Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: ddosucks 29. 12. 2016, 20:49:45
-
I kdybych vymyslel sebelepší ochranu u sebe na serveru, tak stejně budou totálně zahlcené routery, které vedou ke mně, takže budou strašné lagy, ne?
-
U sebe uz nic nevymyslis, obecne i vetsina poskytovatelu ma omezene prostredky (ddos na urovni 10G tezko zvladat) a musis jit na uroven NICu. Muzes si zaplatit drahe CDN reseni ala Akamai (s aplikacnim firewallem, ddos protection, siteshieldem) a tim se schovat pred svetem, ale i tak se daji delat utoky (treba DNS amplifier) a pak uz nezbyva nez po dohode s ISP vypinat provoz na jednotlive IP, pripadne sve sluzby stehovat na jine IP/rozsahy.
-
I kdybych vymyslel sebelepší ochranu u sebe na serveru, tak stejně budou totálně zahlcené routery, které vedou ke mně, takže budou strašné lagy, ne?
JJ v podstate to tak je, ciste teoreticky muzes mit vse extremne nadimenzované, extremni HW, nekolik poskytovatelu konektivity atd, ale obecne je to neresitelny ukol.
-
Co takhle Cloudflare?
-
1. Akamai, AmazonS3, proste geograficky diferencovat.
2. Web nakodovany stylem "offline first".
3. Aliasy a oddelene IP, bezna prax v pornobranzi, ten samy obsah ale uplne jine domeny a IP.
4. Vubec to neresit, proste se den, dva se k vam nekdo nepripoji, a co?
-
4. Vubec to neresit, proste se den, dva se k vam nekdo nepripoji, a co?
Tohle pobavilo... třeba eshopu 14 dní před vánocema by se asi tento přístup úplně nelíbil :D
Jinak k původní otázce - ne, až na serveru se to na 100 procent vyřešit prostě nedá.
-
OVH maji technologii, ktera odbavi nektere druhy utoku v radu Tbps
Co vsechno to ale detekuje to nevim..
Layer 7 DDoS si asi kazdy musi zanalyzovat a vyfiltrovat sam.
-
OVH maji technologii, ktera odbavi nektere druhy utoku v radu Tbps
Co vsechno to ale detekuje to nevim..
Layer 7 DDoS si asi kazdy musi zanalyzovat a vyfiltrovat sam.
Trochu bych upřesnil rozdíl mezi DoS a DDoS
DoS - Denial of Service - jedná se útok způsobující výpadek služby, často přímo její pád na serveru, může to být využití nějaké chyby, může na to stačit klidně jediný packet a toto je třeba řešit na serveru, typicky se jedná o útok právě na layer 7
DDoS - Distributed Denial of Service - může být to samé jak DoS, jen z velkého množství zařízení, ale častěji jde spíše o přetížení dané služby, než její skutečné odstavení. Buď jde o útok, při kterém je vyčerpán max connections a šance na úspěšné připojení reálného klienta se limitně blíží nule, nebo to může být třeba obyčejný ping, který pouze vytíží konektivitu na tolik, že si nikdo ani neškrtne. V tomto případě na serveru nepořešíte nic, protože zahozený packet na serveru stejně ubírá v jednom směru konektivitu.
-
https://www.root.cz/vyhledavani/?qs=ddos+iinfo
-
I kdybych vymyslel sebelepší ochranu u sebe na serveru, tak stejně budou totálně zahlcené routery, které vedou ke mně, takže budou strašné lagy, ne?
Myslim, že jestli vymyslíš "sebelepší ochranu u sebe na serveru" tak vyděláš obrovské peníze. Masivní DDoS reálně nedokáží řešit ani velké firmy. Podle mě je jedinné řešení detekce zdrojů a jejich blokace, což nezvládneš.
-
Kdyz mu ucpou linku, tak u sebe na serveru uz muze resit leda tak to, aby mu ten server nelehnul.
-
Čítal som tento článok: http://www.zive.sk/clanok/117853/detaily-o-utoku-na-peticiu-za-odvolanie-ministra-olano-problem-vyriesilo (http://www.zive.sk/clanok/117853/detaily-o-utoku-na-peticiu-za-odvolanie-ministra-olano-problem-vyriesilo)
Zaujala ma veta Prvý útok sa dal odraziť na základe veľkosti paketov a MAC adries.
