DDOS - miért nincs állami fellépés ellene

Sziasztok!

Laikusként nem értem, hogy miért nem értesítik azokat a géptulajdonosokat/hálózat üzemeltetőket/előfizetőket, akiknek a készüléke részt vesz DDOS támadásban? Evvel jelentősen lehetne csökkenteni a fertőzött/fertőzhető gépek számát.

Van erre logikus válasz?

Üdv és kösz:

Lippi

Hozzászólások

Nincs rá kapacitás. Egy jó méretes DDoS sok tízezer forrásból jöhet. Ráadásul az egyik, amit egy DDoS támadás le tud ültetni elég hamar, az a logging.

Hogy értesítenék? És ha tudnák is értesíteni őket, szerinted értenének belőle bármit is? Tudná egy átlagfelhasználó, hogy hogyan kell eltávolítani hatékonyan a gépéről a malware-t ami DDOS-ol?
Arra meg bőven van példa, hogy a szolgáltatót értesítik, aki ideiglenesen letiltja az egész fertőzött szegmenst.

Ja, talán nem a tp-link termékei közül kell routert választani. Egy kicsit több pénzért már kapni olyan eszközöket, amiken dedikált hálózatvédelmi megoldások futnak, monitoring rendszerrel (az Asus a termékein pl a trend micro cuccait licenceli).

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Széles spektrum van árban, én 50e forint fölött bármelyiket ajánlom, amelyik a Merlin firmware-rel is megy. Most egy rt-ax88-pro-t használok elsődleges routernek, a régebbi (de még mindig remekül működő) modell (rt-ac66u_b1) mesh-hálóba kötve, éppen wifit szór a ház más pontján.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

nem egy kategória.

Ezekkel kell összehasonlítani:

Fortinet, Check Point, Watchguard, Meraki, Sophos, Palo Alto Networks

 

kieg:

- egyébként az e-bay -en vettem többet, az otthoni laborhoz. 50-100-200USD áron. Előfizetés nélkül is működik, firmware frissítést is kap - csak extra funkciók nem működnek, amihez kell Lic., de FW,VPN megy.

Tehát azért nem értesítjük a profit, mert hátha hülye?

WTF? Ezt kérdezted: "miért nem értesítik azokat a géptulajdonosokat/hálózat üzemeltetőket/előfizetőket". Azok a géptulajok/előfizetők, akik beszopnak egy DDOS-oló malware-t nem épp profik, a hálózati üzemeltető értesítésére meg számtalan példa van.

Arra sem válaszoltál, hogy hogyan is kéne értesíteni a géptulajokat. Tegyük fel, hatalmas forgalom érkezik a 2001:0db8:85a3:0000:0000:8a2e:0370:7334 IP címről. Kit akarsz ekkor értesíteni? És hogy? Emailben? Kinek küldenéd? Mobilon? Milyen számot hívnál?
(Abba bele se menjünk, mi van, ha a szolgáltatója NAT-olt címet oszt, mint ahogy az jellemző, ezért max. a szolgáltató router IP-jét láthatod, mint a forgalom forrását, a fertőzött gép címét direktben nem is.)

Attól meg isten ments, hogy bármelyik szolgáltató bármelyik ügyfelének személyes adatait kiadja telefonon csak úgy, bemondásra, ha esetleg egy ekkora hülyeségre gondoltál volna.

Ti nem értetek az IP-hez vagy DDOS hálozatot üzemeltettek? (Esetleg jó nektek a világ így?)

Küldesz a szolgáltatónak egy értesítést (szabványos protokolon), hogy ennek az IP -nek ezen portjáról DDOS-t végeztek. Légyszi értesítsd a felhasználódat!

Ezért kell az állam bele, hogy legyen kötelező eljárás).

melyik szolgálatónak küldök emailt? 
amelyiknek a hálózatához tartozó IPcímről érkezik az áldás - vagy annak a szolgáltatónak amelyik a tranzitálást végzi?
Ha már DDoS-ról beszélünk, akkor kapsz flood-ot mondjuk egyszerre ~10K címről. Ezen címeknek a hostmaster-ét kikeresed és értesíted?

Az első D a distributed, azaz nem egyetlen IP címről megy a támadás. Ha egyet kilősz, lesz helyette száz másik. Továbbá földrajzilag is distributed. Nem tudsz minden vietnami, indiai, stb. botot kilőni. A megtámadott hálózat peremén lehet az ilyesmit megfogni (ha a védendő infrastruktúra megér annyit), léteznek DDoS elleni nagy teljesítményű hardvereszközök.

Együk fel, hogy értesíti.

És? Hány százalék az esélye, hogy az user a kötőszavakon kívül ért mást is? Esetleg ha meg is érti, hogy találja ki, hogy az eszközei közül melyiket kell kalapáccsal sürgősen szétverni? Mert ugye a DDOS 1- közötti nappal korábban volt.

