Ha a mod_dosevasive egyszer kiküldte a 403-as hibakódot, akkor a cél kliens IP-je bekerül abba a bizonyos átmeneti feketelistába (alapértelmezetten) tíz másodpercre. (Természetesen állítható.)
Ha felkeltette az érdeklődésed, a http://www.nuclearelephant.com/projects/dosevasive/ címen letöltheted a forrást.
- A hozzászóláshoz be kell jelentkezni
- 9740 megtekintés
Hozzászólások
ertem tehat akkor nem megabitesen log hanem gigabitesen es? ki mondta hogy GET-el fogjak teliteni?
es ha ott ul az operator akkor mi is tortenik?
a routeredig eljon a forgalom a serverig nem?
tehat nem leforkolodni fogsz hanem siman nem lesz savszeled. hurra.
- A hozzászóláshoz be kell jelentkezni
Gigabitet szaturalni is tudni kell valahogy. Mondjuk ha 128 kbit-es ADSL vonalak vegen uldogelo zombikrol van szo, abbol kell vagy 8 ezer darab csak matematikailag... Raadasul nem rossz, ha minden zombi mas es mas szolgaltatonal ul, mert nem nagyon szoktak az ISP-k minden egyes ugyfelre 100% uplink savszelesseget pazarolni, nem hiaba kerul(ne) olcsobba a letoltesi korlattal rendelkezo interneteleres.
Ez IMHO azert annyira nem lehet egyszeru ma Magyarorszagon.
Elmeletileg akademiai halozatrol kevesebb gep is eleg gigabitnyi forgalom generalasahoz, de az eleg hamar feltunhet az NIIF halozatuzemeltetesnek, es viszonylag konnyu tenni ellene - akar automatizalt modon is (mint amilyen a Schonherzben a halokorlat tullepese eseteni automatikus MAC cim kitiltas a halozatrol). Persze vannak jobban es kevesbe jobban vedett egyetemi halozatok Magyarorszagon.
Mint mondtam, a tulmeretezes (vas, savszelesseg, uzemeltetes oldalan) az egyetlen ami segit... Es persze a bunugyi felderites, ami elvileg nem lehetetlen ilyen esetben, a rendorsegnek elvileg hivatalbol kell eljarast inditania az ugyben... Azutan egyszercsak csongetnek Pistikenel es beviszik a fenekbetoszos bortonbe, jol... ha ilyenekkel szorakozik. :) Erkolcsileg semmi kulonbseget nem latok egy DDos elkovetoje meg egy atlag autot lekromofagozo bu
- A hozzászóláshoz be kell jelentkezni
szerintem ertheto amit csinalnak.
Ha van proxy, az nem tudja cache-elni az RSS keresekre a valaszt?
Hamar parezer ember ugyanazt kerdezi ugyanattol, akkor minek savszelt, meg procit foglalni a masik oldalon?
- A hozzászóláshoz be kell jelentkezni
B2B: Business to Business
Hogy teljes legyen :-)
- A hozzászóláshoz be kell jelentkezni
Igazabol nem is az emberek okozzak a bajt, inkabb az automatikus, periodikusan frissulo RSS feed readerek. Amit egyre tobben hasznalnak...
- A hozzászóláshoz be kell jelentkezni
Bar jobban belegondolva, ez amellett, hogy noveli a szervereket ert terhelest, jobban elemezhetove is teszi azt, hiszen az ilyen jellegu keresek sokkal inkabb tekinthetoek Poisson eloszlas szerint erkezonek, es ezert a statisztikai analizisuk es a tomegkiszolgalasi modell megalkotasa is sokkal egyszerubb es pontosabb lesz. Wow...
- A hozzászóláshoz be kell jelentkezni
DDoS tamadasok, ip cimatejtesek, spammerek, ipv4 cimrendszer karcsusaga. Talan ez a harom dolog amirol napjainkban legtobbet hallani mint az internet ugynevezett gyengei.
