| 1.1, pavlinux (ok), 23:32, 10/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +22 +/– |
 Тут только один выход - увеличивать размер команд. Например чтоб запросить список серверов времени, надо отправлять команду:
"O GREAT AND WONDERFUL SERVER, WOULD YOU BE SO KIND AS TO GIVE ME YOUR WONDERFUL LIST OF FAVORITE SERVERS, PLEASE^D".
а он тебе в ответ пару байт: "ХРЕН^D"
| | |
| |
| 2.2, Аноним (-), 23:43, 10/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Даёшь проведение в Сочи нового олимпийского вида спорта - компьютерный пинг-понг!
Берём два игровых сервера, отправляем от имени первого info-запрос второму. Второй отвечает первому, первый отвечает второму и т.д. Выигрывает та пара серверов, что больше трафика сгенерит.
| | |
| |
| 3.4, pavlinux (ok), 23:49, 10/02/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
Фейсбук и Инстаграм так работают:
в инстаграм насрал, кто-то пришёл увидел - поделился,
пришли питсот друзей - прошли по сцылке на инстаграмм - насрали, ....
| | |
|
| 2.3, Аноним (-), 23:44, 10/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> а он тебе в ответ пару байт: "ХРЕН^D"
Так не усилитель получится, а архиватор. Сразу начнут такие службы для экономии трафика использовать :-)
| | |
| |
| 3.7, Аноним (-), 01:47, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> а он тебе в ответ пару байт: "ХРЕН^D"
> Так не усилитель получится, а архиватор. Сразу начнут такие службы для экономии
> трафика использовать :-)
Написать программу, отвечающую "XPEH", можно и без выхода в сеть :)
Можно даже без сетевых технологий - обычное символьное устройство /dev/xpeh.
| | |
|
| 2.5, Xasd (ok), 01:41, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Тут только один выход - увеличивать размер команд.
а сделать так чтобы подстановка фальшивого обратного адреса не срабатывала -- нельзя?
например если я посылаю ip-пакет в котором обратный адрес указан -- вообще от чужёго пользователя -- то с какой стати мой провайдер станет маршрутизировать такой ip-пакет?
(хотя провайдер может и станет -- но это нарушение. и значит винить в DDoS -- можно смело провайдера который разрешил отправлять ip-пакеты (UDP) с чужим обратным ip-адресом)
ну блин, rp_filter же для чего придумали?
| | |
| |
| 3.6, Аноним (-), 01:45, 11/02/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> а сделать так чтобы подстановка фальшивого обратного адреса не срабатывала -- нельзя?
И открытых SMTP-релеев не было, и чтобы преступники все в тюрьме сидели, ага :)
Бороться-то можно, но паршивые овцы найдутся при любом раскладе.
| | |
| |
| 4.10, Xasd (ok), 01:50, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Бороться-то можно, но паршивые овцы найдутся при любом раскладе.
эти "паршивые овци" -- если захотят (или если их взломают) -- могут вообще просто навсего за'DDoS'ить любой сервер -- просто всей своей мощностью через обычные HTTP-GET-запросы :)
| | |
| |
| 5.15, Аноним (-), 02:06, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Важно не только наличие каждой овцы по отдельности, но и возможность их одновременного использования в рамках одной операции. С миру по нитке...
| | |
|
|
| 3.9, pavlinux (ok), 01:50, 11/02/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> а сделать так чтобы подстановка фальшивого обратного адреса не срабатывала -- нельзя?
Ты когда письмо пишешь, можешь указать любой адрес отправителя? Можешь!
Марки купил - оплатил. Остальное нипёт.
> например если я посылаю ip-пакет в котором обратный адрес указан -- вообще от чужёго
> пользователя -- то с какой стати мой провайдер станет маршрутизировать такой ip-пакет?
И чо, теперь я из-за тебя не смогу транзитный канал организовать?
| | |
| |
| 4.11, Xasd (ok), 01:53, 11/02/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> а сделать так чтобы подстановка фальшивого обратного адреса не срабатывала -- нельзя?