Szóval te azt szeretnéd, hogy az állam (na és melyik, a magyar?) először is követelje ki a pórul járt cégtől a forráscímeket - már ugye ha eljut hozzájuk -, vagy felhasználva a esetleges lehetőségeit, kötelezze a szolgáltatót, hogy X nappal korábbi teljes session logot legyen kedves de nagyon gyorsan beszolgáltatni(*) (egy ilyesmi miatt azért még én is elvágnám a zsinórt, kicsit durva kémkedés), aztán feltételezve a jóhiszeműséget, ezt átnyálazva kiküldeni a szolgáltatóknak (hátha értenek angolul), akik majd pusztán jófejségből majd lefordítják az usernek (meg az ügyfélszoli fejenként eltölt 1-100 órát a magyarázkodással, hogy ez most mi is volt, és a magyar állam az miért is kémkedik utána... uh... azt hiszem egyelőre elég ennyi.

 

*) Ami ugye pont DDOS esetén esélyes, hogy eleve nem kicsi, plusz eleve dobják amilyen hamar/távol csak lehet.

A Magyar Telekom évekkel korábban már csinált ilyen. Egy külső partnertől kapott lista alapján kereste meg a lakossági előfizetőket azzal, hogy gyanús forgalom jön a végpontjukról.

Hogy mennyire bírták ezt a szélmalomharcot arról már nem jutott el hozzám infó.

nem értelek...
van 2 fajta user:
1) akinek fingja nincsen arról, hogy a szolgáltató jelzi neki: vagy megszünteti az adott tevékenységet, vagy lekapcsolják/korlátozzák a szolgáltatást
2) aki megköszöni ezt a jelzést, és megoldja/szakembert hív

Hogyan képzeled el a folyamatot, amikor az állam avatkozik bele a dolgokba? Mint 3. fél?
Honeypot-ot üzemeltet, és hátha ráragad a légy, vagy lehallgatja folyamatosan az IX csatlakozást?
Megkéri a szolgáltatót, hogy az állami szervet is vegye fel az adott ISP abuse@ címére?

Még jó, hogy nem azt kéred a hivataltól, hogy kötelezzék az ISP-ket az emailcímek szolgáltatóváltásának megoldására...

Allam max mint szabalyozo lepjen be, de ne csinaljon igy semmit. Legyen torveny pl ra, hogy mit lehet csinalnu, mi a kotelessege a szolgaltatonak stb.

ahogy a forgalomra veszelyes autorol is leveszi a rendor a rendszamot, ugy miert ne lehetne a netre veszelyes delikvenseket is letiltani? Ha nem ert hozza, forduljon szakemberhez. Ez ugyanigy megy a villannyal, gazzal stb is. Utobbinal sincs lacafaca, ha ugy van tel kozepen is leveszik az orat.

nagyon sok esetben itt is az van, hogyha a hálózat működését veszélyezteted, akkor előzetes értesítés nélkül lekapcsolnak.
elolvastad már a szolgáltatód ÁSZF-jét?

ps: jellemzően ezek az "otthoni zombik" rövid ideig aktívak - amire bárki is -realtime- beazonosítaná a tevékenységet - máris lezárult.

Azé az államé, aki minden alkalommal, mikor valamelyik alulméretezett, fosul (sem) skálázódó állami rendszert megfekteti az előre "kiszámíthatatlan" mennyiségű forgalom (nem tudom, adóbevallás határidőnél az emberek adót akarnak bevallani, ugyanitt a meglepő hóesés december közepén), akkor kiállítja valamelyik faszt, amelyikben épp van elem, elmondani, hogy túlterheléses támadás volt? Na, hát az az állam inkább maradjon jó messze ettől. Foglalkozik ezzel a szolgáltató, a jól felfogott anyagi érdekéből, az ugyan fosnak hangzik, de a valóságos igényekhez sokkal közelebb fog állni :)

Szerkesztve: 2024. 09. 30., h – 21:56

Reszben off, de vicces gondolatkiserlet lenne Indiat egy hetre lekapcsolni a nemzetkozi halozatokrol, hogy csak magukban forgalmazhassanak, orszagbol kifele ne. Kivancsi lennek, hany problema oldodna meg magatol, meg hany AI service menne downtime-ba. :)

Rossz ötlet. A végén kitalálják, hogy a VoIP, p2p bármilyen forgalom az DDoS, tehát tiltsa a szolgáltatód. Ekkor az addigi internet előfizetésed egy hírolvasó, médiafogyasztó szolgáltatássá silányul.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A múltkor kaptunk egy weboldalra támadást. DDOS -nak mondanám, de nem igazán volt mit tiltani rajta, kb 5-8000 magyar ip cim, mindegyik kb 3-5 másodpercenként keresett valamit az oldalon, amit persze nem tudtunk cachelni.
Az oldal elérhetetlen, ha felhivom marika nénit, hogy 15 lap letöltést generált akkor meg mihez kezdesz vele... ennyi a böngészőből össze hoznak.

A megoldás az lett, hogyha egy bizonyos user agentel jöttek, akkor a kód felvette tüzfalba, és akkor már ott eldobódott a csomag. Vagy egy napig ömlött a forgalom, lassan cserélődtek az ip cimek. Utánna eltünt.

