Názory k článku
Česká média zaplavily vlny DDoS útoku, přicházel z Ruska [AKTUALIZOVÁNO]

Půjde asi o akci globálnějšího charakteru, iDnes.cz na tom je podobně.

Přesně tak mám s idnesem obdobný problémy. Ihned to má asi za to jak maj zmršeně řešený prohlížení obrázků a idnes za to že lže! :D

Mám na to jiný názor.

To se máš.

Mozna to nema souvis, ale ja si rikal, ze co mi hapruje idnes a novinky. Frontpage jo, dal uz nic.

Takze jak vidim asi ma :)

Do naší sítě ve Švýcarsku šel od asi 8:35 TCP útok z portu 80 IP adres

idnes.cz
194.79.52.214
194.79.52.192

ceskatelevize.cz
212.47.2.209

Vltava-Labe-Press,a.s
195.191.204.205

podle vašeho popisu, poku jde o útok, tak je zřejmě veden opačným směrem :)

podle me to byl provoz se spoofovanou src IP. A nejspis nahodne si utocnici vybrali jako src IP tenhle svycarsky rozsah. Provoz prisel sice z Ruska, ale v packetech byla src IP te Svycarske site. Tzn iDnes a ostatni napadene servery jednoduse odpovidali na tu src IP, coz vygenerovalo provoz do Svycarska.

Je samozrejme taky mozne, ze to nahoda nebyla a jen vyuzili TCP odpovedi k utoku do Svycarska... kdo vi.

a jak se spoofuje IP u TCP spojení?

asi stejne jako u jakehokoliv jineho packetu. Utocnik samozrejme neceka ze se mu odpoved vrati a TCP spojeni se navaze - k cemu by mu tu o DDoS bylo? Naopak to ze odpoved nejde zpatky k utocicimu stroji znamena, ze to nepretezuje infrastrukturu i v opacnem smeru. To muze byt u HDX linek vyhoda. Taky se utocnikuv stroj nemusi zabyvat prijimanim tech odpovedi, coz muze setrit systemove prostredky

aha, takhle. potom je zvláštní, že to útočník takto "nasměroval" zpět do nějaké švýcarské sítě a ne na jiný cílový server..

Jak jsem psal - muze to byt nahodne vybrany rozsah ip (klidne i jeden z mnoha), ale muze to byt i zamer... kdo vi;)

Já myslím, že na idnesu už pachatele vypátrali, ne? Alespoň mi jeden jejich titulek hlásí, že to přišlo z Ruska... co na tom, že v článku píší, že to jde i z českých počítačů a proto je obtížné to filtrovat a dokonce tam i píší, že i ten ruský botnet může ovládat kdokoliv, ale titulek pro laickou veřejnost je jako obvykle bubák z východu. Tak navrhuji podržet 5 minut ticha za každých pět minut výpadku protočených reklam na idnesu a pojďme se společně chvilku bát všeho z východu.

O tom, že původ útoku je zřejmě v botnetu v Rusku, jsme psali už před nějakou dobou. Narozdíl od Technetu ale uvádíme zdroj této informace.

Českých webov je výpadkom postihnutých viac. Zo siete slovenského Telecomu veľmiii pomaly funguje aj csfd.cz. Našťastie multishare.cz funguje :)

co zase provedli, že je DDoSujou? :-)

Tak normalka, pistou porad kraviny, tak se je nekdo rozhod sestrelit ... ;D

Asi se někomu nelíbil jejich předvolební prezidentský servis?

Podle mě ano. Odpovídalo by tomu i portfolio serverů. Útok podobného typu je potřeba určitě připravit.

V tom pripade meli zautocit na Facebook, protoze nikde jinde nebyl Zeman tak dokonale vyrizenej jako na socialnich sitich :-)

Rozdíl je v tom, že Facebook si nehraje na objektivní zpravodajství za naše peníze. :o)

Naprosto přesně vyjádřeno. Snad jen poprosím nahradit obrat "myslí si" obratem "vědí". :-)

Nedovedu si vůbec představit jít na internet bez zapnutého Adblocku s pořádně promakaným filtrem. A hlavně nevím proč bych měl do svého počítače stahovat něco co nechci. Například reklamní svinstvo všeho druhu!

