[LUGOS-SEC] Ugotavlanje vrste dDoS napada

[Miha Furlan]

Iztok Umek wrote:

>>Misliš v primerjavi z ostalimi DoSi? Ker če gre za mahko količino
>>podatkov, ki zafila večjo linijo, ni treba izvrševat distributed DoSa...
>>
>>Hm, zanimivo v vsakem primeru, mislil sem, da je več masivnih napadov
>>kot pametnih...
>>
>>Iztok Umek wrote:
>>
>>    
>>
>>>>Aha, tega se zavedam. S tem, kar sem napisal, sem konkretno mislil
>>>>ddose, torej veliko količino podatkov. Priznati je treba, da v današnjem
>>>>časi le-ti prevladujejo, ker je za DoS, kakršnega omenjaš ( z malo
>>>>pipico podreti veliko ), potrebno več znanja ( včasih tudi bugi v
>>>>inplementaciji TCP/IP stacka OSa itd.). Kiddyjem pa sploh ni težko
>>>>postaviti botneta z tisoči zombijev za ddos.
>>>>
>>>>
>>>>        
>>>>
>>>Verjami mi, da je DDOSov, jer zafilajo link z ogromno kolicino legalnega
>>>prometa precej malo v primerjavi z ostalimi vrstami DDOSov.
>>>
>>>Sedajle delam na eni instalaciji, potem pa bom imel cas za eno demo
>>>postavitev, kjer si bos lahko ogledal promet v realnem casu za
>>>demonstracijo.
>>>      
>>>
>
>
>Eh, tvojim mailom je tezko odgovarjati, saj pises stvari na vrhu in ne po
>logicnem poteku.
>
>Razlika med DDOS in DOS je v tem iz koliko sourceov prihaja napad (do tu vse
>logicno).
>
>Evo, se enkrat razlaga:
>
>Imas nekako dve vrsti DOS (in DDOS) napadov. 
>
>Eni so taki, ko imas recimo 100Mbps link in ti nekdo posilja 120Mbps
>podatkov (recimo, da zgledajo kot legalni HTTP requesti s kompletnim TCP
>handshakeom etc...). Proti takim se lahko boris le pri ISPju in s povecanjem
>pipce (in ostalih resourcov, saj zelo tezko razlikujes legalni promet od
>napadalcevega, ki zgleda cisto ok s strani recimo pozarnega zidu in tvojih
>streznikov).
>
>Drugi pa so taki, ko imas recimo na 100Mbps linku DOS/DDOS z le 10Mbps pa ti
>vseeno povzroca tezave, ker ti zafila bodisi pozarni zid (stateful ali celo
>tak, ki ima SYN cookie enablane), bodisi tvoje streznike. Proti takim se
>lahko (uspesno) boris z ustreznimi DOS zascitami na IPSu, ki je "inline" in
>pa seveda z BWM (bandwidth management), da zagotavljas ustrezne resource za
>ostali promet.
>
>10Mbps SYN (ali SYN-ACK ali ACK) flooda je tezko zgenerirati z ene same
>masine, saj to pomeni vec kot 20k requestov na sekundo, zato je to
>najverjetneje DDOS. Ampak tvoj pozarni zid verjetno ne zdrzi vec kot nekaj
>tisoc requestov na sekundo in ob tem pocepne in napadalec uspesno naredi
>napad nate. Pa ti ni poslal 101Mbps da ti zafila pipco. In proti takim
>napadom se lahko uspesno branis, ce imas ustrezno opremo.
>
>A sedaj razumes?
>
>_______________________________________________
>lugos-sec mailing list
>lugos-sec at lugos.si
>http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-sec
>  
>
Evo, odgovarjam spodaj:

Vem vse, kar si napisal. Ne razumem pa, zakaj še enkrat pišeš cel roman: 
napisal sem, da meni ( osebno ) lahko pomaga le ISP ker:
1.) nisem velika firma, da bi si privoščil drage zaščite pred pametnimi 
napadi
2.) imam premajhno linijo, da bi jo bilo napadalcem težko poslati več 
prometa, kot ga lahko sprejmem.

Torej ne vem, zakaj ti moram že drugič ponavljati isto vsebino. Govoril 
sem zase - nanašajoč se na izvor te teme - kaj naj bi torej kot 
uporabnik storil - obrnil se na ISP. O "neumnih" DoSih, o veliki 
količini podatkov.

Problem je v tem, da je prelahko zgenerirati npr. 100Mbps prometa. Ravno 
to je problem (d)DoSov: praktično vsakdo ga lahko izvede. Pa ima lahko 
firma še tako opremo, dovolj paketkov jim bo vse podrlo.

Lep pozdrav,
Miha