---...---
TLoF

Szerkesztve: 2024. 10. 01., k – 00:51

Ez sajnos nem ilyen egyszerű.

1. Nincs senkinek teljes ember = IP cím összerendelése. Az államnak sincs.

2. Az IP címek rendszeresen cserélődnek (ezért nincs is értelme az 1. pontnak).

3. Tegyük fel, hogy minden ember és cég kapna fix publikus IP címeket / tartományt, ami csak kizárólag hozzá tartozik, senki máshoz. Marhaság, de mégis tegyük fel, hogy ezt megcsinálják.
3.1. IPv4-ből nincs elég, IPv6 kell.
3.2. Ha én a munkahelyemről netezek, akkor az én saját IP címem vagy a cég IP címe látszódjon?
3.3. Technikailag a routingot hogy oldanád meg? Pl: 1 ilyen IP cím a mobiltelefonomé, 1 ilyen az otthoni routeremé, 1 ilyen az IP kamerámé stb.

4. Ha be lehetne azonosítani bárki által egy embert az IP címe alapján, akkor azonnal eltűnne a neten az anonimitás. Az lenne csak az igazi 1984! Az emberek 99,99%-nak csak neten nagy az arca.

5. Manyi néni Wifi routere (amit az internet szolgáltatótól vett) EOL/EOS lesz. A routert feltörik, DDOS-olnak rajta. Manyi néni kap értesítést az államtól. Tegyük fel, hogy Manyi néni meg is érti a problémát. Mit tegyen? Dobja ki a routert? Tegyen másik fw-t a routerre, ha lehet? Vegye vissza a szolgáltató és ingyen cserélje azt le? A végén még kiderülne, hogy az IT terméktámogatás a béka feneke alatt van - és ebben Hajbazernek igazat adok. Perpillanat kiszámíthatatlan egy consumer IT termék életciklusa. Az IoT eszközök körüli kuplerájról már nem is beszélve.

6. Töröljük el a korlátlan lakossági netet és legyen forgalom alapú díjazású. Miben segítene ez érdemben?

7. Az egész IT úgy lyukas, ahogy van. Túl fiatal, kidolgozatlan. A DDOS csak egy nem egyedüli tünete ennek - mondjuk az építőiparhoz viszonyítva, ahol volt párezer évünk működő és stabil megoldások kitalálására.

8. A legnagyobb visszatartó erő talán a büntetés lehetne. Pontosabban a lebukástól való félelem, amit büntetés követne. Mivel az elkövetőket nem kapják el, így nem is büntetik őket.

9. IT biztonság tudatosság a béka feneke alatt van. Ez mondjuk az autók biztonsági övének használatára is igaz bizonyos körökben.

Ami talán érdemben segíthetne - bár van köztük vad ötlet:
- Minden netképes termékre legyen kötelező EOL / EOS, amit már a vásárlás pillanatában ismernie kellene mindenkinek.
- Hibajavítás - különösen CVE-kre - 1-2 héten belül telepítésre kerüljön automatikusan az összes érintett termékre. (garantált parasztlázadás)
- EOL / EOS státuszú termékeket be kell gyűjteni / bedarálni / tilos netre kötni. (ez is tuti felháborítana sokakat, okkal)
- Ahonnan DDOS jön, őket lehessen kizárni az internet eléréséből. (tuti felháborodást okozna ez is)

1. Nincs senkinek teljes ember = IP cím összerendelése. Az államnak sincs.
 

ripe/arin stb tudja kinek adta a cimet. Az ha tovabbadja (mert isp) akkor tudnia kell, hogy kinrj adta. Hirkozlesi trv-ben benne van meddig kell orizni (isp-kre vonatkozik). Szoval egy valaki valoban nem tudja, de valakihez minden ip tartozik.

Spam-ekre van az ARF-es cucc, esetleg azt ki lehet egészíteni, hogy ilyenre is jó legyen (már ha nincs ilyenre amúgy egy RFC), és gépi úton feldolgozni. Szerintem senki nem várja el, hogy ezek kézzel történjen.

Lehetne lépcsőzetes a dolog. Pl. első tresholdnál automata figyelmeztetés, mégegyszer, második figyelmeztetés, harmadiknál pedig közbeléphet személy, stb. Nem tudom pontosan, ezt most találtam igy ki amig ezt leirtam.

Láttál te már szolgáltatót 500m -nél közelebbről?

Bakker, komolyan akkora mérhetetlen nagy arcod van "laikusként" hogy nem fér be az 1920x1080-ra húzott monitorom hasznos területére.

A jóisten áldjon meg, drága barátom, ha trollkodásnak szánod, akkor ez mérhetetlenül szánalmas, ha pedig tényleg ennyire fogalmatlan vagy, akkor lehet, hogy vissza kellene venni az arcodból.