Asi tak nějak. Do nedávna nebyl AdBlock vůbec nutný, ale je to čím dál tím horší. Reklamy doslova vyskakují ze stran a blokují tak polovinu ne-li celou stránku, a nejhorší jsou flashové reklamy v div popupu, čeka než se načte, hledat křížek nebo cokoliv skrytého čí reklamu zavřít je opravdu otravné.
Kdo z vás ne-pseudo zlodějíčků si při pohledu na půl screenovou reklamu řekne "jé reklama, tak se na ní kouknu a web podpořím."?
Reklamní bannery ještě pochopím, ale ne když překrývají obsah stránky.

A ještě jedna věc, nevím jestli jsem sám ale osobně si myslím že reklamní průmysl se z lidí snaží děla úplné blbce, a někteří jsou si tím, že jimi jsme, jistí. Když jsou schopni nacpat na stránku reklamu, s agresivně se vnucujícím audio doprovodem "Gratulujeme Vám, vyhráváte iPhone-Pod-Pad i cokoliv podobného. Je idiot (s odpuštěním) takové věci uvěří a klikne.
A to nemluvím o stránkách které vám do pc přes obrázky tahají viry, keyloggery a podobné svinstvo.
Už jen z tohoto důvodu je si myslím nutné reklamu svépomocí vymýtit. Ať už je to AdBlock či jiná pomůcka.

napadlo vas, ze motivace k pouziti adblocku se slusnym filtrem muze byt naprosto jina? treba nestravit pul dne tim, ze cekate na odezvu nejakeho polskeho reklamiho serveru nebo neustalymi pokusy "kreativcu" vyvolat v uzivatelich epilepticky zachvat nebo jeste lepe "prelepit" plochu stranky nejakym neodkliknutelnym svinstvem po dobu x sekund?

A co jsi zaznamenal za problem s objektivnim zpravodajstvim?

Pochybuju o tom, ze by skupinka pařanů Mafie byl schopná něčeho podobného. Hlavně by ale v takovém případě byli jako první na řadě Nova a Blesk. A těm jedou weby bez nejmenších problémů.

V pohodě byla. Jednou jsem přihlížel útoku Anonymous... Jeden člověk vystaví na PasteBin skript s návodem, jak ho spustit a každá trubka, která si v tu chvíli myslí, jaký je velký hacker, ho jenom spustí. To je celé. Stačí jenom zmanipulovat dostatečný počet lidí.... :-(

Ja sem byl svedkem jeste lepsiho "utoku" - par desitek lidi se dohodlo, otevreli si web a opakovane mackali reload ... druhy den se na tom webu psalo u utoku hackeru ... ;D

:-)))

1.6 milionu packetu za vterinu je docela hodne v ramci NIXu.

To asi bude ten osklivec, ktery jim to DDOSuje.

pochybuji ze to slo pres NIX. Psali ze to slo z Ruska. Ruskych ISP s pripojkou do ceskeho NIXu asi moc nebude ;)

http://nix.cz/cz/peering/114 staci jeden

Opravdu jsem neprohledaval vsechny cleny NIXu :) zrejme jsem se mel informovat.

Co se to dneska děje, že to někomu stojí za to shodit nětšinu místního online zpravodajství?

Nejdůležitější dnešní domácí událostí je projednávání žaloby na Klausovu velezradu v senátu. Pokud to spolu souvisí, tak aspoň víme v čem žijem. Brzo se to dozvíme.

Jelikoz se zaloba pro jistotu projednava neverejne, cili zadnej online prenost stejne nebude, tak moc souvislosti nevidim.

Pořád se něco děje.

+1. Klaus byl vždycky služebníčkem ruskejch komoušů a postkomoušů...

Deník.cz taky nejde.

