» »

Ddos

Ddos

Coupe ::

pozdravljeni
imam os widows xp professional in me zanima ce se lahko in kako naj se zascitim pred ddosom ker me stalno napadajo.
ty in lp
coupe

Gandalfar ::

ti kot posameznik ne. Klici svojega ISP-ja

Gwanaroth ::

Ce imas dinamicni ip ter kaksen firewall, se lahko precej izognes tovrstnim napadom.
Lights often keep secret hypnosis..

Coupe ::

klical sem svojega isp-ja in so mi odklopili tujino za 24ur in rekli da ce ne bo bolje me bojo pac odklopil in nov ip dal.ampak jest ta ip rabm nujno...kaj pa zdaj?
ce vse port zaprem na firewallu ne bo nic bolje ?
coupe

Bakunin ::

> ce vse port zaprem na firewallu ne bo nic bolje ?

na kratko - ne

> me bojo pac odklopil in nov ip dal.ampak jest ta ip rabm nujno...kaj pa zdaj?

a imas dolocene stvari vezane na ta IP ali na ime (hostname) , ki kaze na ta IP ?


priporocam ti menjavo IPja.

HellRaiseR ::

Se ne strinjam da bo menjava ipja pomagala. Najbrž te niso kr tko iz lepega začel ddosat. Sem skor sigurn, da je tale stvar povezana z IRC-om. Če je potem zamenjaj ip, si nabavi en zanesliv shell, postavi gor bnc in ircaj... Druga možnost pa je dinamičen ip.

Coupe ::

tako je .... zaradi irca8-O 8-O 8-O sej ce ne bo bols bom tole kar pustil se en cas in si res en box nekje ustimal pa bnc.....:\ :\ :\ drugace pa se ip zamenjal.tnx za pomoc in nasvete.lp
coupe

Spc ::

Ravno zaradi tega sem jaz nehal irc uporabljati.
Ker so me iz čistega heca DDoS-ali.
;(

OmegaBlue ::

Nikoli se nekoga iz "čistga heca" Ddosa. Razen če si zatežen ali maš "pol metra večjega" od ostalih.
Never attribute to malice that which can be adequately explained by stupidity.

Bakunin ::

Problem ircneta je da je host/ip uporabnika viden vsem.
Pac uporabljas irc omrezja, ki ti omogocajo "skrivanje" oz. "maskiranja" hosta/IP s katerim se povezujes.
Za dober dialog ni pomemben "Internet origin".

(/vhost localhost localhost press >:D )

fiction ::

Ne vem zakaj vsi povezujejo DDoS napade z IRC-em.
IRC je protokol ki omogoca interaktiven pogovor in nic drugega.

Problem NI to, da IRCnet ne omogoca skrivanja IP-ja, ampak tici
v mentaliteti raznih script kiddijev na tem omrezju!
(Glede na, da je veliko ljudi, se najdejo pac tudi razni tezaki.)
V veliki meri tem otrokom s prevec prostega casa pomagajo tudi admini,
ki premalo poskrbijo za varnost njihovih streznikov / omrezij.

Problem bi morali zaceti resevati na tem mestu (v Koreji
in na Tajvanu je vecina shekanih racunalnikov,
ce bi ljudje vsaj odgovarjali na razne abuse@ emaile, bi bilo ze veliko bolje).

Skrivanje IP-ja bi bilo naceloma mogoce na dva nacina:
- ce bi omrezje omogocalo registracijo bi pac lahko dolocenemu
uporabniku dali dolocen host (Samo kot vemo IRCnet ne omogoca
registracije uporabnikov - zaradi razlogov v katere se v tem postu ne bom spuscal).
- drug nacin pa je nek one-way hash nad hostom oz. IP-jem
(Hocemo namrec, da imata dva razlicna uporabnika tudi razlicni "skriti" host,
ce ne recimo ban na kanalih ne bi imel smisla.)

No ta drugi primer je ze implementiran in obstaja tudi patch za IRCnet ircd.
In sicer deluje nekako tako, da se za del IP-ja oz. hosta izracuna MD5sum in tisti
del nadomesti s tem. Primer 10.0.0.1 se nadomesti z 10.0.0.blahblah.
Samo nekako se izkaze, da se vse skupaj ne izplaca.

S poskusanjem (s tem da sami uporabimo isti algoritem nad 1, 2, 3...) hitro
ugotovimo kako lahko dobimo ta isti blahblah in tako tudi ugotovimo dejanski IP.
Tudi ce se del hosta "skrije" lahko s poskusanjem dokaj hitro
ugotovimo besedo, ki se spremeni v isti md5sum (ce ni prislo
do "collisiona" smo s tem tudi uganili originalno ime). Imena namrec ponavadi
sledijo neki shemi oz. so besede, ki se najdejo v raznih wordlistah
(vse skupaj spominja na crackanje passwordov, samo da so imena racunalnikov
ponavadi manj kripticna od gesel).

