[LUGOS-SEC] Ugotavlanje vrste dDoS napada
Iztok Umek
iztok at si-con.com
Mon Aug 29 21:26:10 CEST 2005
> Misliš v primerjavi z ostalimi DoSi? Ker če gre za mahko količino
> podatkov, ki zafila večjo linijo, ni treba izvrševat distributed DoSa...
>
> Hm, zanimivo v vsakem primeru, mislil sem, da je več masivnih napadov
> kot pametnih...
>
> Iztok Umek wrote:
>
> >>Aha, tega se zavedam. S tem, kar sem napisal, sem konkretno mislil
> >>ddose, torej veliko količino podatkov. Priznati je treba, da v današnjem
> >>časi le-ti prevladujejo, ker je za DoS, kakršnega omenjaš ( z malo
> >>pipico podreti veliko ), potrebno več znanja ( včasih tudi bugi v
> >>inplementaciji TCP/IP stacka OSa itd.). Kiddyjem pa sploh ni težko
> >>postaviti botneta z tisoči zombijev za ddos.
> >>
> >>
> >
> >Verjami mi, da je DDOSov, jer zafilajo link z ogromno kolicino legalnega
> >prometa precej malo v primerjavi z ostalimi vrstami DDOSov.
> >
> >Sedajle delam na eni instalaciji, potem pa bom imel cas za eno demo
> >postavitev, kjer si bos lahko ogledal promet v realnem casu za
> >demonstracijo.
Eh, tvojim mailom je tezko odgovarjati, saj pises stvari na vrhu in ne po
logicnem poteku.
Razlika med DDOS in DOS je v tem iz koliko sourceov prihaja napad (do tu vse
logicno).
Evo, se enkrat razlaga:
Imas nekako dve vrsti DOS (in DDOS) napadov.
Eni so taki, ko imas recimo 100Mbps link in ti nekdo posilja 120Mbps
podatkov (recimo, da zgledajo kot legalni HTTP requesti s kompletnim TCP
handshakeom etc...). Proti takim se lahko boris le pri ISPju in s povecanjem
pipce (in ostalih resourcov, saj zelo tezko razlikujes legalni promet od
napadalcevega, ki zgleda cisto ok s strani recimo pozarnega zidu in tvojih
streznikov).
Drugi pa so taki, ko imas recimo na 100Mbps linku DOS/DDOS z le 10Mbps pa ti
vseeno povzroca tezave, ker ti zafila bodisi pozarni zid (stateful ali celo
tak, ki ima SYN cookie enablane), bodisi tvoje streznike. Proti takim se
lahko (uspesno) boris z ustreznimi DOS zascitami na IPSu, ki je "inline" in
pa seveda z BWM (bandwidth management), da zagotavljas ustrezne resource za
ostali promet.
10Mbps SYN (ali SYN-ACK ali ACK) flooda je tezko zgenerirati z ene same
masine, saj to pomeni vec kot 20k requestov na sekundo, zato je to
najverjetneje DDOS. Ampak tvoj pozarni zid verjetno ne zdrzi vec kot nekaj
tisoc requestov na sekundo in ob tem pocepne in napadalec uspesno naredi
napad nate. Pa ti ni poslal 101Mbps da ti zafila pipco. In proti takim
napadom se lahko uspesno branis, ce imas ustrezno opremo.
A sedaj razumes?
More information about the lugos-sec
mailing list