A neked válaszolók olyan 75%-a többször annyi órát töltött a szakmában, mint te az iskolapadban összesen. "Laikusként" legyél olyan kedves legalább minimálisan feltételezni, hogy egy kicsit többet tudunk a dolgok menetéről, mint te.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Bocs, úgy látszik túl nyomtam a fekete humort.

Esetleg a megoldást is meg tudod mutatni? (Szerintem az nem megoldás, hogy DDOS farmot és cloud farmot üzemeltetünk párhuzamosan és aki nem fizet nekünk, azt megtámadjuk és javasoljuk a védelmi pénz igénybe vételét).

De azt is megmagyarázhatod, hogy az állam miért nem követelhet a szolgáltatóktól segítséget a probléma végleges (!) megszüntetésére.

követelni követelhet... tudnád, h mennyi mindent követel az állam a szolgáltatóktól eddig is...

melyik állam követelje? amelyik országból a támadást indítják - vagy ahol az áldozat van?
(tegyük hozzá, h legtöbb esetben aki a támadást elköveti (botnet tag) az is áldozat)

Köszi, hogy pontosan megfogalmaztad a kérdésem alapját: azért kell értesíteni az "áldozatokat", hogy megvédhessék magukat.

>>> melyik állam követelje? amelyik országból a támadást indítják - vagy ahol az áldozat van?

Bocs, de engem kevésbé zavar, hogy Zimbabwe-ben mit csinál az állam, én azt szeretném, hogy a pillanatnyi lakóhelyemen védjen.

De mitől?

Mármint eddig azt hittem, hogy az a baj, mer vissza kell szorítani a DDOS-t. Ahhoz meg ugyanúgy zavar a zimbabwe is, mert ugyanúgy szórja az áldást ide.

De most akkor az az "áldozat", aki éppen beszopott valami vírust, és őt kell védeni? Ne már baszki, alsógyatyát ne segítsen felvenni az állam? Mi köze van neki ehhez?

nekem eddig az a tapasztalatom, hogy DDoS-t annak sikerül megnyernie, aki vagy megrázta a pofonosfát - vagy rálépett valakinek a lábujjára - vagy a kettő együtt...

Kovács 2 József lakossági előfizetőt soha senki nem fogja megtámadni, csak azért mert létezik...
Ellenben olyat már tapasztaltunk, hogy ifj.Kovács 2 József tizenéves fiatalember úgy tudott viselkedni xy környezetben (értsd: megrázta a pofonosfát) - természetesen a virtuális térben - hogy valakinek érdekében állt némi anyagi ellenszolgáltatás fejében vásárolni egy kis DoS-t, ezzel természetesen nem csak a végpontot tette taccsra - de a környezetének is jutott.
A szolgáltató pedig első körben 24-48 óra időszakra lekapcsolta a végpontot - a hálózat védelme érdekében, és pedzegette, hogy neki többet ér a többi előfizető nyugalma, ment ezen előfizetőtől származó párezer forintos árbevétel...

Magyarországon kettő féle DDOS hangzott el az utóbbi években:

Az első ami állami rendszereket ért. Ezek mind nem DDOS voltak, hanem alulméretezett, rosszul tervezett rendszerek, amik a felhasználókat ráengedve összeomlottak, mert valószínű csak 5-6 dev tesztelgette addig, nem több ezer user. Aztán bemondták, hogy minden szuperül működött, csak megDDOSolták...

A másik, amikor hírportálok váltak elérhetetlenné, mindenféle/bármiféle felekezethez tartozóan. Azt meg törvénnyel nem lehet megakadályozni, mert rendelésre történtek minden esetben, nem a Marika néni feltört TPlink router-ével játszott valami tizenéves wannabe hacker, és pont az adott hírportál címeit sikerült begépelnie véletlenszerűen...

Ezen típusokon kívül én nem emléxek DDOS hírekre az utóbbi években, itthon.

azért kell értesíteni az "áldozatokat", hogy megvédhessék magukat.

Oké, de írd már le hogyan gondolod. Ki kit értesít, hogyan és mit mond neki. Csak címszavakban. Ha végiggondolod és megírod, szerintem rá fogsz jönni, mi a probléma.

Bocs, de engem kevésbé zavar, hogy Zimbabwe-ben mit csinál az állam

Az szuper, csak Zimbabwéból (is) jön az áldás, tök jó ha manuálisan sikerül levágni pár tucat magyar botot, ha közben jön egymillió másik Afrikából, Kínából meg akárhonnan.

amennyiben a szolgáltató által biztosított eszköz lesz EOL - akkor teljesen jogos az igény, h frissítse (de legalábbis védje meg)

Az már egy más kérdés, hogy a 3 éve vásárolt DLink NAS-odat hágják meg, ami valamiért (pl privát felhő szolgáltatás) miatt kint van neten - és ezzel másnak kárt okoznak, akkor ezért ki tartozik (kártérítési) felelősséggel...

Én nem a felelősség oldaláról közelítem a problémát: állítsuk meg a támadásokat, de ehhez segíteni kell a felhasználókat, hogy tudatosan viselkedjenek.

