[LUGOS-SEC] Ugotavlanje vrste dDoS napada

Miha Furlan miha at furlan.biz
Sat Aug 27 17:33:40 CEST 2005 

Aha, tega se zavedam. S tem, kar sem napisal, sem konkretno mislil 
ddose, torej veliko količino podatkov. Priznati je treba, da v današnjem 
časi le-ti prevladujejo, ker je za DoS, kakršnega omenjaš ( z malo 
pipico podreti veliko ), potrebno več znanja ( včasih tudi bugi v 
inplementaciji TCP/IP stacka OSa itd.). Kiddyjem pa sploh ni težko 
postaviti botneta z tisoči zombijev za ddos.

Vem, da obstaja še cel kup drugih načinov, ki npr. sploh niso masovni 
floodi ( npr. ICMP attacki proti TCPju, LAND attack itd... ). Da me 
lahko brani le ISP, sem rekel kot domač uporabnik, ki si ne more 
privoščiti profesionalne strojne zaščite. Firme - druga zgodba.


Iztok Umek wrote:

>>Ja, braniti se jaz ne morem kaj precej, če kdo lahko kaj stori, je to moj
>>ISP. Torej meni osebno je reklamo za vaš produkt delati brez učinka, ker
>>ne zastopam nobene firme :).
>>    
>>
>
>Ne, to, kar trdis ni res.
>
>ISP te lahko brani, ce imas 100M pipo, pa ti napadalec notri tlaci 120M.
>
>Ampak to je le eden izmed DoSov.
>
>V bistvu se lahko sam brains pred DoS napadi, kjer ti probleme predstavlja
>10M na tvoji 100M pipi. Verjami mi, tudi z 10M prometa pri 100M pipi imas
>lahko DoS napad. Proti temu pa se lahko branis. 
>
>Tipicni pozarni zidovi ti tukaj ne pomagajo, ker ti zrejo resource (bodisi
>pomnilnik (stara verzija SYN flooda) ali CPU (nova verzija SYN floodov, ki
>ti izcrpajo tvojo moznost generiranja SYN cookijev. Kar mocna masina nekako
>zmore nekaj tisoc SYN flood napadov na sekundo, ampak ce ti nekdo posilja le
>malce vec od tega, kar ti premores (pa se vedno manj od tvoje pipce) si
>pecen. Proti takim SYN flood napadom pa se lahko (z ustrezno opremo) branis
>tudi sam in ne le tvoj ISP.
> 
>  
>
>>Tipičnih ACK napadov.. Ampak tudi za generiranje teh paketkov se verjetno
>>potrebuje root privilegije? Torej isti problemi.. Spoofanje itd.
>>    
>>
>
>Ne, ni isti problem :)
>
>Katerikoli flood napad pac skusa izcrpati enega ot tvojih resourcov.
>Kateregakoli pac. Ce imas dokaj veliko pipco, ti bandwidth tezko popapca,
>lahko pa ti izcrpa tvojo zmosnost procesiranja SYN/SYN-ACK/ACK povezav.
>
>Tudi ce imas recimo stateful firewall to ni dovolj. Tudi ce ta tvoj FW
>podpira SYN cookije. Orodij za to je na netu dovolj.
>
>Res pa je, da to ni za vsakega. Vsak ima pac malce drugacno arhitekturo in
>dostop. Ce imas pac le en streznik, za katerega si placal nekaj tisoc
>dolarjev, pac ne boss el kupovat IPS, ki te stane desetkrat vec. Ce pa si
>recimo e-bay, pa je stvar drugacna. Imas pipco, ki je tako velika, da te ne
>skrbi DoS, ki ima le volumen "pravega" prometa vecji od tvoje pipce. Skrbi
>te le takrat, ko je nekdo z DoS uspesen in ti posilja manj, kot je tvoja
>pipca. In proti takim se da uspesno varovati. Omenjeni imajo recimo do
>500Mbps DoS v vsakem danem trenutku in se do te meje ne sekirajo.
>
>_______________________________________________
>lugos-sec mailing list
>lugos-sec at lugos.si
>http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-sec
>  
>

More information about the lugos-sec mailing list