Takže zůstává v provozu jen Aktuálně.cz a pak jeden bulvár od Novy a druhý od Ringieru :-D

No Lupa s 500 Internal Server Error na tom není o moc lépe. :-)))

Asi přetížená zájmem o tenhle článek :-D

Mi Lupa zatím háže jen bílou stránku bez chyb.

To je na Lupě normální provoz. Když se severy nudí háží chyby. Já to vidím celkem často.

Tyden.cz down

Ale ct24.cz zatím běží :-))

mno tak si to vezmeme:
1) ddos se odvratit pouzitim dobre napsane CDNky
2) na trhu je firma, ktera se chlubi, jak dokaze zvladat kvanta sveho trafficu (jmeno neprozradim) a zaroven nema moc daleko k svinarnam (resp. z nich zije)
3) clovek za touto firmou pise svoji CDNku (modri vedi ;)
4) uvedeni konecne verze ze 3) se blizi
5) dotycny prave za pomoci organizovaneho ddosu + 2) ziskava argumenty, proc pouzit zrovinka jeho CDN
6) dotycny kontaktuje vydavatelstvi mfdnes a spol.
7) profit!!!

http://xkcd.com/258/

cdn77?

pokud vim v cr nikdo jiny cdn nenabizi.
vim ze utoky a nasledne vypalne za "ochranu" nabizely nektere offshore firmy, ale ze uz i v cr?
co tedy pouzit jako cdn/ochranu?

cloudflare ma dost omezeni (napr max soubor 100mb)

Poskytovatelu CDN je na ceskem trhu vice (napriklad Akamai, abych nechodil daleko).

A nekteri maji pomerne slusne zvladnutou i ochranu.

Otazka je, zda na jejich sluzby budou poskytovatele obsahu mit budget.

Prijde mi to jako pritazene za vlasty, nicmene tyto utoky se pravidelne opakuji na radu vetsich projektu v cr ze kterych koukaji penize. Cdnku nabizi kde kdo a vydavatelum se rozhodne tento typ CDN pro tyto utoky nehodi.

V cechach to dela nekolik firem globalneji tj tak aby to fungovalo jak ma, vyfavatelum by asi vic pomohli reverzni proxy ktere muzou skalovat do nevidim a udrzet provoz byt za cenu zvysenych nakladu.

Kde je centrum a penize z domen vidime vsichni, predhazuji (jako stovky jinych) tuto myslenku cz.nicu ale ten nikdy nic v tomto smeru nepodpori v ochrane proti tomuto se toci prilis velke penize aby je nekdo rozpoustel ve vode jen proto ze nejakej lab by dokazal kdyz uz nic generovat a monitorovat takovej traffic aby si poskytovatele obsahu mohli sve systemy zodolnit.

Jako fajn 100g router je prima ale az bude bude to jeste horsi, utoky muzou lezt z tranzitu. staci par se tisic kilopaketu a nazdar naklady na provozovatele okolo 80-100k mesicne aby tomu celil - naklady na porizeni 2000 ecek, deleno 31 dny je to 70eur na jednoho potencionalniho zakaznika.

muzete postnout nejaky navod/literaturu jak tu reverzni proxy rozchodit?
Diky

Jste z idnesu? ;-)

hehe podobnou reakci jsem cekal :)
Ne nejsem - nakonec oni to IT maji asi outsourcovane ne?
Spis ze zvedavosti co to vubec obnasi to nasadit a vzhledem k tematu si nemyslim, ze to bylo uplne offtopic...

Jedná se v podstatě o obyčejnou proxy akorát reverzní tj je před webserverem. Nicméně nejde o to že technologie něco spasí jde o to že může být sdílená a např cz.nic by mohl investovat miliony z přebytku které sype do marketingu a nesmyslů jako podpora mojeID (resp výplata peněz v motivačním programu) a věnovat čas ve svých labech obraně proti tomuto typu útokům.