Szerintem, ha valakinek rendszeresen küldenek értesítést, hogy szar a rendszere (és időnként elnémítják), akkor talán lesznek olyanok, akik hozzáértő segítséget kérnek (nem beszélve arról, hogy mennyi munkánk lesz :-) )

értem. Tehát némi edukációval eléred, hogy Józsi ne a temu-ról / alibaba-ról rendeljen 50USD-ért kamerát, hanem keressen meg szakit, aki 3-5x ennyiért adja el neki a (papiron) hasonló specifikációval bíró "ipari" terméket. 
Igaz, hogy az elsőhöz jobb esetben 2x kapsz fw frissitést (a termék egész életciklusa alatt) - amíg a másikhoz párhavonta érkezik frissités/security fix - de ez mindegy, mert Józsi úgysem fogja kihívni a szerelőt fél év múlva egy frissités végett. Még akkor sem, ha a frissités kritkusságára a szerelő külön felhívja a figyelmet...

Az első lépés ez, hogy monitorozzuk a felhasználókat, a következő meg az, hogy nézzük, hogy milyen weboldalakat nézegetnek, melyik felekezethez tartoznak, de nem a választások befolyásolása miatt, meg manipuláció miatt, hanem a terrorizmus megfékezése miatt. De közben meg a védekező Izraelt basszuk le, mert meg mert ölni néhány tenoristát, akik rakétázták őket.

A jelenlegi politikai irányvonalat tekintve inkább ne legyen DDOS naplózás, max kirívó esetben az ISP vegye le róluk a netet.

hup.hu##article[data-comment-user-id="16401"]

hup.hu##article[data-comment-user-id="4199"]

Laikusként nem értem, hogy miért nem értesítik azokat a géptulajdonosokat/hálózat üzemeltetőket/előfizetőket, akiknek a készüléke részt vesz DDOS támadásban? Evvel jelentősen lehetne csökkenteni a fertőzött/fertőzhető gépek számát.

Van erre logikus válasz?

Igen. Hogy nem lehetne ezzel jelentősen csökkenteni. :)

Csinálnak egyébként ilyesmit, én például többször futottam kört a digivel, mert valami partnerük jelezte, hogy DDoS támadást észleltek tőlem (értsd, kaptak egy levelet az abuse@-ra valami automatától), és csináljak valamit. Talán még azzal is jöttek, hogy különben korlátozhatnak. Az egyikben három darab random udp packetre panaszkodtak, a másikban már nem tudom mi a pöcsre, ezeknél megbeszéltük, hogy értem én, értem, de ugye ha a 300Mbites uplinkemen aznap összesen nem ment fel nem tudom, 1-2 giga adat, akkor lehet, hogy mégse dosolok, természetesen a háztartásban levő összes windowson (0) van vírusírtó, meg frissülnek automatán, szóval szórakoztassunk mást.

Illetve egyszer volt valami, mikor az xbox csinált valami packet stormot, tényleg félig hanyatt baszta a mikrotiket, az valóban nem lehetetlen, hogy kilátszott (bár csodálkoznék, ha az ő eszközükön túlra tette volna), kikapcsoltam valami érdektelennek tűnő featuret (nem tudom, local sharing, vagy valami hasonló faszság), azóta béke van.

Az összes ilyen bérelt infrán meg foglalkoznak ezzel, már csak saját hatáskörben is, mert valójában nekik érdekük. (Hacsak nem a spammer tanya az üzleti modell).

Hun-CERT szerintem pont valami hasonlot csinal.

Teljesen el vagyok keseredve: itt a "hozzáértők" nem bánják, hogy a mindennapi életünket fillérekért szétbarmolják (itt arra gondolok, hogy jelentős társadalmi hatása lehet, ha célzott támadás történik - pl a választás napján).

A mai gigabites netek világában, egy ugyfél ha csak pár bájttal DoS -ol az senkinek nem fáj a támadotton kívül, másoknak fel se tűnik. Innentől kezdve senki nem fogja az ügyfelet basztatni emiatt, napokkal / hetekkel később. Főleg úgy, hogy az ügyfelek 85%-nak az internetet a facebook és a YT tiktok stb jelenti ...

Esetleg ha az IP szerver akkor érdemes lehet a tulajnak küldeni egy emialt. De a logokban naponta százával látok próbálkozásokat szerveres IP-kről is ... Szóval ez is csak hiú ábránd az esetek nagy részében.

Fedora 40, Thinkpad x280

az egyik része, hogy a "fillérekért" erősen relatív - ennek azért nézz utána. Egy olyan DDoS, ami egy komoly rendszert le tud ültetni - USD (tíz)ezrek óránként.