Vieme dropovať prevádzku na základe veľkosti paketov cez iptables (a/alebo v spolupraci s Snortom/Suricata)?
-
Čítal som tento článok: http://www.zive.sk/clanok/117853/detaily-o-utoku-na-peticiu-za-odvolanie-ministra-olano-problem-vyriesilo (http://www.zive.sk/clanok/117853/detaily-o-utoku-na-peticiu-za-odvolanie-ministra-olano-problem-vyriesilo)
Zaujala ma veta Prvý útok sa dal odraziť na základe veľkosti paketov a MAC adries.
Vieme dropovať prevádzku na základe veľkosti paketov cez iptables (a/alebo v spolupraci s Snortom/Suricata)?
¨
Umíme
iptables -A INPUT -p tcp -m length --length 120:122 -j DROPZahodí všechny TCP packety velikosti 120 až 122 bytů
-
Umíme
iptables -A INPUT -p tcp -m length --length 120:122 -j DROPZahodí všechny TCP packety velikosti 120 až 122 bytů
Ovsem utok muzes povazovat za odrazeny pouze tehdy, pokud ti ty pakety nevytizi linku tak, ze se tam uz nic jineho nez DSoS pakety nedostane. Takze ti treba nelehne server, ale stejneho ucinky bys dosahl vytazenim sitoveho kabelu.
-
Umíme
iptables -A INPUT -p tcp -m length --length 120:122 -j DROPZahodí všechny TCP packety velikosti 120 až 122 bytů
Ovsem utok muzes povazovat za odrazeny pouze tehdy, pokud ti ty pakety nevytizi linku tak, ze se tam uz nic jineho nez DSoS pakety nedostane. Takze ti treba nelehne server, ale stejneho ucinky bys dosahl vytazenim sitoveho kabelu.
No to jsem říkal hned, ale někdo chtěl filtrovat podle velikosti, ať filtruje :)
-
I kdybych vymyslel sebelepší ochranu u sebe na serveru, tak stejně budou totálně zahlcené routery, které vedou ke mně, takže budou strašné lagy, ne?[/quota]
Ked mas 1 server za 1 routerom na 1 mieste a ten generuje necacheovatelny content, tak ano a neubranis sa ani malemu 10Gbps DDoS.
Ked ich mas viac na viac miestach alebo vyuzivas CDN, tak ta niekto len tak nezhodi. Nie je to 100 percentne, ale na Akamai alebo CloudFlare uz male gigabity nestacia.
-
4. Vubec to neresit, proste se den, dva se k vam nekdo nepripoji, a co?
Tohle pobavilo... třeba eshopu 14 dní před vánocema by se asi tento přístup úplně nelíbil :D
Jinak k původní otázce - ne, až na serveru se to na 100 procent vyřešit prostě nedá.
... otazka penez ... o kolik prijdes tim, ze nebudes 2-3 dny prodavat vs kolik utratis za to, ze !mozna! budes.
Jinak ddos resitelny je, ale ne standardnima metodama. Napriklad freenet je zajimava ukazka. Obsah je distribuovanej (v zavislosti na zajmu) klidne na desitky tisic nodu => tvoje sit muze byt v principu srovnatelne velka nebo i vetsi nez sit DOSare. Abys pak sajtu vyradil, musel bys defakto slozit tu sit celou (nebo aspon vsechny nody na kterych jsou data cilovy sajty), a to je precijen ponekud jinsi problem, nez sejmout jedno (nebo i nekolik) AS (coz odpovida tem "cmoudum").
Ovsem utok muzes povazovat za odrazeny pouze tehdy, pokud ti ty pakety nevytizi linku tak, ze se tam uz nic jineho nez DSoS pakety nedostane. Takze ti treba nelehne server, ale stejneho ucinky bys dosahl vytazenim sitoveho kabelu.
