[LUGOS-SEC] Ugotavlanje vrste dDoS napada

[Miha Furlan]

Iztok Umek wrote:

>>>>Misliš v primerjavi z ostalimi DoSi? Ker če gre za mahko količino
>>>>podatkov, ki zafila večjo linijo, ni treba izvrševat distributed DoSa...
>>>>
>>>>Hm, zanimivo v vsakem primeru, mislil sem, da je več masivnih napadov
>>>>kot pametnih...
>>>>
>>>>Iztok Umek wrote:
>>>>
>>>>
>>>>
>>>>        
>>>>
>>>>>>Aha, tega se zavedam. S tem, kar sem napisal, sem konkretno mislil
>>>>>>ddose, torej veliko količino podatkov. Priznati je treba, da v
>>>>>>            
>>>>>>
>>današnjem
>>    
>>
>>>>>>časi le-ti prevladujejo, ker je za DoS, kakršnega omenjaš ( z malo
>>>>>>pipico podreti veliko ), potrebno več znanja ( včasih tudi bugi v
>>>>>>inplementaciji TCP/IP stacka OSa itd.). Kiddyjem pa sploh ni težko
>>>>>>postaviti botneta z tisoči zombijev za ddos.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>            
>>>>>>
>>>>>Verjami mi, da je DDOSov, jer zafilajo link z ogromno kolicino
>>>>>          
>>>>>
>>legalnega
>>    
>>
>>>>>prometa precej malo v primerjavi z ostalimi vrstami DDOSov.
>>>>>
>>>>>Sedajle delam na eni instalaciji, potem pa bom imel cas za eno demo
>>>>>postavitev, kjer si bos lahko ogledal promet v realnem casu za
>>>>>demonstracijo.
>>>>>
>>>>>
>>>>>          
>>>>>
>>>Eh, tvojim mailom je tezko odgovarjati, saj pises stvari na vrhu in ne po
>>>logicnem poteku.
>>>
>>>Razlika med DDOS in DOS je v tem iz koliko sourceov prihaja napad (do tu
>>>      
>>>
>>vse
>>    
>>
>>>logicno).
>>>
>>>Evo, se enkrat razlaga:
>>>
>>>Imas nekako dve vrsti DOS (in DDOS) napadov.
>>>
>>>Eni so taki, ko imas recimo 100Mbps link in ti nekdo posilja 120Mbps
>>>podatkov (recimo, da zgledajo kot legalni HTTP requesti s kompletnim TCP
>>>handshakeom etc...). Proti takim se lahko boris le pri ISPju in s
>>>      
>>>
>>povecanjem
>>    
>>
>>>pipce (in ostalih resourcov, saj zelo tezko razlikujes legalni promet od
>>>napadalcevega, ki zgleda cisto ok s strani recimo pozarnega zidu in
>>>      
>>>
>>tvojih
>>    
>>
>>>streznikov).
>>>
>>>Drugi pa so taki, ko imas recimo na 100Mbps linku DOS/DDOS z le 10Mbps pa
>>>      
>>>
>>ti
>>    
>>
>>>vseeno povzroca tezave, ker ti zafila bodisi pozarni zid (stateful ali
>>>      
>>>
>>celo
>>    
>>
>>>tak, ki ima SYN cookie enablane), bodisi tvoje streznike. Proti takim se
>>>lahko (uspesno) boris z ustreznimi DOS zascitami na IPSu, ki je "inline"
>>>      
>>>
>>in
>>    
>>
>>>pa seveda z BWM (bandwidth management), da zagotavljas ustrezne resource
>>>      
>>>
>>za
>>    
>>
>>>ostali promet.
>>>
>>>10Mbps SYN (ali SYN-ACK ali ACK) flooda je tezko zgenerirati z ene same
>>>masine, saj to pomeni vec kot 20k requestov na sekundo, zato je to
>>>najverjetneje DDOS. Ampak tvoj pozarni zid verjetno ne zdrzi vec kot
>>>      
>>>
>>nekaj
>>    
>>
>>>tisoc requestov na sekundo in ob tem pocepne in napadalec uspesno naredi
>>>napad nate. Pa ti ni poslal 101Mbps da ti zafila pipco. In proti takim
>>>napadom se lahko uspesno branis, ce imas ustrezno opremo.
>>>
>>>A sedaj razumes?
>>>
>>>_______________________________________________
>>>lugos-sec mailing list
>>>lugos-sec at lugos.si
>>>http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-sec
>>>
>>>
>>>      
>>>
>>Evo, odgovarjam spodaj:
>>
>>Vem vse, kar si napisal. Ne razumem pa, zakaj še enkrat pišeš cel roman:
>>napisal sem, da meni ( osebno ) lahko pomaga le ISP ker:
>>1.) nisem velika firma, da bi si privoščil drage zaščite pred pametnimi
>>napadi
>>2.) imam premajhno linijo, da bi jo bilo napadalcem težko poslati več
>>prometa, kot ga lahko sprejmem.
>>
>>Torej ne vem, zakaj ti moram že drugič ponavljati isto vsebino. Govoril
>>sem zase - nanašajoč se na izvor te teme - kaj naj bi torej kot
>>uporabnik storil - obrnil se na ISP. O "neumnih" DoSih, o veliki
>>količini podatkov.
>>
>>Problem je v tem, da je prelahko zgenerirati npr. 100Mbps prometa. Ravno
>>to je problem (d)DoSov: praktično vsakdo ga lahko izvede. Pa ima lahko
>>firma še tako opremo, dovolj paketkov jim bo vse podrlo.
>>    
>>
>
>Evo, tu se pokaze problem, ko odgovarjas na vrhu in potem ne znas prebrati
>za sabo.
>
>Jaz pac zivim v svetu, kjer prvo velja da "pomagaj si sam". Pozabljam, da je
>v Sloveniji malce drugacna mentaliteta.
>
>100Mbps prometa je kar tezko zgenerirati, saj moras imeti dostop do kar
>veliko hostov ali vsaj nekaj z veliko bandwidtha. To velja celo za ZDA, kaj
>sele za Slovenijo.
>
>Tvoj napad ni bil pameten napad in tudi ni potreboval nevem koliko veliko
>linijo. Bil je cisto navaden script ACK flood napad. To je to in ce imas kak
>preprost firewall ti verjetno ze 1Mbps dela preglavice, pa ce tudi imas
>recimo kabelski net z 6Mbps.
>
>Jaz pac govorim o the vrstah napadov bolj na splosno, saj niso pomembni le
>posamezni primeri, pac pa splosno izobrazevanje. Da ljudje dojamejo, da za
>DOS/DDOS napad ne potrebujejo (vedno) vecje pipice, pac pa le pametnejso
>obrambo.
>
>_______________________________________________
>lugos-sec mailing list
>lugos-sec at lugos.si
>http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-sec
>  
>