A másik része, hogy az ilyen fontos rendszerek olyan védelem mögött vannak (normál esetben) amik képesek az ilyen támadásokat kiszűrni (értsd: DDoS protection). Ez konkrétan azt jelenti, hogy rövid időn belül (értsd percek) felfutó DDoS forgalomból képes kiválasztani a hasznos adatot - és csak azt továbbadni az alkalmazás felé. A komolyabb alkalmazások (ide értve a választási rendszert is) ilyen védelem mögött futnak - és futottak már évekkel ezelőtt is.
Hovatovább: ezek a tender kiírások azóta is publikusak.

ha célzott támadás történik - pl a választás napján

Az, hogy a publikus weblapot leültetik egy dolog. Amúgy a választási rendszer egy zárt informatikai rendszer. A választókörökből is zárt, speciális hálózaton (nem Interneten) mennek be az adatok a központba.

Az utolso részhez: szerintem a legtöbb ilyen oldalt nem ledosolják klasszikus értelemben, hanem egyszerűen nincsenek felkészülve a peakre, ami csak párszor van. Vagy éppen kiemelt figyelmet kap, pl. nemrég az a fejvadász cég. Lehozta a fél magyar internet az oldaluk címét, mindenki azt nézegette volna, elfogyott a resource a tárhely csomagjukba, aztán már azt mondják, hogy le lettek dosolva.

itt a "hozzáértők" nem bánják, hogy a mindennapi életünket fillérekért szétbarmolják

Mert az idézőjel nélküli hozzáértők értenek hozzá annyira, hogy olyan rendszereket tervezzenek, amit legalább egy forinttal többe kerül megfektetni, amennyit a megfektetés bekövetkezése megér a támadónak. Ebben a módszerben egyébként az a jó, hogy a DDoS-tól a social engineeringig az összes támadási vektor ellen védelmet nyújt. :)

Szerkesztve: 2024. 10. 01., k – 21:55

Ah, jut eszembe... de ezen felsírtam, trollkodik az AI :D "Valóban léteznek olyan szakértők, mint Lippi"

Erős bennem a gyanú, hogy ezt már felnyalta keresővel, és abból szűrte le a javaslatokat.

De... lehet ezt még fokozni...

Szerkesztve: 2024. 10. 01., k – 22:11

Összegzem az elhangzottakat, hogy lásd a problémát:

  • Alapvetően a DDoS-sal az a baj, hogy nagyon sok, többtízezer IP címről érkeznek a támadások, és általában a mai DDoS-ok sok esetben feltört gépekről érkeznek, és nem valaki tulajdonol ennyi (virtuális) gépet.
  • Az IP -> Customer összerendelés nem érhető el egy központi adatbázisban - ennek főleg biztonsági okai vannak, illetve nyilván üzleti titoknak is minősül az ügyféllista. Még ha a zónából ki is tudod szedni, ki az ISP, az ISP-től kell előszedni az infót. Ez nem automatizálható, mert minden ISP rendszere más, és másképpen tárolja az adatokat. Lehetne erre egy kötelezően implementálandó interfész, de ez egyben sérülékenység is, plusz megint véleményes, hogy ügyfelek magánadatait adja ki bárki az államnak csak úgy.
  • Jelen szabályozás szerint is csak írásos, hiteles hatósági felszólításra kötelesek a cégek személyes adatokat megosztani az állammal, mert ezek érzékeny adatnak minősülnek, kiadásuk jelenleg büncselekmény abban a formában, amihez az állam általi értesítéshez szükség lenne. Alapvetően át kellene alakítani mind az állam, mind a szolgáltatók adatkezelésének szabályozását ehhez
  • Az "állam" mint olyan, nem tud értesíteni senkit. Az "állam" nem egy darab dolog, hanem sok minisztérium és állami vagy szerződött cég összessége. Az ilyen értesítéshez le kellene szerződni egy céggel, aki a leveleket ténylegesen kiküldi. Mármint, ha nem úgy gondoltad, hogy maga Orbán Viktor személyesen írjon mindenkinek levelet.
  • Több ezer/tízezer levél menne ki, ezt eleve idő, mire bármi kiküldi, ráadásul a szolgáltatók védelmei miatt eleve csak rate limitelve lehetne a leveleket kiküldeni -> késnének a levelek
  • Tegyük fel, kimegy a levél, megérkezik a címzetthez. Optimális esetben még nem is kerül spambe. Vagy elolvassa, vagy nem. Egy emailt könnyű nyom nélkül törölni.
  • Egy email nem minősül hivatalos felszólításnak, azt jelenleg papírlevélben kell kézbesíteni. A Magyar Posta kicsit megreccsenne, ha hetente kellene többtízezer levelet kézbesítenie random (és az csak naív feltételezés, hogy heti csak 1 DDoS van és nem sokkal-sokkal több).
  • Menjünk tovább, tegyük fel hogy az az email hivatalos iratnak minősül, tegyük fel, hogy elolvassa a címzett. Kis cégeknél mondjuk viszonylag gyorsan lehet dolgokat csinálni eszközökkel, nagyobb cégeknél, pláne ha valami core cuccot hekkeltek meg, még ha "gyorsan" lépnek, az is hetekbe kerülhet. Egy feltört core router lecserélése sokmindennek a függvénye, pénz, raktárkészlet, stb...
  • Eleve is nagy kérdés, hogy mekkora határidőt adjál erre államként. Ez tényleg nagyon sok mindennek a függvénye lehet, hogy mennyi idő lecserélni valamit. Egy cégnél nem úgy működik a beszerzés - jó esetben - hogy kiveszünk a házipénztárból 150-500 ezer forintot, és akkor a sarki közértben veszünk valami komolyabb routert. Árajánlat bekérés, szállítás, stb. Mindenhol hetek is lehetnek az átfutás. Ha gépről van szó, a hibakeresés is időt vehet igénybe, főleg egy esetleg erre nem eléggé felkészült üzemeltetőcsapatnak. Csapkodhatod te az ostort államként a fejük felett, de előbb nem tudják megszerelni a rendszert
  • Azt már nem is emlegetem fel, ha valami beszállítói cuccban van a sérülékenység, és be kell kérni a javítást.