On ti ten srv lehne na CPu driv nez na linku, protoze kazdej ten paket musi CPU zpracovat, a ten zvladne jen pomerne omezene paketu/s. Pricemz bych skoro rek, ze zatizeni toho filtru bude srovnatelny s dorucenim paketu a generovanim reakce na nej.
-
On ti ten srv lehne na CPu driv nez na linku, protoze kazdej ten paket musi CPU zpracovat, a ten zvladne jen pomerne omezene paketu/s. Pricemz bych skoro rek, ze zatizeni toho filtru bude srovnatelny s dorucenim paketu a generovanim reakce na nej.
Toz to musis filtrovat pred serverem, nejakou specializovanou pixlou.
-
https://fe.nix.cz/
-
Toz to musis filtrovat pred serverem, nejakou specializovanou pixlou.
To ti je stejne na kulovy ... protoze kdybych mel generovat ddos na web (kuprikladu) tak proste z toho milionu routeru pustim neco jako wget http(s)://tvuj.web > /dev/null. A budu to poustet trebas v intevalu jedny minuty na kazdym. Radostne se pak pridaj jeste i realni uzivatele, kteri budou delat totez rucne. Takze to bud odstrelis vsechno (a budes off) nebo to neodstrelis a pude do kopru srv (a budes off).
Muzes se s tim zkusit poprat vykonem(aneb kdyz to nejde silou zkus vetsi silu), coz ovsem na druhou stranu bude znamenat $$$, tzn nemuzes vyhrat.
-
Toz to musis filtrovat pred serverem, nejakou specializovanou pixlou.
To ti je stejne na kulovy ... protoze kdybych mel generovat ddos na web (kuprikladu) tak proste z toho milionu routeru pustim neco jako wget http(s)://tvuj.web > /dev/null. A budu to poustet trebas v intevalu jedny minuty na kazdym. Radostne se pak pridaj jeste i realni uzivatele, kteri budou delat totez rucne. Takze to bud odstrelis vsechno (a budes off) nebo to neodstrelis a pude do kopru srv (a budes off).
Muzes se s tim zkusit poprat vykonem(aneb kdyz to nejde silou zkus vetsi silu), coz ovsem na druhou stranu bude znamenat $$$, tzn nemuzes vyhrat.
tak zrovna tak trivialni to pro kompetentniho utocnika neni, wget snadno detekujes at pouziva jakykoliv user-agent
kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru jinak ho detekujes jak nic
-
kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru jinak ho detekujes jak nic
A to jako proc? ... aby vubec mel pripadne co vykonavat, tak mu musis poslat to html, musis mu poslat ty js ... a kdyz to budes posilat milionkrat za vterinu, tak se tvuj srv upece. A fakt by me zajimalo, co ze to chces detekovat na nejzakladnejsim http requestu ... kterej potazmo muzu klidne poslat i z telnetu a spoustou jinych zpusobu.
-
kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru jinak ho detekujes jak nic
A to jako proc? ... aby vubec mel pripadne co vykonavat, tak mu musis poslat to html, musis mu poslat ty js ... a kdyz to budes posilat milionkrat za vterinu, tak se tvuj srv upece. A fakt by me zajimalo, co ze to chces detekovat na nejzakladnejsim http requestu ... kterej potazmo muzu klidne poslat i z telnetu a spoustou jinych zpusobu.
nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip treba 50 000
-
kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru jinak ho detekujes jak nic
A to jako proc? ... aby vubec mel pripadne co vykonavat, tak mu musis poslat to html, musis mu poslat ty js ... a kdyz to budes posilat milionkrat za vterinu, tak se tvuj srv upece. A fakt by me zajimalo, co ze to chces detekovat na nejzakladnejsim http requestu ... kterej potazmo muzu klidne poslat i z telnetu a spoustou jinych zpusobu.
nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip treba 50 000
Na detekci jsou potřeba data. Data nezískáš po prvním načtení stránky, pokud je útočník alespoň trochu chytrej a pokud nechceš zároveň s útočníkem odstřihnout i korektní provoz. V případě, že bude mít útočník k dispozici 50k IP adres (ideálně z různých rozsahů - třeba přes různé veřejné proxy), bude právě ta snaha ho odhalit to první, co ti tvůj server při útoku zabije. Až na serveru (pokud máš dostatečnou konektivitu) odstřihneš maximálně script kiddies, ale proti aspoň trochu sofistikovanému útoku nemáš šanci. Mimochodem, na DDoS je důležitý to první "D", znamená Distributed, pokud je útok veden zároveň z mnoha míst, nenaděláš nic. Pokud se dostaneš do síly útoku v řádech desítek Gbit, pomůže ti filtrování někde na uzlu, pokud to budou stovky, pak už tě spasí snad jen CDN a ani to nevyloučí lokální nedostupnost.
