Fórum Root.cz
Hlavní témata => Server => Téma založeno: Vojtěch Hutla 04. 01. 2014, 13:29:38
-
Zdravím,
ne, že by se mi to někdy stalo, ale chtěl bych se zeptat, jestli existuje nějaký postup, jak zachránit server, když na něj probíhá útok? Jak řeší datacentra třeba DDoS útoky? Je možné server zachránit, nebo prostě počkat, až spadne a nahodit ho znovu?
-
CloudFlare napriklad, asi aj nejake ine sluzby. Utok potom ide na ich a k tebe prepustaju len to co tam ma ist.
-
Proc by mel server pri ddos spadnout? To nechapu. Taky mi neni jasne, co chces na servru "zachranovat"...
-
Možností jak chránit server když už dojde tvrdé na tvrdé je dost, ale otázkou je chránit před čím?
Jde přímo o průnik na server nebo jen obyčejný DDoS?
-
No, nás tohle v minulosti dost trápilo, dělali nám DDoS třeba na server OVB, nejsnazší řešení bylo rychle překlopit DNS na jinou ip, útočníci nestačili tak rychle reagovat a zachránilo nás to. :) Ovšem nevidím důvod proč by to mělo "shazovat" server, to je nějakáblbost, ne? :)))
-
Preklopit DNS zaznam na jinou adresu pomerne dlouho trva v zavislosti na TTL a navic, pri DDoS na jmeno serveru misto IP to moc nepomuze, nakolik potencialne nove utocici stroje dostanou nove DNS a utok pojede dal.
Jedna-li se o nejaky uzky rozsah ip, nebo dokonce jen DoS, lze to rest zakazanim IP na firewallu vetsinou ale blackholingem za pomoci ISP nebo pripadne na vlastnich routerech. Proste se skodlive rozsahy poslou do ztracena.
DDoS zpusobi ve vetsine pripadu nedostupnost sluzby pripadne sluzeb a v extremnich pripadech muze i schodit server pri spatne konfiguraci vycerpanim prostredku, nicmene server samotny nijak neposkodi. Dokonala ochrana neexistuje. Zalezi na typu utoku a je to o kompromisu a ceste mensiho zla.
-
No tak pochopitelně musíte snižit ttl. :P Já uvedl reálný případ z praxe kde i toto bylo řešením.
-
Snizeni TTL v prubehu utoku abych mohl zmenit moc nepomuze, kdyz k vlastni zmene TTL beztak dojde az pri znovunacteni DNS zaznamu na konci puvodniho TTL :P.
Nicmene priklad byl dobrej, ja se spatne vyjadril, omlouvam se. Casto zmena IP skutecne staci a vyresi problem.
-
Jedna-li se o nejaky uzky rozsah ip, nebo dokonce jen DoS, lze to rest zakazanim IP na firewallu vetsinou ale blackholingem za pomoci ISP nebo pripadne na vlastnich routerech. Proste se skodlive rozsahy poslou do ztracena.
Ja som teoretik ale nie su na toto hotove riesenia? Zisti sa podozrive spravania a prekonfiguruje sa firewall (integrovane riesenie).
-
To jozo:
Co je podezrele chovani? Abys mohl prekonfigurovat firewall, tak musis vedet co presne delas. Neexistuje maxicka formule "Block DDoS". Je treba rozlisit validni trafik od toho skodliveho, coz casto taky neni vubec jednoduche pokud uz chces neco zakazovat na firewallu, tak je treba vedet co. DoS utoku se zbavis snadno odpojenim sluzby, ale to je prave cilem utoku, aby sluzba nebyla dostupna a zase se dostaneme k tomu, ze jde o cestu nejmensiho zla. Zacpy ve meste taky muzes vyresit zakazem vjezdu vsech vozidel, ale bylo by to kontraproduktivni, tak musis hledat zpusob, jak doprave uvnitr ulevit ruznyma obchvatama, okruhama, tunelama etc. a presmerovat provoz, ktery neni nezbytny jinam. Na to ale potrebujes dobry mechanismus, ktery bude efektivne tenhle provoz rozdelovat. Navic i vlastni vykonavani pravidel firewallem muze byt pomerne narocne a cim vice pravidly musi paket projit, tim hure pro celkovy vykon systemu a to nejen pro primo cilenou sluzbu.