És ez most csak az, ami olyan negyed óra alatt eszembe jutott ebben a témában. Nagyon nem egyszerű egy ilyent implementálni, végrehajtani, főleg államként minderre apparátust építeni, technológiát, jogi rendszert, stb. És valójában nem tenne semmit sem jobbá a dolog. Többmilliárd gép van az interneten, tegyük fel, hogy itthon bevezetnek egy ilyen értesítő rendszert. Sok sikert ahhoz, hogy a világ összes országában bevezettesd. Merthogy simán lehet, hogy egy itthoni hackker Taivani gépekkel DDoS-ol, vagy Észak-Koreaival. Borzasztóan naív bárki, aki úgy gondolja, hogy ezt így meg lehet oldani.

Jelenleg a legjobb megközelítés az oktatás, az érzékenyítés lenne, illetve a sérülékeny eszközök/szoftverek minél hamarabbi listázása. Állami oldalon amibe egyáltalán be lehetne szállni, az az etikus hackerek támogatása, a forgalomban levő hálózati eszközök firmware-inek validálása, certifikálása. Ez is baromi nagy téma, de ennek legalább van egy eleje és egy kezelhető komplexitású folyamata, aminek talán mérhető impactja lenne a hálózati biztonságra. Persze ez nem fog segíteni azokon a vérpistike üzemeltetőkön, akik letiltják még a Windows Update-t is, mert majd ők azt jobban tudják, és ott vannak a hálózati eszközök, 3 évnyi frissítés teljes hiánya mellett.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

mert pl arról a routerről, amit ma használsz - holnap fog kiderülni, hogy lukas. Ha pedig holnap nem derül ki, hogy lukas, akkor lehet, hogy a fél év múlva felrakott upgrade után lesz lukas.
Melyik pillanatban mondod azt, hogy ez a router nem lehet kint a neten?

Uez igaz pl a noname kamerákkal, NVR-ekkel, esetleg pici occó IoT eszközökkel kapcsolatosan...

Továbbra is azt mondom, h az ISP (amennyiben ad bridge-nél többet tudó eszközt az előfizetőnek) tartozzon ezért felelősségel.
Természetesen az hasznos, ha felismeri az ismert sechol-okat, és (pl tűzfalazással) ezeket korlátozza, amennyiben random 1-2 esetnél többször fordulnak elő.

Pl anno volt ismert Mikrotik/Winbox sérülékenység - ahogy ez kiderült, elég sok ISP (mondjuk figyelmeztetés nélkül) letiltotta a Winbox default portját.

Ehhez hasonlóan periodikusan futtathatna a hálózatán vizsgálatot az ismert sérülékenységek végett, amiről kiértesíti az érintetteket az alábbi módon:
"Tisztelt Ügyfelünk!
Az Ön által használ X gyártmányú Y típusú Z verziójú firmwaret futtató router ismert biztonsági rést tartalmaz, amely távoli elérését
ezúton korlátoztuk (vagy a védelem érdekében az Ön végpontját visszatettük CGNAT mögé).
Kérjük az Ügyfélportálon jelezze, ha elvégezte a megfelelő intézkedéseket - a rendszer ismételt ellenőrzés után visszakapcsolja az eredeti állapotot.
Amennyiben további segítségre van szüksége, xy telefonszámon egyeztethet helyszíni munkavégzést, illetve uitt vásárolhat általunk biztonságosnak ítélt routert."

ps: az gondolom megvan, hogy a fenti fejlesztés nagyságrendileg minimum 6 számjegyű (és nem a skála elején) de egy multinál simán 7 számjegy felett is lehet...

Az emberek nagyrésze azt használja amit a szolgáltató lerak, abban meg egybe van a router, wifi, modem minden kutyafüle. És azt a szolgáltató kezeli. Bridge módot ha kér, akkor meg meg át lehet tolni a felelősséget az ügyfélre és kész?

De itt 10 ezer vagy 100 ezer vagy 1 millió felhasználó van a támadó oldalon! Egyetlen támadásban!

Az internet felépítéséből, működéséből adódóan gyakorlatilag lehetetlen megvalósítani, amit kitáláltál. Pláne állami (jogi) eszközökkel.