Lahko pomislimo, da bi pac samo vzeli vecji del hosta, ki bi ga skrili.
To bi povecalo vse kombinacije, ki bi jih bilo potrebno poskusiti.
Obenem pa se pojavi drug problem. Recimo da pride na kanal
100 klonov z nekega - recimo 10.0.11.0/24 omrezja (mirkforce npr.).
V normalnem primeru bi zadostoval en ban, da bi se celotne nadlege znebili.
Sedaj pa ima vsak od teh clonov cisto drugacen IP na na prvi pogled ne najdemo
med njimi nobene povezave.

OmegaBlue ::

fiction IRCnet povezujem z DDoS napadi, ker mularija ki jih dosajo in jokajo kle - jih dosajo zaradi neumnosti ali teženja na ircu.

Seveda to ni edini razlog.
Never attribute to malice that which can be adequately explained by stupidity.

qlman ::

coupe zascitit se nemores proti ddosu , manj ircanja :))
nabavi si ipv6 to znajo resolvat le nekateri .

Oven-2k ::

OmegaBlue, problem na IRCu v zvezi z DDoS napadi ni, kot si sam povedal, samo v tem, da te to doleti, če težiš drugemu. Sam sem bil naprimer žrtev DDoS napada, ker sem preprosto bil na kanalu, ki ga je hotel nek žblj-team, v katere se združujejo IRC freaki, prevzeti. Nikomur nisem nikoli težil, bil sem popolnoma nedolžna žrtev. Na sploh mi grejo na živce taki tamali, ki nimajo druzga lajfa, kot da dokazujejo svojo moč na IRCu in pri tem ne pomislijo, da mogoče komu naredijo veliko več škode z DDoSom kot samo začasen mrk interneta. Sam sem imel recimo naslednji dan izpit in sem si z internetom pomagal pri učenju. Tisti dan je bil internetni mrk res prava katastrofa. Na srečo sem takrat imel v račnalniku še dobri stari škripajoči modem in se znjim povezal v internet, šel na kanal iz katerega je folk skrivnostno padal dol s Ping Timeouti in izjavu da ma nekdo očitno preveč cajta in prisežem da mu bom razbil steklenico na glavi, če ugotovim kdo je. No, napad je takoj za tem prenehal, poslal sem tudi LOGe na SI-CERT, vendar kaj dosti ne morejo storiti.
Rok

Zgodovina sprememb…

  • spremenil: Oven-2k ()

fiction ::

OmegaBlue: Tudi ce ljudje "tezijo" (kar je dosti subjektivno) na IRC-u, to se ni opravicilo,
za druge da jih le-ti DoS-ajo.

qlman:
nabavi si ipv6 to znajo resolvat le nekateri .

IPv6 naslov "resolvat", hm. Kako to mislis? Dobit PTR record, ki kaze na doloceno domeno? :)

IPv6 in IPv4 sta dva razlicna protokola z razlicnimi naslovi!
Ker veliko mreznih naprav se ne podpira IPv6 se pac IPv6 paket z IPv6 izvornim in ciljnim
naslovom "zapakira" v navaden IPv4 paket in potem na drugi strani
tunela spet odpakira (tako da te "neumne" naprave vmes vidijo samo navaden
IPv4 paket, ki gre cez).
Da se dobiti IPv4 naslov od end-pointa tunela (iz whois baze ali podobnega), ampak to ni
na noben nacin povezano z IPv6 naslovom (razen recimo pri 6to4), ce to
razumes pod "resolvanje".

Manj DoS-a je zato, ker je manj shekanih racunalnikov z IPv6 podporo s katerih
bi izvedli napad. Poleg tega so tudi te tuneli problem, saj predstavljajo ozko grlo.

Samo kaj pa bo, ko bomo vsi uporabljali IPv6?

OmegaBlue ::

Vidim da ste me čisto narobe razumeli.

fiction pravim folk, ki pride jokat sem na forum nekako takole "OMFG WTF Ddosajo me omg!!!!1111oneoneoneeleven" ponavadi in res _PONAVADI_ je sam kriv, da so ob njegovem obnašanju nekomu popustili živci in seveda če ima zmožnost zakaj pa ne?

Seveda so tudi taki ki dosajo iz čistega veselja in si s tem daljšajo svoj "e-kurac".

In res za Ddos ni opravičila še vedno je to zloraba omrežja.

P.S.
Obišči nas kdaj na IRCNetu in spoznaj osebico pri kateri si zaželiš da bi morali opraviti psihološki test preden jim priklopijo broadband.
Never attribute to malice that which can be adequately explained by stupidity.