-
kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru jinak ho detekujes jak nic
A to jako proc? ... aby vubec mel pripadne co vykonavat, tak mu musis poslat to html, musis mu poslat ty js ... a kdyz to budes posilat milionkrat za vterinu, tak se tvuj srv upece. A fakt by me zajimalo, co ze to chces detekovat na nejzakladnejsim http requestu ... kterej potazmo muzu klidne poslat i z telnetu a spoustou jinych zpusobu.
nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip treba 50 000
Na detekci jsou potřeba data. Data nezískáš po prvním načtení stránky, pokud je útočník alespoň trochu chytrej a pokud nechceš zároveň s útočníkem odstřihnout i korektní provoz. V případě, že bude mít útočník k dispozici 50k IP adres (ideálně z různých rozsahů - třeba přes různé veřejné proxy), bude právě ta snaha ho odhalit to první, co ti tvůj server při útoku zabije. Až na serveru (pokud máš dostatečnou konektivitu) odstřihneš maximálně script kiddies, ale proti aspoň trochu sofistikovanému útoku nemáš šanci. Mimochodem, na DDoS je důležitý to první "D", znamená Distributed, pokud je útok veden zároveň z mnoha míst, nenaděláš nic. Pokud se dostaneš do síly útoku v řádech desítek Gbit, pomůže ti filtrování někde na uzlu, pokud to budou stovky, pak už tě spasí snad jen CDN a ani to nevyloučí lokální nedostupnost.
Sofistikovany utok je presne to co jsem popsal v prvni prispevku...
Ze neziskas data prvni nacteni stranky neni pravda.
Pokud utocnik ani nezpracovava javascript tak ani nepotrebujes nic na svym serveru analyzovat udela to za tebe treba cloudflare
-
nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip treba 50 000
Tak to nepotrebuju delat ddos, pocitam ze mas zablokovanej uz ted celej net, takze si mi usetril praci, protoze z http req poznas leda hovno.
Jediny co mas je totiz IPcko a user agent, kamz si muzu napsat co chci.
-
Marně čekám na nějaký hluboký insight od Herr Grilla... ;D :P
-
nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip treba 50 000
Tak to nepotrebuju delat ddos, pocitam ze mas zablokovanej uz ted celej net, takze si mi usetril praci, protoze z http req poznas leda hovno.
Jediny co mas je totiz IPcko a user agent, kamz si muzu napsat co chci.
z toho HTTP requestu mam mnohem vic nez si v tuhle chvili myslis
-
Pokud utocnik ani nezpracovava javascript tak ani nepotrebujes nic na svym serveru analyzovat udela to za tebe treba cloudflare
Nějak se zapomíná na to, že účelem serveru je poskytovat služby a to v případě služeb veřejných co největšímu počtu lidí, potažmo zákazníků. Pokud si vypnu JS, nebo ho bude mít můj prohlížeč rozbitý, zastaralý, nebo cokoliv podobnýho, jsi ze hry a zákazník jde jinam, protože "tvoje stránky nefungují". To chceš? Chceš aby tvoje řešení bylo závislé na user-side skriptech? Opravdu chceš, aby tvoje řešení bylo závislé na tom, že ti klient reportuje "jak hýbe myší"? Nehledě k tomu, že vyřešit toto na straně útočníka tak, aby se to blbě detekovalo, je trivialita oproti detekci samotné. Takže jsi stále na začátku. Útočník ti posílá "nějaký data", který generuje s prstem v nose na tisících napadených zařízení a ty to musíš na jednom svým serveru analyzovat. Jak jsem řekl, zabiješ si tím vlastní server i v případě relativně slabého útoku, který bys jinak bez problémů ustál.
