Hlavní navigace

Vlákno názorů k článku Weby českých bank ochromil DDoS útok, NBÚ žádá od postižených data od brudrafon - mozna uz by to mel zacit resit nekdo...

  • Článek je starý, nové názory již nelze přidávat.
  • 6. 3. 2013 10:26

    brudrafon (neregistrovaný)

    mozna uz by to mel zacit resit nekdo v NIXu, nebot to opet prichazi ze site RETN

  • 6. 3. 2013 10:49

    brudrafon (neregistrovaný)

    Kazdy, kdo ma pristup do intranetu nixu se muze podivat, kolik packetu/s prichazi z jejich site.

    RETN to samozrejme mohlo jen nekde nabrat, ale patrani by se asi melo ubirat timhle smerem, pripadne pokud to prichazi z tranzitu, tak vypatrat odkad to +- prichazi.

  • 6. 3. 2013 14:14

    Michal Krsek

    Uprimne receno, NIX.CZ je layer2 infrastruktura a peering neni vynucena sluzba - tj. kazdy muze rozvazat propojeni dle vlastni uvahy.

  • 6. 3. 2013 19:06

    Michal Krsek

    Martine je to jednoduche. NIX.CZ je ve vlastnictvi clenu. Pokud se vetsina clenu rozhodne, ze se ma zmenit na L3 infrastrukturu, tak to udela.

    Troufam si tvrdit, ze vetsine ISP je to, ze na necem ekonomicky trati CR, docela sumak. Uz jen proto, ze od statu dostavaji jenom buzeraci.

    Pokud nekdo provozuje globalni sluzbu a nema na to infrastrukturu, tak je to jeho problem. Eistuji takovi poskytovatele infrastruktury, ktere podobne utoky nechavaji klidnymi.

  • 6. 3. 2013 20:36

    Martin Kalenda (neregistrovaný)

    My si nerozumime, clenove nixu MUSI mit nejakej tranzit. Tj pokud se dohodnou ze k vlastni ochrane budou vedet ze NIXem to netece mohou mit spolecne silu dotlacit upstream providery "patrat" dal nebo filtrovat.

    Nejde o to spolecne jde o to ze jednou podrzi ten toho a podruhe nekdo jine. Z globalniho hlediska je NIX unikat (ve smyslu technickeho reseni jiste ze je rada narodnich IXu tedy spolecne s padesatkou dalsich) kdy se da rici ze lokalni provoz je zhlediska autonomie chodu statu a ekonomiky dostatecne "bezpecny" a to skarede zahranici bude mit smulu.

    Uz vidim jak nekde v USA nekdo filtruje nejak "neamericky" provoz. Ad korporace - ano o tom to je, jaky kdo nakoupi box tak mu to jede, zel bohu nasi klienti byvaji tercem takovychto utoku 10x do roka a i kdyz se ISP box drape v nose ten cilovej system treba 6hodin nejede (nastesti existuje scenar obrany rozdrobenim provozu mezi desitky IP a tam se pak filtruje jak vztekle).

    Cesi ovsem nejsou zvykli platit, 99procentum se nevyplati to platit predem. Pro to by to mel nabizet bud isp v nejake hodinove sazbe nebo prave stat tak ze by ten provoz poslal na sebe a "sdilene" to filtroval. Stat nemusi byt stat, muze to byt zrovna cz.nic z prebytku nebo nix se zajmu (sdilena infrastruktura musi byt levnejsi nez nesdilena) zrovna u nixu by to davalo smysl "clenove sobe" proste by se vypropagoval cil utoku nejakou sdilenou linkou s radou filtrovacich boxu a na provoz by se skladali. Vim ze je to utopie protoze rada nejvetsich (komercnich) ISP v CR by nikdy nepriznala tento druh problemu prestoze jim to casto pekne zatapi.

  • 6. 3. 2013 21:53

    Michal Krsek

    Ja myslim, ze je to jednoduche. Pokud stat rozhodne, ze by neco takoveho melo fungovat, pak at to stat plati.

    Mozna Vas prekvapi, ale to, cemu dnes celi ceske firmy, neni nic neobvykleho. Troufam si tvrdit, ze podobnych utoku mohou probihat radove desitky najednou. A existuji infrastruktury a technicko/orgna­nizacni reseni, ktera to zvladaji. V nekterych pripadech je to implementovano jako sluzba, takze vam staci penize.

    Jedno z reseni, jak minimalizovat naklady, je skutecne sdilena infrastruktura. Nicmene jeji vznik nemuzete iniciovat shora. A cim mate vetsi mnozstvi hracu (a NIX.CZ i CZ.NIC jich maji pozehnane), tim tezsi je hledani shody. Dokazu si predstavit, ze se nejaka skupina poskytovatelu obsahu obrati na NIX.CZ ci CZ.NIC se zadosti o konzultace, ale proboha necekejte, ze tyto organizace budou nositeli te myslenky.

    Co se tyce "platit predem" - vetsina CDN dnes zpoplatnuje sve sluzby dle prenesenych dat a obranu proti DDoS mate v cene (samozrejme zalezi na velikosti konkretni CDN). Je to jenom otazka jednotkove ceny.

    Nemyslim, ze ceskym ISP nejak zatapi DDoSy - ony zatapeji jejich zakaznikum.