> Ты когда письмо пишешь, можешь указать любой адрес отправителя? Можешь!
> Марки купил - оплатил. Остальное нипёт.
я когда письмо пишу -- то у входящего адресата проверяется SPF-запсь на моём домене. (так что если я укажу фальшивый обратный адрес -- это сразу будет выявлено.. точнее сказать -- если кто-то другой укажет мой адрес в качестве обратного -- то это не прокатит).
это если письмо было электронное.
а если письмо было через "почта роиси" -- то их методы мне не внушают безопасности [и я не рассматриваю их как образец безопасности]. последний раз например получал посылку, тыг мне её когда выдали даже паспорт не спросили.
| | |
| |
| 5.12, pavlinux (ok), 01:57, 11/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>> а сделать так чтобы подстановка фальшивого обратного адреса не срабатывала -- нельзя?
>> Ты когда письмо пишешь, можешь указать любой адрес отправителя? Можешь!
>> Марки купил - оплатил. Остальное нипёт.
> я когда письмо пишу -- то у входящего адресата проверяется SPF-запсь на
> моём домене.
Покажи мне такого смелого админа, который подставит свою жопу, включив
обязательное требование ко входящей почте, как наличие SPF.
Говна самовар, а не SPF, особо в restricted режиме!
> последний раз например получал посылку, тыг мне её когда выдали даже
> паспорт не спросили.
Там такие тётки, любой фаервол нервно курит в сторонке.
| | |
| |
| 6.18, Аноним (-), 02:09, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Покажи мне такого смелого админа, который подставит свою жопу, включив
> обязательное требование ко входящей почте, как наличие SPF.
Я как минимум одного такого знаю. И что характерно, удача сопутствует мудрым и храбрым - ему за это внеочередную премию дали.
| | |
| |
| 7.22, pavlinux (ok), 02:14, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Покажи мне такого смелого админа, который подставит свою жопу, включив
>> обязательное требование ко входящей почте, как наличие SPF.
> Я как минимум одного такого знаю. И что характерно, удача сопутствует мудрым
> и храбрым - ему за это внеочередную премию дали.
Угу... Пешиищо! Когда выгонят, за то, что инвестора забанил,
который хотел спросить реквизиты для перевода бабла.
| | |
| |
| 8.24, Аноним (-), 02:16, 11/02/2014 [^] [^^] [^^^] [ответить] | +/– | Не поверите, есть конторы, которые работают, а не ждут долларового дождя с небес... текст свёрнут, показать | | |
|
|
|
| 5.36, t28 (?), 13:07, 11/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> их методы мне не внушают безопасности
Ты ни как не можешь понять, что: "The Internet is not about security, The Internet is about connectivity."
Безопасность — это в других сетях.
| | |
| |
| 6.38, Аноним (-), 13:30, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> их методы мне не внушают безопасности
> Ты ни как не можешь понять, что: "The Internet is not about
> security, The Internet is about connectivity."
В данном случае (DoS-атаки) security тесно связано с connectivity. Нет первого - не будет и второго.
| | |
|
|
| |
| 5.14, pavlinux (ok), 02:05, 11/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>> И чо, теперь я из-за тебя не смогу транзитный канал организовать?
VPN из кетайского филиала, бриджом на провайдера. И пля не провайдерское это собачье дело,
что у меня в сети. Ему платят за канал! Выдал подсеть - дуй, маршутизируй КУДА сказано.
| | |
| |
| |
| 7.21, Аноним (-), 02:13, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> И ваще у меня оптика и MPLS-шланг! Нет там IP!
Что, совсем нет, даже инкапсулированного? Ну, на нет и суда нет.
| | |
| |
| |
| 9.33, Аноним (-), 12:24, 11/02/2014 [^] [^^] [^^^] [ответить] | +/– | Тогда и в не инкапсулированном трафике заголовки читать противозаконно - сразу в... текст свёрнут, показать | | |
|
|
| 7.30, Аноним (-), 11:17, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Да причём тут ты со своим MPLS? MPLS подразумевает что у тебя есть админы которые не будут тупо смотреть на флуд из их сети. Речь же об обычных домашних пользователях или небольших фирмочках с сеткой на 16 которым не нужно гонять транзитный трафик с неизвестным src.
| | |
|
|
| 5.20, Xasd (ok), 02:11, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> И чо, теперь я из-за тебя не смогу транзитный канал организовать?