Jaz pac zivim v svetu, kjer prvo velja da "pomagaj si sam". Pozabljam, da je
v Sloveniji malce drugacna mentaliteta.


Pozabljaš tudi, da manjši uporabnik nikakor nima sredstev za 
preprečevanje, četudi bi si želel pomagati sam. Sam sem dijak s mesečnim 
prihodkom pod 30000 SIT - verjetno si predstavlaš da si ne morem 
privoščiti DoS preprečevanja :).

100Mbps prometa je kar tezko zgenerirati, saj moras imeti dostop do kar
veliko hostov ali vsaj nekaj z veliko bandwidtha. To velja celo za ZDA, kaj
sele za Slovenijo.


S tem se ne morem popolnoma strinjati. To lahko rečem, ker na žalost 
poznam veliko osebkov, ki še vejo ne kaj pomeni kratica DoS, in ne osnov 
TCP/IPja, pa vseeno v enem tednu postavijo botnet s tisoči zombijev. 
Verjamem, da se bo to spremenilo z dokaj butasto Microsoftovo potezo, da 
je v SP2 namenoma uničil podporo pošiljanju raw paketkov - čez čas.

Tvoj napad ni bil pameten napad in tudi ni potreboval nevem koliko veliko
linijo. Bil je cisto navaden script ACK flood napad.


ACK napad, ki je letel name resda ni bil ne vem kaj pameten, vendar se 
je kljub temu po moje potrebovala dobra oprema, za njegovo izvedbo. Če 
je hotel napadalec kreirati te paketke, je moral imeti root dostop; če 
je imel root dostop, bi v petih minutah lahko šel na 
packetstormsecurity.org, naložil npr. SYN flooder, in izvršil "pameten" 
napad. Zakaj ga ni - ne vem.

Jaz pac govorim o the vrstah napadov bolj na splosno, saj niso pomembni le
posamezni primeri, pac pa splosno izobrazevanje. Da ljudje dojamejo, da za
DOS/DDOS napad ne potrebujejo (vedno) vecje pipice, pac pa le pametnejso
obrambo.


Jaz sem na žalost primoran govoriti iz izkušenj in po domače. 
Izobraževanje je seveda prva stvar. Med drugim windows uporabnikom 
dopovejmo, da se naj nehajo prijavljati kot admin uporabniki. Naj vsi 
uporabljajo windows update. Antivirus. Naj ne klikajo na priponke 
sporočil v stilu 
your.account.has.been.suspended.click.me.and.it.will.not.be.anymore.exe.bat.pif.scr. 
Malo več poudarka na tej strani, pa se bo število ddos napadov strašno 
omejilo. Če kdo želi aktivno omejevati te napade, naj postavi honeypot, 
nabere kakih 100 rx/x/ago/*/botov, jih pregleda, razbije geslo preko 
spletnih rainbow tabel, se prijavi v botnet in naj sprosti zombije - big 
deal? Pa kar se tiče domačih uporabnikov, o katerih ves čas govorim: 
večja odzivnost in strokovnost ISPja bi pravtako lahko precej pomagala 
pri konkretnem zaustavljanju napadov.

Povzetek: ddos napade je masovno preveč lahko izvršiti, da bi se proti 
njim borili sami. Cela internet skupnost naj se spremeni.

Lep pozdrav,
Miha