  • 7. 3. 2013 10:43

    Martin Kalenda (neregistrovaný)

    A kdo to plati teď kdo platí oknonet a všechny věci okolo? Jste naivka a netušíte co stát má a jak neefektivně to dělá - v tom by jedno NOC nehrálo roli. Když teď někdo podá TO (ideálně it oddělení např idnes.cz aby mělo krytá záda pojištění, šéfové, pr, veřejné mínění) tak to taky platíte vy. V trestních věcech bohužel pachatelé neplatí škodu vzniklou státu - to že stát vynucuje právo si platíte v daní.

  • 7. 3. 2013 14:27

    x (neregistrovaný)

    TO muze podat kdokoli, ale nevim proc byc mel nekolika vyvolenym platit jejich infrastrukturu. Zatahne mi stat optiku az do bytu a 10Gbit pripojku? Ja se taky citim byt ohrozen DOSy ...

  • 6. 3. 2013 21:10

    ZP (neregistrovaný)

    Prosim vas, veci jako 'ze lokalni provoz je zhlediska autonomie chodu statu a ekonomiky dostatecne "bezpecny"' snad radeji ani nevypoustejte z klavesnice. Navrh zakona o kyberneticke bezpecnosti je pripraven k pripominkovani a brzy zamiri do Snemovny. Samozrejme, ze takove DDoSy zadny zakon nevyresi a navic pridela ISP spoustu zbytecne prace (mimochodem, je s podivem, ze se tento problem objevil prave v dobe, kdy je takovy zakon pripraven, clovek by az rekl, ze je to podezrele). Statu cesky Internet nepatri, krome financovani CESNETu se na jeho vzniku ani existenci nikterak nepodilel, spise vzdy vsechno komplikoval a problemy pridelaval.

    ISP mimochodem DDoSy zasadni problemy necini, zvlaste tem vetsim. Naopak, takovy DDoS a jeho ucinek na koncovy system je dukazem toho, ze sit dotycneho ISP funguje dostatecne dobre a ma vykonove rezervy, v dobach softwarovych routeru by situace vypadala zcela jinak. ISP proto vadi DDoSy pouze z toho duvodu, ze poskozuji jejich zakazniky a oni chteji mit sve zakazniky v maximalni mozne mire spokojene.

    Na blackholing zadnou zazracnou ani drahou infrastrukturu nepotrebujete. Poslat ty dva nebo tri miliony packetu za sekundu do Null zvladne kterykoli lepsi router a dokonce i nektere L3 switche. Rada clenu sdruzeni NIX.CZ takovou sluzbu dokonce svym zakaznikum uz davno poskytuje.

  • 7. 3. 2013 9:14

    x (neregistrovaný)

    A kdo to bude platit ... aha, ja ze svych dani a budou to desitky miliard (jako kazda kravina, do ktery se stat sere). Uz je za ten napad by bylo treba vas zastrelit.

  • 6. 3. 2013 15:42

    Martin Kalenda (neregistrovaný)

    což ovšem neznamená že by neměla ČR těžit z unikátnosti centralizace a maximálně spolupracovat.

    Podle mě je to regulérní zločin tj mezinárodně kooperovat a koukat ne odkud je SRC adresa ale kudy to skutečně teče a tam to buď filtrovat nebo eskalovat a dál řešit.

    Takový řečičky že v nixu být nikdo nemusí a nenutí ho mi přijdou krátkozraké, v čr funguje několik globálních služeb na které jdou tyto DDoS pravidelně a nejde o něčí zisk ale o to že tím ČR ekonomicky tratí. Nejsem krátkozrakej a i když se mi to co se právě děje "hodí" do krámu vidím si dál než na špičku nosu.

    Dodavatelů tranzitu není v ČR tak moc aby se nenašlo odkud to teče do jejich sítě. I kdyby to byl fake SRC tak právě flow z ostatních příchozich tras daného operátora naznačí směr odkud to teče. (pokud to není opravdu masivní botnet o milionech počítačů jejichř majitelé ani netuší která bije)

  • 6. 3. 2013 23:22

    Martin Kalenda (neregistrovaný)

    Vkládáte mi ovšem do úst něco co jsem neřekl. Jako Michal hovořím o nouzovém řešetní tj lepší něco než nic. Tj stát si může vynutit u ISP :

    1. kontrolu jestli to nejde přes ně (flow sample, nebo pravidlo )

    2. zakázat takový provoz

    když vám může stát/policie zakázat např jít do svého domu nevidím důvod proč by silově nedokázal vynutit aby jste filtroval nějaký typ provozu.

    navíc stát tahá za oba konce, buď se na tom podílíte nebo maříte vyšetření téhož. zákon nezmiňuje žádnou kompenzaci nákladů a vždy když nám soud něco takového nařídí platíme to my.

    By mě zajímalo jak chcete blackholovat nějakou globální službu? ČR není usa nemáte přímý peering s dvaceti "tranzity" tj pokud vám to leze vše tranzitem navíc je to spoofle (miliony IP) nezbývá než přístup ala michal tj filtrovat.

    S CDN nesouhlasím, nikdy nejste schopen měřit QoS CDNka, dynamicky Vám naskakují stovky instancí.

    Navíc z praxe několik našich zákazníků provozující globální službu bývá nejlepší řešení úskokem protože často jde o útok na IP nikoliv na hostname (i když jde proti nějaké konkrétní službě) protože DNS záznam zaspoofujete hůř a nebo potřebujete nějaké centrální místo odkud botnet řídíte průběžně a to Vás může poodkrýt.

    Váš idealismus by se hodil na "každý lepší switch" když by jste se stal opravdu trnem a najednou by sem lezlo 20Gbps/4mpps, což např pro Čínu nebude problém (coby kouřová clona pro zakrytí jiného provozu který v tom bordelu nenajdete).

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).