A jinak ano, cloudflare za tebe něco pořeší, ostatně je to CDN, které jsem zmiňoval jako jednu z variant, ale pořád je u toho třeba trochu myslet.
-
nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip treba 50 000
Tak to nepotrebuju delat ddos, pocitam ze mas zablokovanej uz ted celej net, takze si mi usetril praci, protoze z http req poznas leda hovno.
Jediny co mas je totiz IPcko a user agent, kamz si muzu napsat co chci.
z toho HTTP requestu mam mnohem vic nez si v tuhle chvili myslis
Sakra, je to divný, ale zase se musím jéčka zastat... z requestu prostě víš prd. Jak napsal, víš IP, víš UA a maximálně víš čas od předchozího requestu, takže můžeš detekovat, jak rychle uživatel/darebný_skript kliká na tvých stránkách a kam. Proti script kiddies užitečné, jinak na nic.
-
nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip treba 50 000
Tak to nepotrebuju delat ddos, pocitam ze mas zablokovanej uz ted celej net, takze si mi usetril praci, protoze z http req poznas leda hovno.
Jediny co mas je totiz IPcko a user agent, kamz si muzu napsat co chci.
z toho HTTP requestu mam mnohem vic nez si v tuhle chvili myslis
Sakra, je to divný, ale zase se musím jéčka zastat... z requestu prostě víš prd. Jak napsal, víš IP, víš UA a maximálně víš čas od předchozího requestu, takže můžeš detekovat, jak rychle uživatel/darebný_skript kliká na tvých stránkách a kam. Proti script kiddies užitečné, jinak na nic.
zase jsi vedle. Neckejte, ze vam budu rikat, jakym zpusobem to lze detekovat. Zda se, ze je o tom minimalni povedomi, coz je dobre. Kazdopadne podobny zpusob detekce pouziva treba i Incapsula
To ze mi tim shodite na chvili nechraneny server je bez debat, ja ale velmi rychle ze specialnich logu s velkou presnosti zanalyzuju problemove IP a zahodim je bud na firewallu nebo je muzu dodat poskytovateli antiddos
samozrejme pokud utocnik 100% vi co dela, tak to nebude fungovat, ale to evidentne neni pripad v tehle diskuzi
zdar
-
Hehe
Trochu som hľadal a google našiel o tom jednu diplomovku:
https://www.vutbr.cz/www_base/zav_prace_soubor_verejne.php?file_id=101410
-
zase jsi vedle. Neckejte, ze vam budu rikat, jakym zpusobem to lze detekovat. Zda se, ze je o tom minimalni povedomi, coz je dobre. Kazdopadne podobny zpusob detekce pouziva treba i Incapsula
To ze mi tim shodite na chvili nechraneny server je bez debat, ja ale velmi rychle ze specialnich logu s velkou presnosti zanalyzuju problemove IP a zahodim je bud na firewallu nebo je muzu dodat poskytovateli antiddos
samozrejme pokud utocnik 100% vi co dela, tak to nebude fungovat, ale to evidentne neni pripad v tehle diskuzi
zdar
jinak receno, vis o tom kulovy a zvasnis naproto z cesty ... jo, taky tu mam cernocha co provozuje woodoo, a rika ze zvlada vsechno ...
-
Tak to mi ho vyndey... speciální logy, zablokovat IP, blablalba... to bude asi nějakej speciální server se speciální konektivitou a speciálním adminem... asi to bude to woodoo...
-
zase jsi vedle. Neckejte, ze vam budu rikat, jakym zpusobem to lze detekovat. Zda se, ze je o tom minimalni povedomi, coz je dobre. Kazdopadne podobny zpusob detekce pouziva treba i Incapsula
To ze mi tim shodite na chvili nechraneny server je bez debat, ja ale velmi rychle ze specialnich logu s velkou presnosti zanalyzuju problemove IP a zahodim je bud na firewallu nebo je muzu dodat poskytovateli antiddos
samozrejme pokud utocnik 100% vi co dela, tak to nebude fungovat, ale to evidentne neni pripad v tehle diskuzi
zdar
jinak receno, vis o tom kulovy a zvasnis naproto z cesty ... jo, taky tu mam cernocha co provozuje woodoo, a rika ze zvlada vsechno ...