если я ТОЛЬКО организовываю точку обмена трафиком. то есть -- если у меня везде ТОЛЬКО чужой транзитный трафик (и нет ни какого друго: нет моего собственного трафика) -- то разумется я ни как не могу проверять обратный адрес отправителя пакетов.
а если вдруг я занимаюсь тем что подключаю клиентские компьютеры к интернету (к точке обмена трафиком) -- то я просто обязан проверять чтобы в заголовоке пакетов (из моей подсети) не было бы фальшифого обратного ip-адреса.
буду ли я делать это с использованием "rp_filter", или делать это без использования "rp_filter" а через свой собственный набор правил фаервола -- совершенно не важно как. главное проверять чтобы от моих клиентов -- в интернет (в точку обмена трафиком) не шло бы всякое говно!
а если я подключаю клиентские компьютеры к интернету, но не проверяю корректность заголовка ip-пакетов -- то значит говно я, а не интернет-провайдер :-) , и из-за меня (такого говна) могут пострадать люди.
| | |
| |
| 6.26, Аноним (-), 03:59, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> а если вдруг я занимаюсь тем что подключаю клиентские компьютеры к интернету (к точке обмена трафиком) -- то я просто обязан проверять чтобы в заголовоке пакетов (из моей подсети) не было бы фальшифого обратного ip-адреса.
Все это замечательно, но как насчет технических методов контроля за соблюдением данного принципа всеми провайдерами (которые располагаются в разных странах)?
| | |
| |
| 7.46, Аноним (-), 18:23, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
все давно есть. просто никто не читает(ни провайдеры, ни интеграторы, ни законтворцы)
аналогично тому как для endpoint-ов првоов - есть вещи вроде RFC3074 и более суровые.
даже для L2 CMSA-сетей, вроде Эзернета, которым 90% России, обынтернечивающегося - вагон всего есть - EAPOL, 802.1AE, 802.1AR и прочие и прочие(и которых - особенно суров SEND).
только болт клали с прибором и вендоры и провайдеры и юристы на все это, даже в спецслужбах
пока петух жаренный в ж-у не клюнет - не начнут внедрять. DNSSec - двадцать лет не двигался, хотя проблему обзозначили, изначально. к примеру.
| | |
|
| 6.29, Crazy Alex (ok), 05:15, 11/02/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
 По-моему, лучше вылизывать техническую реализацию, чем бороться методами "всех запретить". А то тут только повод дай - зарегулируют всё так, что не продохнёшь. А учитывая некоторые особенности бюрократии - в частности, то, что получить по башке за то, что "не проедотвратил" много больше шансов, чем за то, что создал гору неудобств людям - бороться потом замучаемся.
| | |
| 6.32, nikosd (ok), 11:39, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 И приходит к этому провайдеру клиент ( крупный клиент) и говорит:
мы у Вас берем 100 мегабит и 50 мегабит у другого провайдера ( как резерв) , так вот - нам надо чтобы пропускались у вас пакеты с ip_src второго провайдера, и вообще , у нас таких точек несколько десятков ( вполне вероятно - это федеральная сеть) , первый раз видим чтобы провайдер проверял IP на выходе.
Мы мелкие - связались со вторым провайдером, получили добро, повесили access-list, но вывод - многие не фильтруют вообще.
А уж на BGP стыках с мелочью - вообще фильтры редкость ( анонсить они могут только себя, а вот проверять что у него включено ip ver sou uni на интерфейсе - или накладывать лист - неа )
| | |
| 6.39, t28 (?), 13:31, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> а если вдруг я занимаюсь тем что подключаю клиентские компьютеры к интернету
> (к точке обмена трафиком) -- то я просто обязан проверять чтобы
Друзья, держитесь подальше от таких ^ ^ "провайдеров". В случае чего — геморрой обеспечен.