Oven-2k ::

No zdej se pa razumemo :)

LOL, a to ciljaš na kako določeno osebico al na splošno na vse psihote ;)
Rok

Zgodovina sprememb…

  • spremenil: Oven-2k ()

BigWhale ::

> fiction IRCnet povezujem z DDoS napadi, ker mularija ki jih dosajo in jokajo kle - jih
> dosajo zaradi neumnosti ali teženja na ircu.

Nekatere izmed teh mularij dosajo zato, ker so nekomu rekli, da v bistvu bluzi v tri dni, ker trdi, da bi se pa iz pol kile urana dal pac naredt mal manjso atomsko bombo...

:))

Now, go figure...

ERGY ::

Mislm, da ste ze zasli iz teme ;)

LP

Oven-2k ::

Jah, sej kaj dosti ni več za povedat o originalni temi... Zaščite pred DDoSom ni. Razen če ma kdo preveč denarja in si zrihta kako gigabitno linijo :P lol
Rok

Gandalfar ::

in to ti pomaga kako?

Oven-2k ::

To ti pomaga tako, da je tvoja pasovna širina večja od tiste ki jo imajo skupaj računalniki v DDoS omrežju. Če ima recimo nepridiprav pod svojo kontrolo 10 računalnikov, ki so v internet povezani s povezavo, ki ima 256kbit uploada, potem je skupna pasovna širina tega DDoS omrežja 2560kbit. S tako hitrostjo te lahko potem napridiprav zasuva s paketki. Če pa imaš ti recimo dost boljšo internetno povezavo, ki ti naprimer omogoča downloadanje z 8mbit, potem se ti bo internet mogoče nekoliko upočasnil, ne bo ti pa odpovedal. V DDoS napadih ti internet odpove, ker se tvoja celotna pasovna širina povezave zasede s temi paketki, ki ti jih pošiljajo računalniki iz DDoS omrežja. Zato pa pravim, da če bi imel neko pošastno hitro povezavo, bi se moral napadalec pošteno potruditi, da bi zbral dovolj računalnikov, da bi te spravil z interneta. Potem pa je seveda še vprašanje strojne opreme - če bo modem uspel pohandlati tako množico paketkov, ali pa router, če si povezavo delijo računalniki. Amapk predvidevam, da kdor bi mel denar za ne vem kakšno bajeslovno hitro povezavo, bi imel tudi denar za dobro strojno opremo :) hehe
Rok

Zgodovina sprememb…

  • spremenil: Oven-2k ()

Mavrik ::

Kaj pa če te zasuva s takimi paketki, ki zahtevajo odgovor (recimo ping) in ti zabaše upload? Kaj ti potem pomaga 1 GB downstreama?
The truth is rarely pure and never simple.

Oven-2k ::

Ja zato pa obstajajo firewalli. Če dobiš 10 pingov v 1 sekundi iz enga naslova, potem je logično da gre za napad in ti bo nadaljne pinge dober firewall blokiral. Vsaj moj naredi tako. Meni sicer to ne pomaga ker mi 1mbit download takoj zabaše, tako da ne-odgovarjanje na pinge ne bi bila rešitev. To, da bi bil upload nekaj trenutkov zabasan, preden firewall pokapira, da gre za napad in da blokira IPje vseh računalnikov, vključenih v napad, pa že ni tako kritično kot popolen mrk interneta za dalj časa.
Rok

ERGY ::

Kaj pa ko bi bil nek filter, ki bi zaznal kdaj pride do nenadnega prihoda cudnih zahtevkov(neke vrste pingi kar koli ze je) in skusal obvestit oz poslat informacijo ispju od koder pride napad oz vec ispjem kolikor ipjev je pac prisotnih v napadu in potem isklopit tujino za tiste ipje(napadalce) k posiljajo na dolocen ip(zrtev) pakete ki povzrocajo obremenitev.
S tem bi pomoje nahitro omilili napad in potem nekako skusali priti do tistega pobeta ki to pocne. Verjetno zgleda cudno, naj se ksn napise svoj predlog :))))


LP

qlman ::

fiction ipv6 se da dobit ipv4 to sm mislu z reslovanjem.
Samo ce znas, ima pa vsak tunel brocker razlicno.

Zgodovina sprememb…

  • spremenil: qlman ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ne morem dostopoati do določene spletne strani?!

Oddelek: Omrežja in internet
152653 (1999) SeMiNeSanja
»

blackhole "zascita"

Oddelek: Informacijska varnost
91981 (1353) fiction
»

Kaj mi je storiti? DOS attack (strani: 1 2 )

Oddelek: Omrežja in internet
506185 (4889) SaXsIm
»

Razbito omrežje 100.000 "zombijev"

Oddelek: Novice / Varnost
485461 (4018) fahrenGONE
»

Napadi na IRCu

Oddelek: Omrežja in internet
301809 (1085) SubOrbit

Več podobnih tem