Most bizonyara sokan fogtok engem utalni :) , ha azt mondom, hogy ezek ellen a problemak ellen rancfelvarrasokkal hosszutavon nem lehet vedekezni. Ideje egy teljesen uj rendszert fejleszteni, melynek a tervezese soran a gyokereitol fogva szem elott tartva azt, hogy mire lesz valojaban hasznalva es a jelenleg ismert problemakat. Ott ahol a "cimzett az valoban a cimzett" a "felado meg valoban a felado". Ahol nem egy vallalati NAT szerver ip cimet ficcenti be egy celalomasra, hanem a "kedves user"-et. Ahol nincsenek ELLENORZESEN KIVULI illegalis oldalak, ahol a gyerekek megtanulhatjuk, hogyan allithatnak elo hazilag robbanoszereket, (C4, nitroglicerin, stb.), majd, hogyan lehet ezeket elhelyezni epuletekben, hogy abbol sz@r se maradjon ha elpukkan. Vagy hogyan lehet embereket agyonkinozni stb. Ezek nem csak technologiai tervezesek hanem mindazok az infrastrukturak amik az internet szocialis hatteret is kepezik.
Pl, az interneten tortent buncslekmenyekre messze nem lehet egy adott orszagon belul lepni mert szinte 99,9% szazalekba a "cimzett" es "felado" kulonbozo orszagokban tartozkodik. Igaz vannak erre is probalkozasok, ilyen jellegu nemzetkozi szervezetekre, de ok, hogy nyomoznak? Hogy keresnek vissza pl tamadasok megtortentere kozvetlen bizonyitekokat barki ellen is? Egy rendszeren amely lyukasabb mint az ementali? Ott ahol a "kedves latogato" hamisitja a packet headereket, atirogatja sajat maga utan a log allomanyokat? Be kell latnunk, hogy az internetet kinottuk.
Akkor gondoljunk bele abba, hogy az egesz egy strukturalatlan adathalmaz nehol pedig kompromisszumos szabvanyokra epul, melyek picibol indultak, majd dagadtak, dagadtak, dagadtak, foltozgattak pofozgattak oket, majd a vilag masik oldalan valaki valamilyen okbol kiatalalja, hogy ez nam jo. Erre o is kitalal egyet teljesen ugyanerre a celra, elkezdi csiszolgatni pofozgatni, majd elterjed lassan, es jon egy harmadik, negyedik, stb. (Ez a mentalitas sajnos a mai szoftverkulturankbol fakad, ahol a problemak hasonloak)
Az ARPA rendszert eredetileg nem erre es nem ecelbol hoztak letre amire ma hasznaljuk, hanem csak csiszolgattak foltozgattak eveken keresztul, hogy mint vilaghalo megalja a helyet. Es amint nap mint nap tapasztaljuk es egyre jobban fogjuk tapasztalni, hogy egyre jobban kiut rajta az, hogy EZ NEM ERRE LETT TERVEZVE AMIRE HASZNALJUK! Atmeneti megoldasnak jo, de ismetlem: NEM HOSSZUTAVRA!
Vannak persze probalkozasok az ARPA rendszer teljes levaltasara, lasd: US Army altal tervezett rendszer, vagy a masik ami most hirtelen nem ugrik be. :D Szal, lehetne cifrazni. Egy qrva nagy tengeren hajozuk egy sz1r-sz@r hajoval, ahol a hullamok egyre nagyobak. Az mar csak a jo kormanyosok erdeme, hogy csak "kisebb koccanasok" voltak, hajotoresek meg nem!
Bocs, ha most nem tudok hosszabban irni ezzel kapcsolatban sajna, de rohadtul faradt vagyok :(, de ha vkinek volna kerdese ezzel kapcsolatban, arra kesobb szivesen valaszolok ill reszleteibe kifejtenem. :)
- A hozzászóláshoz be kell jelentkezni
> Ugye, hogy mennyi problemara megoldast nyujt es mennyivel jobban atgondolt
> az IPv6..?:)
Nem tudom, nem vagyok biztos benne, hogy az IPv6 bevezetése után a cégek
felfednék a belső hálózatuk szerkezetét.
--
--- Friczy ---
'Death is not a bug, it's a feature'
- A hozzászóláshoz be kell jelentkezni
Érdekes. Mekkora lesz ez a hash táblázat egy nagyforgalmú server
esetében? Nem túl nagy overhead a végignyálazása?