Výhoda je že to můžete škálovat v desítkách kusů serverů - samozřejmě bych rád utopicky věřil že by stát měl dát k dispozici třeba stovku takových serverů na ně provoz nalít a spolupracovat na identifikaci protivníka (např nákupem "státní" konektivity z řady tranzitních uzlů).
Dokonce si myslím že jako shared infrastrukturu by to stát mohl provozovat sám pro sebe, chránit ty systémy jednotlivě proti takovémuto druhu útoku je téměř nemožné. Pro providery s jedním dvěma uplinky je problém - pak je řešení do tranzitu vypropagovat ty IP někam do tuvalu nebo do /dev/null a odříznout svět.

Zaplať pánbůh za NIX a to že nixem sice takovej bordel taky proteče ale podaří se to identifikovat a zařízne se to. Imho by měla být kontrola na source důrazněji dodržována (není všichni na to serou).

http://tumblr.intranation.com/post/766288369/using-nginx-reverse-proxy třeba tenhle. Zbytek najdete v dokumentaci k Nginxu.

Reverzní proxy je primárně o tom, že vám může vydávat statiku (tu Nginx vydává brutálně rychle), případně po určitý čas (minutu, pět minut, ...) cacheovat dynamiku, kterou generuje jiný webserver (Apache, ...).

tak jednoduché to nebude, protože nginx je v mnoha případech těch napadených cílů už samozřejmě používán..

Kolega se ptal na reverzní proxy, na což dostal odpověď. Reverzní proxy Vás neochrání před syn flood útokem (dnešní případ), na to musíte použít jiné nástroje...

Ale ochrání, stačí jích mít desítky pak se jedná o desetisíce paketů/sec a ty "ubráníte" konveční metodou tj paketovým filtrem. jde o to že proxy funguje v podstatě pouze jako "tunel" mezi tím kde ty webserveryskutečně běží a tím jak jsou vidět z venku.

Bohužel to neřeší když útočník utočí přímo ale to se da přes SBO zařídít.

Dekuji - podivam se na to.

nikoliv, je to útok na objednávku českého rozhlasu, který má lidi donutit oprášit tranzistorové rádio :)

A to ještě před chvílí měli u článku o útocích tip, že e15 běží. :-)

Infobaden také čelí útoku, nicméně se zdá, že infrastruktura byla na něco takového připravena o poznání lépe.

Ano, ti nejlepší zůstávají!

Mě by moc zajímalo co dělá Národní centrum kybernetické bezpečnosti (NCKB) ...

Patrně vyšetřuje možnost přenosu pohlavních chorob přes kybersex ve World of Warcraft.

Do teď nedělalo nic, ale jakmile jste je zmínil, rozblikalo se ve velíně varovné červené světýlko!

.. to nevim, ale vcera kolem 15:40 jim nejel web.

utoci na nemecky tisk ;-)

a zrovna Ringieru se to záhadně vyhnulo

Nebude to tím, že to není německý tisk? :)

tak sem byl vyveden z omylu. Nenapadlo mne že ten zeitung je švýcarskej.

Tak už nejde ani Živě. A Ihned zase nejde.

iHNED nejde? Jak komu...

Asi přišla další vlna...

Ano, díky za upozornění, taky jsme si všimli.

Ta jim za to nestoji? :D

Pššššt, doufáme, že nás přehlédli ;)

A statistici se budou divit, proč 4.3. na jeden den stoupla produktivita práce - lidi nečučeli celý den na zprávy:-)

To udelali aby meli o cem psat ;)

Z velkých webů funguje bez výpadků také Aktuálně.cz.

Aktualne.cz ...kde jsou ty casy, kdy to obcas i nekdo klikl :)

no... ja nevim, ja na ne koukam stale :D

kteri zase nedelaji svoji praci a nevypnout zdroj kdyz je mozne zaznamenat nevsedny narust pozadavku stejneho charakteru ... :-/

Kdyby ISP blokovali vsechny linky, ze kterych jde nejruznejsi humus (vetsinou generovany necim, co si uzivatel zrovna instalovat nepral...ale stalo se;), tak by tak 90% domacich uzivatelu a vic nez polovina firemnich byla bez konektivity :)

Tady nekdo nema ani paru jak vypada DDOS.

