» »

blackhole "zascita"

blackhole "zascita"

'FireSTORM' ::

zakaj se sploh uporabnike daja tja?
ddos napad vem...se kaj drugega?
in ali ISP mora uporabnika brisat ven ko to uporabnik zahteva ali pac moras pocakat tist par urc da te brisejo?

za sebe vem da nisem bil ddosan in danes okrog petih popoldan so me picl u blackhole
Those penguins.... They sure aint normal....

OmegaBlue ::

To dela siol. Uporabnike se rukne v blackhole ko se opazi naenkrat povečan (predvidevam UDP promet) iz tujine in IP/uporabnik tam ostane za 24ur. Siol te noče odstraniti pred iztekom tega časa (klic kolegu na siolu je meni pomagal). Če pa je dolžen te odstraniti pa nevem.
Never attribute to malice that which can be adequately explained by stupidity.

sverde21 ::

A reconnect ne pomaga? Če imaš dinamiko, se ti IP zamenja in DDoS leti v prazno... :\ razn, če si na IRCu ali kaj podobnega, da spet najdejo tvoj IP, na katerega te DDoSajo.
<?php echo `w`; ?>

CaqKa ::

kaj pa je ( blackhole)?

/edit našel, glej zgornji link..

to pomeni da ti potem takem v bistvu VES incoming promet propade? kar pomeni da ti dejansko net več ne dela?

Zgodovina sprememb…

  • spremenil: CaqKa ()

OmegaBlue ::

Siol samo tujino noter verže, slovensko omrežje "dela"
Never attribute to malice that which can be adequately explained by stupidity.

CaqKa ::

torej če si slovenski proxy nastaviš si lahko ustvariš delno funkcionalnost tudi tujine čeprav si v blackhole?

OmegaBlue ::

tako je.
Never attribute to malice that which can be adequately explained by stupidity.

fiction ::

Blackhole sploh ni slaba zadeva, ce bi lahko vse skupaj sam (preko nekega webinterfaca) spreminjal.
Samo najbrz je to treba narediti na routerjih in kaksna varnostna pomankljivost bi bila katastrofalna.

A lahko tudi sam zahtevas, da te dajo v "blackhole"? Ali pa recimo, da noces sprejemati traffica iz IP-jev, ki spadajo
pod APNIC? :)

Drugace se nek podoben princip uporablja tudi za IRC serverje. Nekateri IP rangi so announcani preko BGP-ja
le lokalno na SIX-u in ne globalno. Zato se ljudje iz tujine sploh ne morejo povezati na njih, niti jih napasti.

'FireSTORM' ::

am
IRC serveri majo pa blokirane vse IPje, čist vse, ves range
in potem dodane IP range od vseh svojih ISPjev pod allow
torej samo če maš tam v tisti državi en računalnik lahko dostopaš do določenega strežnikam, vse ostalo je pa DROP
in da se jih napasti iz tujine, ker majo DROP samo na portih 6666, 6667,6668,6669 oz. njihovih IRC portih

zakaj pa misliš da se da IRC server DDOS-at?

in blackhole ti blokira samo tujino, slovenski IPji še ostanejo

glede umikanja v blackhole na uporabnikovo zahtevo pa mislim da tega ne delajo
sicer je to zelo uporabno
in če maš dinamičen IP, mi pri punci mamo dinamičen IP in je že nekaj časa vedno enak :)
DDOS je le DDOS, boljše je če ga ne fašeš pa če maš dinamičen IP ali ne..
Those penguins.... They sure aint normal....

Zgodovina sprememb…

fiction ::

Eno je to kaj imas v konfiguraciji ircd-ja (torej v ircd.conf), drugo pa
kaj dejansko firewall blokira. I:line v ircd.conf (kjer lahko uporabljas
tudi wildcarde poleg ip/cidr notacije) ponavadi zgeneriras
iz RIPE/ARIN.. db. Teh zadev je kar nekaj. Pravil v firewallu pa nimas
toliko oz. je neumno ce bi jih imel. Pac pustis vsem da se povezejo
in naj jih potem ircd zavrne. Trust me, I know what I am speaking about.

Iz lastnih izkusenj ti lahko povem:
- ko je sel promet od Siola do Triere preko tujine (in ne preko SIX-a)
ker se niso mogli zmenit za peering - irc.triera.si za Siolove uporabnike
ni bil dosegljiv.
Torej ni samo DROP rule za vse IP-je ki niso slovenski (to bi bilo jako tezko
vzdrzevati BTW), ampak je fora v tem, da tuj ISP sploh ne dobi informacije o tem
kako naj dolocen IP usmerja in zato traffic iz tujine nikoli ne pride k tebi. In pod
'blackhole' je misljeno to.
Seveda se da zadevo napasti se vedno s slovenskih IP-jev, ampak
to je se zmeraj bolje kot n-krat hujsi napad iz recimo Koreje
(ki ni ravno znana pod tem da ima updatane streznike oz. da bi bil njihov
abuse@ kontakt ravno prevec kooperativen)
- isto je tudi z Estonskimi IRC serverji (preko IPv4 niso dosegljivi razen v
Estoniji)

Ce imas dinamicen IP, se pac na novo povezes, dobis drug IP in ne cutis
vec napada, ampak fora je, da tvoj ISP pa se zmeraj dobiva
pakete. Ce bi bil tvoj IP iz ranga, ki je announcan samo preko SIX-a
tvoj ISP ne bi dobil niti enega paketa iz tujine. Razen ce bi napadalec
napadal direktno tvoj ISP (recimo IP od webserverja ali kaj takega).

Dinamicni IP-ji so itak obsolete. Pri IPv6 ne bo vec potrebe po tem imho.
Vse skupaj je bilo uporabno v casu ko je recimo ISP imel neko C-klas omrezje
(z 254 uporabnimi IP-ji) ter 300 strank. In potem je rekel:
saj itak ne bo vseh 300 online istocasno. :)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

IRC server [irc.arnes.si] NI POVEZAVE (strani: 1 2 )

Oddelek: Omrežja in internet
658372 (4119) D3m

NLB Klik

Oddelek: Pomoč in nasveti
459723 (8596) Gandalfar
»

DDos-anje

Oddelek: Informacijska varnost
172478 (2251) DeeCoy
»

Kaj mi je storiti? DOS attack (strani: 1 2 )

Oddelek: Omrežja in internet
506581 (5285) SaXsIm
»

Ddos

Oddelek: Omrežja in internet
252781 (2219) qlman

Več podobnih tem