Vlákno názorů k aktualitě Web České televize byl od rána pod DDoS útokem od Danny - Nikoliv - utocnik skutecne zneuzival jine stroje k...

Nikoliv - utocnik skutecne zneuzival jine stroje k tomu, aby pomoci jinak v zasade legitimniho chovani TCP/IP stacku (popsaneho v RFC) zneuzil k tomu, aby zahlcoval cilove servery CT ne uplne malym objemem provozu. K tomu mam i realne a nezavisle data z netflow ze siti zneuzitych ke "zprostredkovani" utoku prokazujici skutecny prubeh incidentu. A nekdo nad tim provedenim i trosku premyslel... to nebyl zadny tupy flood.

Mírně se mýlíš, už byly odpolední zápasy, v 16:15, ale prostě to už jsou někteří doma, takže špička byla na cca 360 Gbps - zápas z 13.5. - https://ibb.co/85956XX. Podle včerejčka bych ale usuzoval, že si ČT prostě objednala od O2 400 Gbps (podle smlouvy má standardně 100 Gbps s možným navýšením na dvojnásobek, takže udělali ještě jednou dvojnásobek) a zájem diváků, hlavně těch pracujících, byl vyšší než kapacita 400 Gbps, tipl bych si osobně, že 600 by už asi stačilo. Holt penetrace chytrých mobilů a mobilních dat se zvyšují ... a to asi v ČT opět podcenili ... Řízenému útoku prostě nevěřím, protože okamžitě po skončení zápasu začal web CT24 odpovídat ... proto bych usuzoval na dosažení limitu 400 Gbps - screen zde https://ibb.co/tmrpBjc

V tuhle chvili bych nerad :-) Urcite to tu cte i utocnik... a neni zadouci odkryvat vsechny karty verejne.

Chapu, ale kdyby ses rád rozepsal, pošlu e-mail ... Pracuji jako IT administrátor ve střední firmě a proto mě to zajímá ... Osobně jsem na twitter psal že České televizi nevěřím, protože okamžitě jak skončil hokej, začal web ct24 opět odpovídat ... Prostě to časově odpovídalo, a jiné zápasy reprezentace měli na NIX a O2 vliv podobný, menší, ale podobný - 320 - 360 Gbps. Jenže tento zápas byl unikátní - jako první byl ve 12:15 a byl klíčový ... Proto jsem očekával vyšší zájem a ten se na první pohled dostavil ... Osobně jsem měl celou dobu zápas puštěný ve FullHD bez jediného problému ...

Ktere casti Dannyho prispevku z 15:59 nerozumite?

Mozna Vas to prekvapi, nicmene Dannyho odborna reputace v odborne komunite je pomerne znacna, narozdil o Vasi. Mam-li tedy rozhodovat mezi jeho tvrzenim a Vasim pabenim, priklanim se silne k jeho tvrzeni.

A predstava, ze bude nekdo z ciziny utocit na web CT v dobe zapasu CR se Svycarskem je, priznejme si to, dost usmevna.

Na verejnych bps grafech to nutne videt byt skutecne nemusi - a vetsinou ani nebyva, pokud se bavime o utoku vedenym v malych paketech... takze treba pri 10 Mpps balastu navic podobnou technikou se v bps grafech pri tech 100G smerem do O2 velmi snadno ztrati, kdyz treba pri 40 bajtovych paketech tech 10 Mpps da "jen" necele +3 Gbps (coz tam hodi stezi jeden pixel navic, zvlast kdyz se to rozlozi mezi vicero linek) a kdy normalni datovy provoz je treba paketove vyjadreno treba jen ctvrtinovy. Jenze tech kuprikladu 10 milionu paketoveho balastu ve vterine navic se nekde zpracovat musi, zeano... a ne vse je mozne filtrovat hrubou silou, aniz by zde soucasne vznikalo riziko, ze se ohrozi korekni fungovani legitimniho provozu.

Můžeš se o typu útoku více rozepsat ?

V kazde pricetne spravovane siti maji provozni flow data (presneji je i musi mit i ze zakona) a z nich jde vycist spoustu informaci pri jejich zpetne analyze. Treba i to, jak nejaky takovy utok probihal.

O2 ale do NIX.CZ ma 600Gbps... obcas se to chce podivat na web :-) A popravde je to videt i z toho vaseho screenu... a i z grafu jednotlivych pripojek je dobre patrne, ze nebyly saturovane.
https://www.nix.cz/cs/port/mrtg2/nix-agr-120
https://www.nix.cz/cs/port/mrtg/49/ethernet3_1
https://www.nix.cz/cs/port/mrtg/49/ethernet4_1
https://www.nix.cz/cs/port/mrtg/49/ethernet4_4
https://www.nix.cz/cs/port/mrtg/41/ethernet1_3
https://www.nix.cz/cs/port/mrtg/41/ethernet3_1
https://www.nix.cz/cs/port/mrtg/41/ethernet4_1

Dejte jasný důkaz že byl web pod útokem ... jednotlivé grafy nixu ze všech přípojek prostě hovoří jinak, jedná se o vzestup ve všech přípojkách, tudíž je pravděpodobný velký zájem o stream. Nevím proč by o tom nemohl číst útočník, bude vědět že se o tom ví a bude hledat jiný způsob. Vlastně zatím nebude, čtvrtfinále hrajeme ve 20.15, tudíž to O2 zvládne.
A jen detail, je rozdíl v konektivitě O2 do NIXu a konektivitě, kterou si objedná ČT od O2, a tam si myslím že je mých 400 Gbps ... bylo původně 100 s navýšením na dvojnásobek a tipl bych si že to na hokej ještě jednou zdvojnásobili, a proto usuzuji těch 400 Gbps - připojení ČT ivysilani do NIXu. Navíc, nezapomeňme ještě na síť Peering, tam je již O2 také připojeno.

Je pravda, ze dle grafu z NIXu se tady nejedna o saturaci jejich 600 Gbps, ale o to, co je nasmlouvane mezi O2 a CT.

Dle (pravdepodobne) aktualni smlouvy (https://smlouvy.gov.cz/smlouva/soubor/7792967/1000799601.pdf) to asi bude mene nez 400 Gbps. Na strane 3 prilohy 1 se mluvi o zakladu 90 Gbps (s docasnym max navysenim o 25%) a priplatek 20k Kc za kazdych 10 Gbps extra (str.4). Otazka je, kolik si CT dokoupila. Docela by me to zajimalo.

Na druhou stranu, argument Dannyho povazuji za solidni. Ty DDoS packety nemusi byt o max velikosti, takze se v tech grafech neprojevi. Hlavni jsou cisla v pps a k tem my jako verejnost pristup nemame, resp. ja je na strankach NIXu nenasel.

No nic. Rad bych si o tomto nekdy precetl jak to vlastne bylo. Jen se obavam, ze se na to zapomene, protoze to verejnost stejne nezajima.

Chapu, ze CT ma kvuli autorskym pravum blacklisty na zahranicni IP, takze to asi bylo z ceskych IP, ale to take neznamena, ze to byli Cesi. Chcete mi tedy rict, ze to Cesi byli, kdyz to tady procitaj? Anebo je lupa popularni i u cizincu? :D

Jako lajk povazuji za nejpravdepodobnejsi variantu historicky opakovanou; CT a O2 zase podcenili poptavku. To by vysvetlovalo, proc se tak stalo az u tohoto zapasu = prvni s narodakem, ktery nebyl o vikendu anebo v podvecernich ci vecernich hodinach.

Muzu se mylit, ale argument 'verte mi, mam dukaz, ale ted to rozebrat nemuzu' je pro me malo. Snad v brzke dobe budete moci rict vic. Do te doby anebo do doby, kdy CT poda trestni oznameni, to kategorizuji za technicky nedostatek CT&O2 + kyberutok jako vymluva.

Mohu vědět, kde pracuješ a jak je možné, že máš přístup k takovým datům? ;)

Nikdo tady nezpochybňuje Vaše závěry, jen byste se neměl divit, že bez přístupu k Vašim údajům a s možností pouze veřejných statistik z NIXu se nám nezdá útok. Ačkoliv pracuji v oboru IT, ohledně podobných praktik jako je útočení či hacking jsem se nikdy nezajímal, a ani nechápu ty co to dělají ...

Přesto děkuji za nastínění, pps vesus bps je slušný náznak problému a přináší to velký otazník, kdo a proč podobný útok provedl ... Pokud byl opravdu takto proveden, měla by ČT, případně O2 podat trestní oznámení. Přece oni to v logu také musí vidět ....

23. 5. 2019, 08:21 editováno autorem komentáře

Ok, dobře.
Nemůžu tvrdit, že mne tvrzení, že pro útok existují důkazy, když ty důkazy nejsou předložené, přesvědčilo, ale budu konstruktivní a zeptám se, jak je zajištěno, aby se podobná situace neopakovala - pokud víte jak "útok" probíhal, mělo by být celkem jasné jak se proti němu do budoucna bránit.

Zajímavé, já to zkoušel z několika různých sítí a maximem, které mi to nabídlo, bylo vždy jen 576p.

Ja bohuzel Dannyho neznam, takze jeho odborna reputace mi do te doby, nez jste o ni napsal, nebyla znama a proto jsem se soustredil na kvalitu jeho argumentu a ne na jejiho autora.

Co se tyce meho prispevku, tak musite uznat, ze CT mel s online sport prenosy v poslednim desetileti problemy - to je fakt, o kterem se i obcas psalo zde na lupe. Proto nepovazuji za absurdni rict, ze se zase stalo to same a dokud nebudeme vedet, tak je to realna hypoteza.

Co se tyce puvodu utoku, tak to pochybuji, ze v tuto chvili nekdo vi. Ano, ohanet se utokem z ciziny bez jakykoliv dukazu je na hranici paranoii (ostatne, tohle neni Estonsko v 2007), ale na druhou stranu, i to je preci jedna z moznych vysvetleni. Kdyby nekdo ze zahranici chtel otestovat utok na verejnopravni televizi, tak mozna neni lepsi prilezitost, nez pri prenosu hokeje narodaku. Pravdepodobnejsi ale bude, ze se nekdo v CR nudil a prenos napadl ze srandy.

22. 5. 2019, 19:38 editováno autorem komentáře

Chtit muzete co chcete :-) A stejne tak muzu reflektovat tak, jak ja chci.
Se sluzbami pro CT ja osobne nic spolecneho nemam, co jsem videl v flow datech z ruznych siti me osobne na muj zaver staci a rozhodne je nehodlam sdilet na internetu jen proto, ze nejaky temer-anonymni diskuter ma potrebu je zpochybnit ;-) Sve poznatky sdilim v komunite k tomu urcene, takze pokud jste jejim clenem... tak vite, oc slo... a pokud ne... prominte, ale diskuze na Lupe nejsou o tom, aby se tu neco "dokazovalo". Utoky probehly a to, ze nejsou vsechna data k tomu verejne dostupna je proste normalni.

O problematice pps versus bps jsem tu psal. NIX.CZ ma verejne pouze bps grafy a pokud z nich dela nekdo nejake "pseudo-odborne" zavery, tak je u me s prominutim naprosty diletant, co cele problematice vubec nerozumi a jen "mudruje" v diskuzich. Je spousta ruznych typu utoku, ktere se na tech grafech vubec neprojevi - ale to rozhodne neimplikuje, ze k nim nedoslo... takze si prosim nejprve doplnte vzdelani a pak se ucastnete podobnych debat s tendenci neco "zpochybnovat".

No O2 do NIXu 600 Gbps má, ne moc dlouho, ale má, původně mělo 400 Gbps. Ty grafy jsou samozřejmě z NIXu, a to že nejsou vyrovnané může být pouze způsobem, jak má O2 udělaný peering s NIXem a CT na jednotlivých portech - k tomu by se někdo musel vyjádřit někdo zodpovědný ... ALe jako útok to rozhodně nevypadá, pokud by to byl útok, bude pravděpodobně jasně vidět vstup vyšší z jednoho portu ...

Mno, já bych spíš řekl že nečekali takový zájem, a server nestíhaly... :\