha nincs se SOC, se SIEM, akkor max a szolgáltatódnak tudod jelezni, aztán ő majd belátása és mérete szerint cselekszik. Vagy nem.
a DDoS-ban pont az a "nagyszerű" (persze attól függ melyik végén vagy), hogy nagyon kicsi befektetéssel nagyon nagy kárt lehet vele okozni, úgy hogy védekezni ellene a gyakorlatban szinte lehetetlen* - de legalábbis a biztosan nem rentábilis.
*Persze biztos mindenki hallott már anti DDoS szolgáltatásról/védelemről, de ez biztosan nagyon drága móka, ÉS ráadásul csak multinacionális szolgáltató képes ilyet nyújtani.
--
zrubi.hu
- A hozzászóláshoz be kell jelentkezni
Állami és önkormányzati szektor esetében itt kell bejelenteni:
http://www.cert-hungary.hu/node/4
- A hozzászóláshoz be kell jelentkezni
(könyvjelző, ha netán kellene, de ne kelljen!)
- A hozzászóláshoz be kell jelentkezni