--
--- Friczy ---
'Death is not a bug, it's a feature'
- A hozzászóláshoz be kell jelentkezni
Friczy wrote:
>
> Érdekes. Mekkora lesz ez a hash táblázat egy nagyforgalmú server
> esetében? Nem túl nagy overhead a végignyálazása?
A README default ertekkent a 3097-t irja, ez egy primszam.
DOSHashTableSize
----------------
The hash table size defines the number of top-level nodes for each
child's hash table. Increasing this number will provide faster
performance by decreasing the number of iterations required to get to
the record, but consume more memory for table space. You should
increase this if you have a busy web server.
- A hozzászóláshoz be kell jelentkezni
ize hamar apachenal tartunk. Ismer valaki olyan modult, ami limitalja az egy iprol jovo adott idon beluli .htaccess-es probalkozasok szamat? Van egy altalam uzemeltetett webszerver amin egy pornopicsa siteja fut es a fizetos reszeket folyamatosan probaljak megzuzni...
- A hozzászóláshoz be kell jelentkezni
"Ugye, hogy mennyi problemara megoldast nyujt es mennyivel jobban atgondolt az IPv6..?:)"
Persze. Ott is kell proxy, így ugyanoda jutottunk. S a proxy duplán javasolt, mindkét oldal miatt.
Milyen jó is az, amikor minden gép csatlakozási kérelme előtt le kell játszani egy kis IPSec-et, hogy mindenki elégedett legyen! :) S akkor már nem is kell DDOS :)
Remélem, hamarosan lesznek olyan rendszerek, melyek már rendes profilokkal jönnek, s nem kell szívni az elindításukhoz! (S persze meglesz az indulás szabványa is :) )
- A hozzászóláshoz be kell jelentkezni
a futó programok kérésének értéke vlóban periódikusan jósolható, ugyanakkor a kliensek elindulása/leállása (s így a görbe telítettsége) viszont már nem annyira jósolható, max statisztikai alapon, tanulással javítható. Pl. a munkaidő alapján jól közelíthető.
Hm. a telítési görbére s az időváltozásra lehet, hogy lehet valamit lőni, de az már nem lesz általános.
Ettől még benzinkút marad, hiába csak nappal tankolnak...
- A hozzászóláshoz be kell jelentkezni
aranyos
- A hozzászóláshoz be kell jelentkezni
Hmmm, ez csak akkor kritikus ha egy nat hálózatból mondjuk 100-an ugyanazt a weboldalt kérik le...
- A hozzászóláshoz be kell jelentkezni
ehehehe telleg baz elegge szopcsi
- A hozzászóláshoz be kell jelentkezni
Én nem látom túl sok értelmét...
Szerintem a problémát nem tudja megszüntetni teljes egészében ez a megoldás és csak feleslegesen lesz terhelve a webszerver azzal, hogy még ilyen hashelésekkel meg listakezelésekkel is foglalkoznia kell. Ráadásul ha ebben a modulban is van valamilyen bug (és ugye miért ne lenne), akkor csak újabb rizikófaktort jelent, melynek hibáját esetleg szintén kihasználhatják. A másik ami még eszembe jutott, hogy az ilyen feketelistázás elég sok problémát vet fel. A browserek tele vannak olyan bugokkal amik miatt egy oldalt akár többször egymás után is megpróbálnak lekérni és ennek következtében az ilyen kliensek is gyönyörűen ki lesznek tiltva (false positive).
Mellesleg nem is látom, hogy hogyan fogja blokkolni azt a DDoS támadási formát, hogy:
1.2.3.4 -> GET /file1
5.6.7.8 -> GET /file2
9.10.11.12 -> GET /file3
13.14.15.16 -> GET /file4
stb.
Nyilván az igazi DDoS olyan sok különböző IP-vel és olyan random lekérésekkel történhet, amelyet nem lehet egyszerűen kiszűrni, hogy DDoS vagy valódi forgalom.
- A hozzászóláshoz be kell jelentkezni
Naigen. Engem a slashdot tilt le allandoan, mert ugyanarrol a proxyrol valoszinuleg meg parezer kollega keri le nehanyszor tiz masodpercenkent az RSS feed-et...