У нас клиентское подключение к нескольким провайдерам в датацентре и балансировка исходящего трафика работает с использованием спуфинга. Ни разу я не сталкивался с непропусканием трафика с поддельными IP.
| | |
| |
| 7.44, nikosd (ok), 17:50, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Думаю, что как только кто - то придет к вам со словами - а вы тут в DDOS участвовали, сайта name.gov.ru - Ваше мнение сильно изменится ( и ведь доказать что это сосед DDOS устроил не возможно будет) .. Да и очень сомнительно что в этом ДЦ честно сдан СОРМ..
Провайдеры - держитесь подальше от клиентов, которые хотят чего - то за пределами нормальной процедуры
P.S. RFC 2267 не более чем для обсуждения, но почитать стоит.
| | |
| |
| 8.45, Аноним (-), 18:06, 11/02/2014 [^] [^^] [^^^] [ответить] | –1 +/– | Немного инсайдерской инфы СОРМ-2 не работает Там все попилено А вот СОРМ-1 п... текст свёрнут, показать | | |
| |
| |
| 10.54, Аноним (-), 23:46, 11/02/2014 [^] [^^] [^^^] [ответить] | +/– | А что делать, если контракт обязывает и подключить, и регламентное ТО проводить ... большой текст свёрнут, показать | | |
|
|
| 8.56, t28 (?), 06:51, 13/02/2014 [^] [^^] [^^^] [ответить] | +/– | Очевидно, вы из тех, кто на наг -е обсуждают как бы быстрее и дешевле подстелит... текст свёрнут, показать | | |
| |
| 9.59, nikosd (ok), 16:09, 23/02/2014 [^] [^^] [^^^] [ответить] | +/– | Я, уж извините, работаю в стране где есть закон пусть дурной, но есть , кото... большой текст свёрнут, показать | | |
|
|
|
|
|
| 4.16, Аноним (-), 02:07, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Ты когда письмо пишешь, можешь указать любой адрес отправителя? Можешь!
> Марки купил - оплатил. Остальное нипёт.
Это не есть хорошо.
> И чо, теперь я из-за тебя не смогу транзитный канал организовать?
Транзитный канал без AS - действительно, лучше не надо.
А если есть AS и клиентские подключения (ДЦ или брасы) - будь добр включать у себя rp filter.
| | |
| |
| 5.19, pavlinux (ok), 02:10, 11/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Ты когда письмо пишешь, можешь указать любой адрес отправителя? Можешь!
>> Марки купил - оплатил. Остальное нипёт.
> Это не есть хорошо.
Ну попробуй, разошли 10000 писем спама через почтовый ящик. :D
| | |
| |
| 6.23, Аноним (-), 02:14, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>> Ты когда письмо пишешь, можешь указать любой адрес отправителя? Можешь!
>>> Марки купил - оплатил. Остальное нипёт.
>> Это не есть хорошо.
> Ну попробуй, разошли 10000 писем спама через почтовый ящик. :D
А кто сказал, что это не есть хорошо именно из-за спама?
| | |
|
| 5.31, PavelR (ok), 11:18, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Ага включай "rp_filter" пусть потом клиенты и "клиенты клиентов" страдают из-за потери связи при асимметрии..
| | |
| |
| 6.34, Аноним (-), 12:26, 11/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ага включай "rp_filter" пусть потом клиенты и "клиенты клиентов" страдают из-за потери
> связи при асимметрии..
Купить у прова трафик и перепродать его владельцам AS? Жадность барыг не знает границ.
| | |
|
|
|
| 3.35, t28 (?), 12:58, 11/02/2014 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> а сделать так чтобы подстановка фальшивого обратного адреса не срабатывала -- нельзя?
Нельзя.
> например если я посылаю ip-пакет в котором обратный адрес указан -- вообще
> от чужёго пользователя -- то с какой стати мой провайдер станет
> маршрутизировать такой ip-пакет?
> (хотя провайдер может и станет -- но это нарушение. и значит винить
Нарушение чего? И в чём оно выражается?
