[LUGOS-SEC] Ugotavlanje vrste dDoS napada

Iztok Umek iztok at si-con.com
Tue Aug 30 02:02:27 CEST 2005 

> >>Misliš v primerjavi z ostalimi DoSi? Ker če gre za mahko količino
> >>podatkov, ki zafila večjo linijo, ni treba izvrševat distributed DoSa...
> >>
> >>Hm, zanimivo v vsakem primeru, mislil sem, da je več masivnih napadov
> >>kot pametnih...
> >>
> >>Iztok Umek wrote:
> >>
> >>
> >>
> >>>>Aha, tega se zavedam. S tem, kar sem napisal, sem konkretno mislil
> >>>>ddose, torej veliko količino podatkov. Priznati je treba, da v
> današnjem
> >>>>časi le-ti prevladujejo, ker je za DoS, kakršnega omenjaš ( z malo
> >>>>pipico podreti veliko ), potrebno več znanja ( včasih tudi bugi v
> >>>>inplementaciji TCP/IP stacka OSa itd.). Kiddyjem pa sploh ni težko
> >>>>postaviti botneta z tisoči zombijev za ddos.
> >>>>
> >>>>
> >>>>
> >>>>
> >>>Verjami mi, da je DDOSov, jer zafilajo link z ogromno kolicino
> legalnega
> >>>prometa precej malo v primerjavi z ostalimi vrstami DDOSov.
> >>>
> >>>Sedajle delam na eni instalaciji, potem pa bom imel cas za eno demo
> >>>postavitev, kjer si bos lahko ogledal promet v realnem casu za
> >>>demonstracijo.
> >>>
> >>>
> >
> >
> >Eh, tvojim mailom je tezko odgovarjati, saj pises stvari na vrhu in ne po
> >logicnem poteku.
> >
> >Razlika med DDOS in DOS je v tem iz koliko sourceov prihaja napad (do tu
> vse
> >logicno).
> >
> >Evo, se enkrat razlaga:
> >
> >Imas nekako dve vrsti DOS (in DDOS) napadov.
> >
> >Eni so taki, ko imas recimo 100Mbps link in ti nekdo posilja 120Mbps
> >podatkov (recimo, da zgledajo kot legalni HTTP requesti s kompletnim TCP
> >handshakeom etc...). Proti takim se lahko boris le pri ISPju in s
> povecanjem
> >pipce (in ostalih resourcov, saj zelo tezko razlikujes legalni promet od
> >napadalcevega, ki zgleda cisto ok s strani recimo pozarnega zidu in
> tvojih
> >streznikov).
> >
> >Drugi pa so taki, ko imas recimo na 100Mbps linku DOS/DDOS z le 10Mbps pa
> ti
> >vseeno povzroca tezave, ker ti zafila bodisi pozarni zid (stateful ali
> celo
> >tak, ki ima SYN cookie enablane), bodisi tvoje streznike. Proti takim se
> >lahko (uspesno) boris z ustreznimi DOS zascitami na IPSu, ki je "inline"
> in
> >pa seveda z BWM (bandwidth management), da zagotavljas ustrezne resource
> za
> >ostali promet.
> >
> >10Mbps SYN (ali SYN-ACK ali ACK) flooda je tezko zgenerirati z ene same
> >masine, saj to pomeni vec kot 20k requestov na sekundo, zato je to
> >najverjetneje DDOS. Ampak tvoj pozarni zid verjetno ne zdrzi vec kot
> nekaj
> >tisoc requestov na sekundo in ob tem pocepne in napadalec uspesno naredi
> >napad nate. Pa ti ni poslal 101Mbps da ti zafila pipco. In proti takim
> >napadom se lahko uspesno branis, ce imas ustrezno opremo.
> >
> >A sedaj razumes?
> >
> >_______________________________________________
> >lugos-sec mailing list
> >lugos-sec at lugos.si
> >http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-sec
> >
> >
> Evo, odgovarjam spodaj:
> 
> Vem vse, kar si napisal. Ne razumem pa, zakaj še enkrat pišeš cel roman:
> napisal sem, da meni ( osebno ) lahko pomaga le ISP ker:
> 1.) nisem velika firma, da bi si privoščil drage zaščite pred pametnimi
> napadi
> 2.) imam premajhno linijo, da bi jo bilo napadalcem težko poslati več
> prometa, kot ga lahko sprejmem.
> 
> Torej ne vem, zakaj ti moram že drugič ponavljati isto vsebino. Govoril
> sem zase - nanašajoč se na izvor te teme - kaj naj bi torej kot
> uporabnik storil - obrnil se na ISP. O "neumnih" DoSih, o veliki
> količini podatkov.
> 
> Problem je v tem, da je prelahko zgenerirati npr. 100Mbps prometa. Ravno
> to je problem (d)DoSov: praktično vsakdo ga lahko izvede. Pa ima lahko
> firma še tako opremo, dovolj paketkov jim bo vse podrlo.

Evo, tu se pokaze problem, ko odgovarjas na vrhu in potem ne znas prebrati
za sabo.

Jaz pac zivim v svetu, kjer prvo velja da "pomagaj si sam". Pozabljam, da je
v Sloveniji malce drugacna mentaliteta.

100Mbps prometa je kar tezko zgenerirati, saj moras imeti dostop do kar
veliko hostov ali vsaj nekaj z veliko bandwidtha. To velja celo za ZDA, kaj
sele za Slovenijo.

Tvoj napad ni bil pameten napad in tudi ni potreboval nevem koliko veliko
linijo. Bil je cisto navaden script ACK flood napad. To je to in ce imas kak
preprost firewall ti verjetno ze 1Mbps dela preglavice, pa ce tudi imas
recimo kabelski net z 6Mbps.

Jaz pac govorim o the vrstah napadov bolj na splosno, saj niso pomembni le
posamezni primeri, pac pa splosno izobrazevanje. Da ljudje dojamejo, da za
DOS/DDOS napad ne potrebujejo (vedno) vecje pipice, pac pa le pametnejso
obrambo.

More information about the lugos-sec mailing list