Tak to vypadá, že hackeři nerozeznávají Mladou Frontu Dnes a vydavatelství Mladá Fronta, protože je vše od zive.cz přes e15.cz až po doupe.cz down. Asi neví, že iHeute patří pod jiného majitele, holota jedna.

Tech webu, ktere jsou dole, je mnohem vic... Podle vseho jdou po vsem, co ma aspon trochu navstevnost (i po webech, ktere maji naprosto odlisne zamereni..).

jsem zvědav poté na reakci, jak je to podlé a nefér

ale csirt.. zatím to vypadá, že jeho náplní je sledování médií.

mi od rána nic nevypadlo, kromě MOBILu. Na PC používám natvrdo nastavené DNS 8.8.8.8 nebo 4.4.4.4 a pořád jedu...
Přes TOR to taky chodí v pohodě. Takže problém bude nejspíš někde jinde... DNS...

tak ono "ráno" je pojem trochu relativní :) ps: nemyslel jste spíš 8.8.4.4 ?

Ani ne, já jsem na síti od 6:00 a ještě pořád.... kromě problémů v opeře v mobilu odpoledne jsem nic nezaregistroval. A to DNS je skutečně 8.8.8.8 od google... Takže podle mne trasy nebo DNS, ale ne servery...

Kolega narážel na Vaše DNS "4.4.4.4". Správně je to "8.8.4.4".
https://developers.google.com/speed/public-dns/

Jo, ono je to celé trochu zamotané.... :)
http://www.tummy.com/articles/famous-dns-server/

A ještě to začíná zavánět takovou linkou:

Klaus -> obžaloba z vlastizrady -> pomsta ruských hackrů

což je skutečně trapné a směšné.

Co je na tom jako trapneho a smesneho? Klaus byl vzdycky jen hloupej ruskej agent...

to pravděpodobně ano, ale ti rusové pod které spadá se jednoho dne rozhodli, že přejdou na druhou stranu a začali se kamarádit se západními bratříčky a jak u nás tak v rusku se s nimi podělili o výnosy z privatizací, jinými slovy pokud je dnes agentem něčeho ruského, tak ruské privatizační mafie jednající víceméně ve shodě s tou západní (resp. nadnárodní finanční)

Musíme se ptát, proč zrovna dnes.

Před lety byl útok podobného typu v den podepsání dohody o postavení radaru v Brdech.

Dnes senát projednával pana prezidenta.

Podobnost čistě náhodná. O něčem to svědčí.

Je to možné, nebo když byl "vysvětlovat" kdosi od klause nedávno v rozhlase myslím amnestii, tak neustále rušil rádiovým přenosem zvuk a tím zabil část času pořadu, jo naši modří ptáci mají metody..

jojo a za tu snehovou vanici o minulem vikendu muze taky klaus, rikala to zenskejm jaruna z kravina.

Ráno mi pořádně nejelo ani ulož.to, asi už chápu proč...

Tak dnes během dopoledne většinou nejde Seznam. Buď útoky pokračují, nebo někde soudruzi udělali chybu.

potvrzuji že seznam má dnes dopoledne problémy...i HP i firmy.cz

souhlas, Seznam dnes nenabíhá..

Díky za upozornění, ano, DDoS útoky pokračují: http://www.lupa.cz/clanky/ddos-utoky-pokracuji-jejich-cilem-se-stal-seznam-cz/

z mého pohledu dnes lehly i weby iinfo jako např. tato lupa..

Ano, měli jsme krátký výpadek,který byl způsoben chybou v databázi, s DDoS útoky neměl nic společného.

Můžou za to permoníci, protože chtěli napadnout internet.

zajimave.. nezvladnout SYN flood :) To v ceskych spolecnostech museji byt ale kvalifikovane pracovnici :-)))

Je veřejným tajemstvím, že všechny botnety jsou dílem Microsoftu. Postižené firmy by se na něj měli obrátit a požadovat náhradu za DDoS, který byl veden výhradně ze zavirovaných systému Windows.

to snad ne..