Amit írsz, 'szabványos protokollon jelezni kell az IP tartomány tulajdonosának, hogy az egyik felhasználója "lyukas".' ez létezik, ezek az abuse@ címek. Ott lehet jelezni, és jelzik is rendszeresen, mindenkinek. És mindenki intézkedik is. Ez heteket vesz igénybe, és a végén az eredeti forráshoz tartozó üzemeltető vagy csinál valamit, vagy nem (utóbbi a jellemző magáűnszemálynél, ahonnan a legtöbb DDOS indul).

Kvázi valami új protokollt kellebe feltalálni, majd kötelezően bevezetni az interneten MINDENKINEK A VILÁGON, ami arra lenne hivatott, hogy valami prioritásos formában automatikusan kommunikálja a DDOS forrásait, célját, és mindenkinek intézkedie kellene azonnal, aki érintett az adott forgalomban. Ezzel lehetne megállítani a DDOS-t. Az ilyen rendszerrel nyilván nem lehetne visszaélni, hogy bizonyos forrásokat ellehetetlenítsenek...

Aztán ezt naplózva lehetne kikeresgetni a forrásokat az esemény után, és értesíteni, ideiglenesen vagy véglegesen kitiltani. Erre is kellene új protokoll, egységesítés AZ EGÉSZ VILÁGON, hogy automatizáltan megtalálható legyen minden forrás cím adott időpillanatbani használója. Meg persze az ilyen eseteket nyilván kellene tartani, hogy ki tart az értesítésnél, ki az ideiglenes és ki a végleges kitiltásnál... Az ilyen nyilvántartásokkal meg nyilván nem lehet visszaélni. Plusz nehezítés a dinamikus cím, amikor a szolgáltatónak arra kellene figyelni, hogy most a B címet kell tiltani, mert Józsi bácsi tiltást kapott az A címen elkövetett DDOS miatt, de az áramszünet óta B a címe... Nyilván ez tök triviálisan megoldható, minek is róla ennyi beszélni.

És ha ez meg is valósulna valami csoda folytán, akkor Te, mint előfizető a havi díjban fogod kifizetni azt a munkát, tudást, eszközparkot, üzemeltetést, ami ahhoz kell, hogy ilyen volumenű feltört eszköz helyét, üzemeltetőjét lenyomozzák, értesítsék, leválasszák az internetről, stb., mindeaz automatikusan, azonnal?

Nem, dehogy fogod kifizetni, "az valaki más dolga", "oldja meg az állam", "oldja meg a profitéhes szolgáltató". Te csak elvársz egy működést, és azt hiszed, hogy ezt egy bármilyen állam törvényekkel ki tudja kényszeríteni. Holott nem arról van szó, hogy minden adott a megoldáshoz, csak senki nem akarja használni és ezt kellene szabályozni, hanem arról van szó, hogy olyan elképesztő erőforrás igénye van a megoldásnak, hogy eszébe sincs senkinek megvalósítani.

Ekkora dilettantizmust, mint ez a topik nyitó és az azt követő hozzászólásaid, régen láttam.

És akkor ilyen szintű hozzá nem értés mellett képes vagy beírni, hogy tehát akkor az itt lévő szakemberek szerint ez így jó...

Az olyan problémákat meg, hogy választás napján nem lehet a kurucinfót vagy az origót vagy a telexet olvasni, nem az IT szektor szétszopatásával kell megoldani, hanem alternatív információ terjesztési módokat kell találni annak, aki az információját el akarja juttatni mindenképp a közönségéhez... Hírpotáloknál ez azért elég jól megoldható már manapság is (csak nem szánnak rá időt és pénzt), simán IT eszközökkel, interneten is. Ha meg olyan rendszerről van szó, amit el kell érni (pl. elektronikus szavazás), akkor azt megfelelően kell méretezni és védeni - és az előbb említett meglévő eszközökkel megoldani a problémát.

Szerkesztve: 2024. 10. 02., sze – 00:24

Ajánlom figyelmedbe az alábbiakat, hogy vizuálisan is lásd, hogy másodpercenként mennyi DOS / DDOS / AV / SPAM / egyéb hálózati esemény történik a nagyvilágban:

- https://cybermap.kaspersky.com/

- https://horizon.netscout.com/

- https://threatmap.checkpoint.com/

- https://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&tim…

- https://threatmap.fortiguard.com/

- https://threatmap.bitdefender.com/

- https://radar.cloudflare.com/

Ezek az adatok többnyire az adott gyártók termékeiből jönnek (SIEM / EDR) és az XDR-ből feldolgozott adatokat jelenítik meg valahogyan weben. Szóval ebben nem lesz benne Manyi néni otthoni nete és eszközei, mint célállomás - csak mint forrás.

Olyan DDOS mint a Covid idején történt, amikor is péntektől lehet letölteni a kijárási korlátozáshoz kapcsolódó munkáltatói igazolást? És hihetetlen dolog történt pénteken, összeomlott a rendszer 2.5 millóan próbálták meg reggel 8:00 órakkor letölteni:)

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek