Názory k článku Denial of Service útoky: reflektivní a zesilující typy

Článek je starý, nové názory již nelze přidávat.

• Podle hodnocení
• Podle vláken
• Nejnovější

• 17. 10. 2006 10:22

  Hannes (neregistrovaný)

  dobra prace, autor ocividne vi o cem pise, hezky vysvetleno.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 10:59

  Martin Haller (neregistrovaný)

  Dik :-)

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 12:27

  anon (neregistrovaný)

  Clanek nekolikrat zminuje zmenu IP odesilatele. Mam dojem, ze dnes (alspon v CR) uz vetsina provideru nepropusti paket se zfalsovanou adresou odesilatele. Mate podobne zkusenosti?

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 12:39

  nb (neregistrovaný)

  Mohly by jste poskytnout tenhle serial taky jako PDF ke stazeni?
  Diky.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 13:10

  

  bez přezdívky 41

  Co to je zfalsovana adresa odesilatele a jak ji chcete na rozhranni zakaznicky bod vs ISP detekovat?

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 13:46

  Jirka (neregistrovaný)

  To by slo, pokud by byla sit dusledne stromova. Pak by kazdy uzel vedel, z jakych IP muze odkud co priteci. U provideru obycejnych pripojeni to vetsinou jde. Pokud ale utocnik sedi na nejake kruznici, pres kterou mohou data tect tam i zpatky podle okolnosti (stavu jinych casti site), tak uz muze falsovat, jak chce.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 13:46

  Bobo (neregistrovaný)

  Bude i článek o obraně proti záplavovým útokům? Ten jistě uvítají i ostatní.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 15:20

  anonymní

  vyrvat kabel ;) - proti zaplavovym utokum se blbe chrani, aby to alespon trochu slo, musely by mit prichazejici data nejakou spolecnou vlastnost ruznou od legitimniho provozu.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 15:26

  

  Aleš Miklík 79

  Tuto formu serialu neplanujeme. Muzete si ji vytvorit sam, avsak pouze pro vlastni potrebu (tj. nedavat na web apod.).

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 16:31

  pod přezdívkou (neregistrovaný)

  to rozhodne je. velice pekne a jednoduse podano. pritom velmi presne. pozoruhodna kombinace.
  
  pouze by tu melo jeste zaznit: ethereal je v zasade mrtev (jako nazev programu si jej privlastnila jakasi spolecnost ke komercnim ucelum). z posledni volne verze vznikl fork jmenem Wireshark blizici se k verzi 1.0.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 10. 2006 17:13

  Martin Haller (neregistrovaný)

  Velci ISP provajderi, maji urcite techniky jak branit zaplavovym utokum. Ovsem jedna se o veci do kterych uplne nevidim a nemam s nimi takove zkusenosti abych o nich mohl psat.
  
  Ohledne clanku o obrane Vas musim zklamat, jelikoz zadne nebudou (viz. duvod prvni odstavec).
  
  Na druhou stranu snad Vas potesim tim, ze o jednom DoS utoku vyjde do mesice clanek. Jedna se o FTP bounce-scanning (scanning protoze se tento utok pouziva primarne ke skenovani portu).

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 10. 2006 0:01

  smal (neregistrovaný)

  Very good, opravdu - vsechny dily.

  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 10. 2006 11:06

  Blake (neregistrovaný)

  Na Cisco Routerech existuje prikaz: >> ip verify unicast reverse-path <<. Pokud je prikaz zapnuty na interface, kontroluje podle routovaci tabulky, zda paket s touhle zdrojovou adresou muze prijit zkrz tento interface. Ale jestli to maji vsude zapnute ...

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 10. 2006 12:52

  

  bez přezdívky 41

  ...a proto tu byl nekolikrat uspesne "napaden" CZ.NIX...:-)

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 10. 2006 12:52

  

  bez přezdívky 41

  rp_filter v Linuxu?

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 10. 2006 12:54

  

  bez přezdívky 41

  A ja myslel, ze to prejmenovani bylo na duvod oslavy finalni verze 1.0 (po tolika letech:-))

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 10. 2006 16:18

  Martin Haller (neregistrovaný)

  Ano takova moznost je, a byva casto vyuzivana. Ovsem toto muzete udelat pouze na hranicnich routerech (oddelujicich malou sit od internetu).

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 19. 10. 2006 11:09

  anonymní

  Nejlepsi obrana proti probihajicimu utoku je skutecne vytahnout kabel.. "najdi to co nevic blika a to vytrhni"
  Prevence spociva v zatrhnuti tech nejhorsich zesilovacu, napriklad si zkuste zadat rekurzivni dotaz nejakemu cizimu nameserveru. Donedavna to slo, dneska uz vas s tim vsude vyhodi (nebo by aspon meli).

