[LUGOS-SEC] Ugotavlanje vrste dDoS napada
Iztok Umek
iztok at si-con.com
Sat Aug 27 16:48:18 CEST 2005
> Ja, braniti se jaz ne morem kaj precej, če kdo lahko kaj stori, je to moj
> ISP. Torej meni osebno je reklamo za vaš produkt delati brez učinka, ker
> ne zastopam nobene firme :).
Ne, to, kar trdis ni res.
ISP te lahko brani, ce imas 100M pipo, pa ti napadalec notri tlaci 120M.
Ampak to je le eden izmed DoSov.
V bistvu se lahko sam brains pred DoS napadi, kjer ti probleme predstavlja
10M na tvoji 100M pipi. Verjami mi, tudi z 10M prometa pri 100M pipi imas
lahko DoS napad. Proti temu pa se lahko branis.
Tipicni pozarni zidovi ti tukaj ne pomagajo, ker ti zrejo resource (bodisi
pomnilnik (stara verzija SYN flooda) ali CPU (nova verzija SYN floodov, ki
ti izcrpajo tvojo moznost generiranja SYN cookijev. Kar mocna masina nekako
zmore nekaj tisoc SYN flood napadov na sekundo, ampak ce ti nekdo posilja le
malce vec od tega, kar ti premores (pa se vedno manj od tvoje pipce) si
pecen. Proti takim SYN flood napadom pa se lahko (z ustrezno opremo) branis
tudi sam in ne le tvoj ISP.
> Tipičnih ACK napadov.. Ampak tudi za generiranje teh paketkov se verjetno
> potrebuje root privilegije? Torej isti problemi.. Spoofanje itd.
Ne, ni isti problem :)
Katerikoli flood napad pac skusa izcrpati enega ot tvojih resourcov.
Kateregakoli pac. Ce imas dokaj veliko pipco, ti bandwidth tezko popapca,
lahko pa ti izcrpa tvojo zmosnost procesiranja SYN/SYN-ACK/ACK povezav.
Tudi ce imas recimo stateful firewall to ni dovolj. Tudi ce ta tvoj FW
podpira SYN cookije. Orodij za to je na netu dovolj.
Res pa je, da to ni za vsakega. Vsak ima pac malce drugacno arhitekturo in
dostop. Ce imas pac le en streznik, za katerega si placal nekaj tisoc
dolarjev, pac ne boss el kupovat IPS, ki te stane desetkrat vec. Ce pa si
recimo e-bay, pa je stvar drugacna. Imas pipco, ki je tako velika, da te ne
skrbi DoS, ki ima le volumen "pravega" prometa vecji od tvoje pipce. Skrbi
te le takrat, ko je nekdo z DoS uspesen in ti posilja manj, kot je tvoja
pipca. In proti takim se da uspesno varovati. Omenjeni imajo recimo do
500Mbps DoS v vsakem danem trenutku in se do te meje ne sekirajo.
More information about the lugos-sec
mailing list