-
Jak řeší datacentra třeba DDoS útoky? Je možné server zachránit, nebo prostě počkat, až spadne a nahodit ho znovu?
Su na to riesenia chraniace skor jednotlive servery, ale tie stacia len do nejakeho trafficu. Toto neriesi problemy so slabou konektivitou, ktora sa riesi hlavne lepsim pripojenim.
Pri vacsich DDoSoch by sa to malo riesit tak, ze sa pomocou RTBH zacne cez BGP advertisovat ten rozsah idealne dost daleko, cim cast sveta strati moznost sa pripojit k danej IP a zaroven aj utocit na nu.
Tu spominany firewall to mozno riesi, ale Linuxacky iptables urcite nie. Mam tu skusenost, ze pri malom slabom DDoSe trochu pocititelnom na behu servera pridanie dropovania tych IP server prakticky odrovnalo; po vypnuti iptables som prestal pocitovat DDoS, aj ked utok este trochu zosilnel.
-
DDoS lze různými metodami ztížit, úplně zamezit mu ale nejde - pokud bude mít útočník kvalitní botnet, nic ti nepomůže.
Nějaké možnosti ztížení (zvýší útočníkovi náklady, případně mohou slabší útoky odrazit úplně): TCP syn cookies, odříznutí dané sítě (pokud to přichází třeba z nějaké země; příchozí provoz bude zahlcovat furt, ale nebudeš na to reagovat, navíc se to dá udělat „výše“ u nadřazeného ISP, tak ti ten DDoS nedoteče až domů), selektivní propagace null routy někam jinam (opět odřízne nějakou část sítě, vyžaduje větší rozsah/možná celý AS a možnost kecat do BGP).
-
To jozo:
Co je podezrele chovani?
Take konanie nie je treba explicitne blokovat a teda to nie je treba vediet.
Vo firme mame loadbalancery, ktore zvladaju osekavat SSL z HTTPS, cacheovat caste staticke odpovede a zaroven data posielaju po par dopredu otvorenych spojeniach serverom. Toto (a aj selektivne blokovanie do nejakej velkosti) zvladaju dobre do pomerne velkeho toku.
Toto je tiez forma ochrany. Chrani proti slowloris, syn floodu a par dalsim veciam, aj ked konkretne toto chovanie nie je nikde specifikovane. Blokuje sa uz tym, ze nieco nie je dost dobre na to, aby to preslo.
-
Jak řeší datacentra třeba DDoS útoky? Je možné server zachránit, nebo prostě počkat, až spadne a nahodit ho znovu?
Pekny prehled typu DDoS utoku a konkretnich zpusbu jak s nimi nalozit uvedl Martin Cmelik ve sve prezentaci
http://www.security-session.cz/2013/Practical_steps_to_mitigate_DDoS_attacks.pdf (http://www.security-session.cz/2013/Practical_steps_to_mitigate_DDoS_attacks.pdf)
Michal Ambroz
-
Jakejkoliv utok predpoklada zajimavost cile, takze fajn borci co klopi DNS a mysli, ze to k necemu bude, ale proc kurva nematei jiny veci v zaloze? Proc ste maly nepoucen devky co skuhrate na uhrovatym foru o rady? To ty love teprv hodlas vydelat nebo ti je snad nekdo po tom denialu vrati? SE proliskej debilej a c.a.u....@#%%
-
To jozo:
Co je podezrele chovani? Abys mohl prekonfigurovat firewall, tak musis vedet co presne delas. Neexistuje maxicka formule "Block DDoS". Je treba rozlisit validni trafik od toho skodliveho, coz casto taky neni vubec jednoduche pokud uz chces neco zakazovat na firewallu, tak je treba vedet co.
Utok nie je len DDoS a to, ci je chovanie podozrele zisti presne tak, ako zistuju virusy antivirusy. Bud porovnanim so znamou vzorkou (akurat ide o vzorku komunikacie, nie suboru) alebo heuristikou. A tak, ako ti da antivirak subor do karanteny, toto by malo samo vediet dat do karanteny (rozumej bloknut kominikaciu) potencialneho utocnika automatickou rekonfiguraciou firewallu.