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 19. 10. 2006 17:25

  

  Martin Haller

  Ano to mate pravdu, ovsem na internetu je jeste spousta verejnych DNS (nektere zamerne, nektere ne).

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 22. 10. 2006 0:39

  --==[FReeZ]==-- (neregistrovaný)

  Good job !
  
  Ochrana proti temer libovolnemu floodingu spociva ve vhodnem nastaveni iptables, dela se to pomoci limitu.
  
  Napriklad si nastavim, ze mi mohou dorazit maximalne 3 icmp echo-reply packety za sekundu a ze zbytek se bude dropovat, bez zpetne odpovedi, ktera se standardne zasila a upozornuje server o nedoruceni. Tim umoznim korektni cinnost i v pripade, ze nekdo zacne floodovat z ruznych IP adres. Neni to samozrejme 100%ni, ale o nicem lepsim jsem zatim nezaslechl.
  
  Takze vychozi politika IPTABLES bude DROP, co neni povolene, to je zakazane + limity na nejcasteji zneuzivane typy packetu, to je absolutni zaklad zabezpeceni serveru.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 22. 10. 2006 11:42

  Martin Haller (neregistrovaný)

  Toto je samozrejme nesmysl, flooding spociva v zahlceni linky, a tomu vy nemuzete jako uzivatel predejit. I kdyz nastavite iptables, tak bude vase linka zahlcena. Jedina obrana je u poskytovatele pripojeni. On musi tyto data zahazovat aby nesla linkou k vam. Takove technologie jiz nini jsou, ale tato problematika je dosti slozita.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 22. 10. 2006 11:53

  --==[FReeZ]==-- (neregistrovaný)

  nesmysl to v zadnem pripade neni, pokud bych byl ISP tak si timto zpusobem IPTABLES nastavim a je po floodingu, tato problematika je dosti jednoducha. Viz root.cz kde je detailne probirana konfigurace IPTABLES

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 22. 10. 2006 13:00

  Martin Haller (neregistrovaný)

  Jenomze ty ISP nejsi a neni to tak jednoduchy. Floodovani neni jenom pomoci ICMP ale muzes posialt i TCP nebo UDP, a ISP ma na svi siti takovej fofr ze nema moznosti sledovat jestli jsou ty TCP pakety regulerni. A kdyz by mel tak tu je potom UDP u kteryho nema moznost posouzeni.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 7. 11. 2006 18:21

  Martin Haller (neregistrovaný)

  Tak te muzu floodovat pomoci UDP :-D. Jinak ja ti porad rikam ze pomoci filtrovani se tomu samozrejme brani ale musi te branit nekdo pred tebou, aby ty data nesli do ty pomali lajny jakou jsi pripojenej k netu. Kdyz si to budes filtrovat az sam , tak uz je pozde.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 3. 11. 2006 20:12

  --==[FReeZ]==-- (neregistrovaný)

  1. Nikde jsem nenapsal, ze flooding je pouze o ICMP, samozrejme ze neni !
  2. Hned v prvnim komentari jsem napsal, ze ochrana pred floodingem neni 100%ni, kazdopadne kontrolovat regulernost TCP packetu do urcite miry lze a to pomoci kernelu.
  3. zcela jiste vim, ze to, co jsem vyse napsal je pravdive, vyzkousene a v praxi pouzivane. Snazis se mi to vsak za kazdou cenu vyvratit, abys zde vypadal jako nejaky "master".
  
  Mel by sis priznat, ze nevis vsechno, shodou nahod jsem si zrovna o ochrane pred DoS a floodingem nedavno precetl mnoho desitek stranek, jednak na hysteria.sk/prielom a druhak google.com -> linux kernel extensions

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 3. 11. 2006 20:12

  --==[FReeZ]==-- (neregistrovaný)

  1. Nikde jsem nenapsal, ze flooding je pouze o ICMP, samozrejme ze neni !
  2. Hned v prvnim komentari jsem napsal, ze ochrana pred floodingem neni 100%ni, kazdopadne kontrolovat regulernost TCP packetu do urcite miry lze a to pomoci kernelu.
  3. zcela jiste vim, ze to, co jsem vyse napsal je pravdive, vyzkousene a v praxi pouzivane. Snazis se mi to vsak za kazdou cenu vyvratit, abys zde vypadal jako nejaky "master".
  
  Mel by sis priznat, ze nevis vsechno, shodou nahod jsem si zrovna o ochrane pred DoS a floodingem nedavno precetl mnoho desitek stranek, jednak na hysteria.sk/prielom a druhak google.com -> linux kernel extensions

  •   Zobrazit celé vlákno