Skor si mysli, ze security by obscurity pomoze. Nema pravdu.
Nie je to take zlozite a utocnik to napodobni, lebo ma vyhodu prveho tahu.
Obycajne sa zacina nastavenim unikatnej cookie a presmerovanim na "tajnu" stranku s hashom tej cookie. U lajdakov bude tato cookie vzdy prazdna alebo sa pouzije vzdy jedna hodnota a da sa to lahko dropnut. Na "tajnej" stranke sa overi, ze prehliadac je naozaj tym, za co sa vydava. HTML/JS okolo moze byt zmrsene tak, aby cez to napriklad nepresiel Firefox X.Y.Z.A, ktory sa hlasi ako Firefox X.Y.Z.B. To zapise, ze Cookie uz nepotrebuje overovanie. Niekto pouziva agresivny JS, ale staci HTML.
Ak nieco nesedi alebo ste pod utokom a nejde o bezny config, tak captcha.
Kazdy prehliadac sa chova trocha inak, napriklad konkretny User agent ma vzdy rovnake poradie hlaviciek a ich typ. Niektore hlavicky sa vzdy vyskytuju a su rovnake u kazdeho prehliadaca jednej verzie - napr. Accept alebo Accept-Encoding. Prehliadace sa vzdy snazia drzat otvorene spojenie (Connection: keep-alive) a potom spojenie naozaj drzia otvorene.
Novsie prehliadace posielaju Upgrade-Insecure-Requests: 1 ako odpoved na CSP hlavicku a tak dalej.
Moznosti je vela, ale vyuziva sa ich iba par.
-
Neckejte, ze vam budu rikat, jakym zpusobem to lze detekovat. Zda se, ze je o tom minimalni povedomi, coz je dobre.
Jsme toho Grilla (https://forum.root.cz/index.php?topic=14495.msg193548#msg193548) koukám přivolali... ;D ::)
-
pokud jde o packetovej (pocet packetu) nebo volumetrickej utok (velikost packetu)
tak jsi vetsinou v haji.
dneska je u nas naprosto nejbeznejsi objem utoku cca 300-400k pps a/nebo 2-6Gb.
Da se sice nasadit "pracka", kterazto umi provoz vycistit (propusti jenom regulerni provoz, zbytek zahodi), ale:
1) jsou drahy jak prase (mluvime o radu milionu korun za jednu pracku)
2) nektere firmy tyto pracky nabizeji jako sluzbu (pracku maji a v pripade problemu ti skrz ni provoz protahnou, samozrejme za poplatek)
3) musi byt umisteny na pateri, privod v dnesni dobe musi byt alespon 10Gb, aby se do nej vesel cely ten utok pred procistenim
Jestli te to zajima, mrkni treba na radware.
dalsi moznost je rozlozeni zateze, napr pres cloudfront, nebo jaxe ta sluzba jmenuje.
No a obycejny clovek ma proste smulu.
-
https://github.com/pavel-odintsov/fastnetmon
(https://raw.githubusercontent.com/pavel-odintsov/fastnetmon/master/docs/images/network_map.png)
Fastnetmon vie detekovat utoky a spustit script po detekci, napr. blackholovat
-
pokud jde o packetovej (pocet packetu) nebo volumetrickej utok (velikost packetu)
tak jsi vetsinou v haji.
dneska je u nas naprosto nejbeznejsi objem utoku cca 300-400k pps a/nebo 2-6Gb.
Co třeba RTBH? Nebo uRPF? Počítá s tím v někdo? Teoreticky by to pomoci, samozřejmě za cenu příslušných negativních dopadů.
-
Ja se fakt tesim na dobu az budou na armadni site utocit nemocnicni zarovky =D Armada kontaktuje ISP a to odstrihne nemocnic od internetu, tim se nebude moc updatovat cas na kapackach nebo kalibrovat rentgeny. Si jeste uzijem srandy kopec. "Internet of mad things". ;)