Monduk /.-ek komolyan gondoljak, mert 10 sec helyett 72 orara kitiltotidk ilyenkor az ember... vagyis a ceg:)
Ugye, hogy mennyi problemara megoldast nyujt es mennyivel jobban atgondolt az IPv6..?:)
- A hozzászóláshoz be kell jelentkezni
"A kliens IP címéből egy kulcsot készít, összeveti egy belső táblázatban található adatokkal, így kiderül, hogy erről a címről érkezett-e az elmúlt egy másodpercben több, mint ötven objektum lekérdezés"
ezzel szepen lassan kiszurodik az osszes ip.
- A hozzászóláshoz be kell jelentkezni
DDos ellen egyfelekeppen lehet vedekezni: baromi nagy tulmeretezessel, horizontalisan skalazott szervfarmmal. En jobban szeretem mondjuk a DDos-t terhelestesztkent felfogni...
- A hozzászóláshoz be kell jelentkezni
Nyilván, az ellenn nem véd. Ha majd irsz egy olyan modult amiben nem lesz hiba, es mindenfele tamadas ellen ved, akkor --ha ugyes vagy-- te leszel a masodik leggazdagabb ember Bill utan. ;-) Nyilvan nem corporate kornyezetbe valo ez a megoldas, es igen, lehet bug a modulban, eppugy mintahogy a mod_rewriteban is volt, pedig az nativ apache modul.
A NAT-olt halobol jovo keresek mar inkabb szamitanak gondnak...
- A hozzászóláshoz be kell jelentkezni
Default 10 sec nem a vilag... 72 ora mar inkabb ;-)
- A hozzászóláshoz be kell jelentkezni
Hamarabb fogy el a memoria a szerverben... bar kerdes mekkora a hash, amit keszit.
Voltak vajon meresek, hogy hany % teljesitmenyveszteseg van a hashkeszitgetes, lookup miatt?
Hogyismondjam, ha ez diplomamunka lenne, es nekem kellene biralni...
- A hozzászóláshoz be kell jelentkezni
"Nyilván az igazi DDoS olyan sok különböző IP-vel és olyan random lekérésekkel történhet, amelyet nem lehet egyszerűen kiszűrni, hogy DDoS vagy valódi forgalom."
Mondjuk van egy 100 ip-ből álló DDoS hálózatod (szerintem 100 ip-s abszolút nem nevezhető nagynak, egy rosszul megtervezett egyetemi hálózatnál akár egy /20-as ip-tartományt is simán lehet spoofolni a feltört szerverről/tűzfalról, láttam már ilyet, nem egyet), ha a 100 ip-ről másodpercenként 40 lekérést végzel (minden lekérés random filera történik), akkor az másodpercenként 4000 lekérés anélkül hogy kiszűrödnének az IP-k...
Meg persze ha több webszerverrel végzel terhelés elosztást, akkor felvetődnek újabb kérdések, pl. a különböző szerveren futó apache modulok hogyan fogják megosztani egymással a feketelistájukat és hashtáblájukat... ;)
- A hozzászóláshoz be kell jelentkezni
szereny vagy
biztos olyan dosra is fel vagy keszulve ami elviszi a savszeled ott aztan skalazhatod a gepeidet
- A hozzászóláshoz be kell jelentkezni
Nyilván, az ellenn nem véd.
Nyilván, nem az adsl-ről DoSoló script kiddietől kell félni... ;-)
Nyilvan nem corporate kornyezetbe valo ez a megoldas
Szerintem sehova se való ez a megoldás...
- A hozzászóláshoz be kell jelentkezni
DDos ellen egyfelekeppen lehet vedekezni: baromi nagy tulmeretezessel
Egyetértek.
- A hozzászóláshoz be kell jelentkezni
van ilyen netfilter modul is:
http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html
"3.5 iplimit patch
This patch by Gerd Knorr adds a new match that will allow you to restrict the number of parallel TCP connections from a particular host or network.
For example, let's limit the number of parallel HTTP connections made by a single IP address to 4 :
# iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJECT
[..]"
- A hozzászóláshoz be kell jelentkezni
ha a 100 ip-ről másodpercenként 40 lekérést végzel (minden lekérés random filera történik), akkor az másodpercenként 4000 lekérés anélkül hogy kiszűrödnének az IP-k...
Ezek az ertekek amik a README-ben vannak defaultok. Nem jelenti azt, hogy mindenhol ez az optimalis. Persze megtalalni az arany kozeputat, nos az nem kis munka.