Я вижу многие просто до сих пор не понимают архитектуру сети The Internet.
| | |
| |
| 4.37, Аноним (-), 13:28, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Я вижу многие просто до сих пор не понимают архитектуру сети The Internet.
Нет, это вы не понимаете разницу между транзитными и клиентскими сетями.
| | |
| |
| 5.40, t28 (?), 13:35, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Нет, это вы не понимаете разницу между транзитными и клиентскими сетями.
Дружище, спуфинг — это архитектурная особенность The Internet, он так устроен. Но вам, видимо, это понимание недоступно.
| | |
| |
| 6.47, Аноним (-), 18:26, 11/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
скорее, юридическая.
и поддержание сего статус-кво, оченно выгодное - оченно продавливается и лоббируется североамериканским правительством.
понятно для чего.
сугубо технически там вагон всего и на L3 есть и на L2.
но не вендряется оно и даже не всегда стандартизируется - именно по Этой причине.
бо, 90% сетевых(и хардвер и не только)компаний, внезапно - Американские :=)
| | |
| |
| 7.57, t28 (?), 06:59, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> и поддержание сего статус-кво, оченно выгодное -
> оченно продавливается и лоббируется североамериканским
> правительством.
> понятно для чего.
Сетка изначально военного применения. Американская. Имеют право.
Создавайте какой-нибудь RusNet на основе православного протокола — будете там заправлять. Богомерзкий спуфинг-там запрещать, то-сё, пятое-десятое...
| | |
|
|
|
|
|
|
| 1.8, Аноним (-), 01:49, 11/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
За всякие кваки и битторренты не скажу, но в случае дубовых DNS/NTP/etc легко лечится через iptables -m hashlimit. Использовать такой сервак для усиления, в принципе, еще можно, но в очень ограниченных пределах.
| | |
| |
| 2.41, Нанобот (ok), 13:56, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 а можно и вообще ничего не делать. потому что ddos-атаки создают проблемы не ботам, а целям атаки.
| | |
| |
| 3.48, Аноним (-), 18:28, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
нуда.а убийства людей, суть проблема не не свидетелей или невольных пособников/соучастников а сугубо их жертв. пока не поймают. или не сменят статус на "жертвы".
| | |
| 3.55, Аноним (-), 23:48, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> а можно и вообще ничего не делать. потому что ddos-атаки создают проблемы
> не ботам, а целям атаки.
Если вам доставляет удовольствие ощущение, что вас поимели, как уличную девку - то да.
А вот мне эта идея не нравится.
| | |
|
|
| |
| 2.43, Аноним (-), 16:58, 11/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это чем они лучше всяких стаминусов, клоудфларе, пролексика, блеклотуса?
| | |
| |
| 3.49, Ed (??), 19:42, 11/02/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Лучшая DDoS-защита Internet Award 2012,Security-Insider.de Link11 DDoS-Schutz Cloud лучший продукт месяц июль2013
| | |
| 3.50, Ed (??), 20:42, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Link11.de использует для фильтрации очень гранулированный фильтр основан на обмано- устойчивой технологии - то есть, они проверяют (не как многие конкуренты через сеть доставки контента CDN) каждый запрос и таким образом можно не только фильтровать большие объемные атаки, но дополнительно гарантировать, что даже сложные атаки отфильтровываются на уровне приложений.
| | |
| 3.51, angra (ok), 21:01, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Остальные не башляют Ed, а значит все они хуже(с точки зрения Ed). Ну а если объективно, то сайт этих ребят ничего кроме маркетоидного булшита не содержит, можно сразу забывать.
| | |
| |
| 4.52, Ed (??), 21:11, 11/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
angra,булшит это вы! У этих ребят в отличии от многих продавцов ддос защиты, имеется свой ДатаЦентр прям возле главного интернет узла во Франкфурте, и технология защиты от DDoS своя!
| | |
| |
| 5.58, t28 (?), 07:01, 13/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> свой ДатаЦентр прям возле главного интернет узла во Франкфурте,
Да-да! Самый главный, главнее не бывает!
| | |
|
|
|
|
|