Meg persze ha több webszerverrel végzel terhelés elosztást, akkor felvetődnek újabb kérdések
Nem tudom, ilyen szinten nem melyedtem bele. De nem hiszem, hogy implementalt lenne (jelenleg).
Amit a horizontalis skalazhatosagrol irtok azzal total egyetertek, de az szerintem mar boven kimeriti a corporate kornyezet fogalmat.
- A hozzászóláshoz be kell jelentkezni
Szerintem ez max. kiegeszto lehet (annak hasznos), de nem helyettesiti a fenti modult.
- A hozzászóláshoz be kell jelentkezni
Szerintem sehova se való ez a megoldás...
Ok en elfogadom amit mondasz. Szerintem van ill. lehet letjogoslutsaga, kulonben letre sem jott volna a modul. Igen, talan a ,,megoldas'' szo eros volt.
- A hozzászóláshoz be kell jelentkezni
aha az sco is azert fekudt le mert nem volt skalazva:)
- A hozzászóláshoz be kell jelentkezni
Ne mondd nekem, hogy olyan oldalak megabites linken lognak, amiket erdemes DDos-olni. A DDos arrol szol, hogy egy bizonyos szervezetnek kart akarsz okozni azzal, hogy, elerhetetlenne teszed a szolgaltatast. Pl egy Amazon, aminek egy oras elerhetetlenseg valoszinuleg millios nagysagrendu karokat okoz (mert a vasarlo inkabb a Barnes and Nobles-rol veszi meg a Gyuruk ura DVD-t, mert az elerheto, az amazon meg be sem jon). Vagy ugyancsak jo pelda Tomcat meg a blogja, amit tudomasom szerint tobbszor is ert ilyen tamadas, es ott konkretan egy ember eletminoseget csokkenti, ha par napig/hetig senki se tud polot rendelni...
100 Mbit es felette viszont nem is olyan egyszeru szaturalni a link visszameno oldalat. Bar tudom, a PHP skalazodik, es a MySQL is barom gyors, de azert gondold csak vegig... A felmeno savszelesseg szaturacioja elott sokkal hamarabb bekovetkezik egy szerver tulterhelese (nem olyan konnyu 100 Mbit-et megtolteni GET /index.php keresekkel).
Ami az egyiknek DDos nagysagrendu forgalom, az a masiknak normalis terheles... tehat lehet ra rendszert meretezni es kivitelezni.
A fenti megoldassal nekem a legnagyobb problemam az, hogy a webszerverbe integralodik, es nem egy kulon content switch/IDS reteg vegzi el a rendszer hatarvedelmet. Persze nem automatikus IDS/tuzfalasdi kombinacio lebegjen a szemeitek elott: azzal lehet igazan labon loni a rendszert.
Egy aktiv DDos tamadas ellen a legjobb a szomszedos szobaban uldogelo operator, aki aktivan be tud avatkozni, es akar /16-os halozatokat tehet blacklistre egyetlen masodperc alatt a webszerverek elotti vedelmi retegben. (Nekem anno a freenet.hu operatori helyisege tetszett nagyon, szepen projektorokkal a falra vetitett aktualis szerverterhelesi grafikonokkal, meg avg load szamokkal).
Hobbi weblapoknak nem kell imho DDos ellen tenniuk dolgokat.
- A hozzászóláshoz be kell jelentkezni
Ugyanmar, ki a fenet erdekel az sco honlapja? Csodalkoznek, ha napi ezres nagysagrendet meghaladna a latogatok szama (gondolom foleg a For investors oldalak a nezettek). A mucsarocsogei leninova mgtsz B2B portaljat sem tobbezer latogatora kell meretezni, penzkidobas lenne az ablakon...
A DDos foleg a B2C esetleg G2C portalok eseten erdekes. Ha a szervezetnek nincs kozvetlen kara abbol, hogy a szolgaltatasa nem elerheto, akkor felesleges DDos elleni tulmeretezesre kolteni. Ha abbol el, hogy interneten ad el dolgokat, akkor meg kotelezo!!!
Gy.k.: B2C: Business to Consumer, G2C: Government to Citizen
- A hozzászóláshoz be kell jelentkezni