Dá se vůbec nějak ochránit před DDoS útokem?

[gargamel]

nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip  treba 50 000

Tak to nepotrebuju delat ddos, pocitam ze mas zablokovanej uz ted celej net, takze si mi usetril praci, protoze z http req poznas leda hovno.

Jediny co mas je totiz IPcko a user agent, kamz si muzu napsat co chci.

z toho HTTP requestu mam mnohem vic nez si v tuhle chvili myslis

Sakra, je to divný, ale zase se musím jéčka zastat... z requestu prostě víš prd. Jak napsal, víš IP, víš UA a maximálně víš čas od předchozího requestu, takže můžeš detekovat, jak rychle uživatel/darebný_skript kliká na tvých stránkách a kam. Proti script kiddies užitečné, jinak na nic.

zase jsi vedle. Neckejte, ze vam budu rikat, jakym zpusobem to lze detekovat. Zda se, ze je o tom  minimalni povedomi, coz je dobre.  Kazdopadne podobny zpusob detekce pouziva treba i  Incapsula

To ze mi tim shodite na chvili nechraneny server je bez debat, ja ale velmi rychle ze specialnich logu s velkou presnosti zanalyzuju problemove IP a zahodim je bud na firewallu nebo je muzu dodat poskytovateli antiddos

samozrejme pokud utocnik 100% vi co dela, tak to nebude fungovat, ale to evidentne neni pripad v tehle diskuzi

zdar

[Reklama]

[Host]

Hehe
Trochu som hľadal a google našiel o tom jednu diplomovku:

https://www.vutbr.cz/www_base/zav_prace_soubor_verejne.php?file_id=101410

[j]

zase jsi vedle. Neckejte, ze vam budu rikat, jakym zpusobem to lze detekovat. Zda se, ze je o tom  minimalni povedomi, coz je dobre.  Kazdopadne podobny zpusob detekce pouziva treba i  Incapsula

To ze mi tim shodite na chvili nechraneny server je bez debat, ja ale velmi rychle ze specialnich logu s velkou presnosti zanalyzuju problemove IP a zahodim je bud na firewallu nebo je muzu dodat poskytovateli antiddos

samozrejme pokud utocnik 100% vi co dela, tak to nebude fungovat, ale to evidentne neni pripad v tehle diskuzi

zdar

jinak receno, vis o tom kulovy a zvasnis naproto z cesty ... jo, taky tu mam cernocha co provozuje woodoo, a rika ze zvlada vsechno ...

[Tuxik]

Tak to mi ho vyndey... speciální logy, zablokovat IP, blablalba... to bude asi nějakej speciální server se speciální konektivitou a speciálním adminem... asi to bude to woodoo...

[jrehak]

zase jsi vedle. Neckejte, ze vam budu rikat, jakym zpusobem to lze detekovat. Zda se, ze je o tom  minimalni povedomi, coz je dobre.  Kazdopadne podobny zpusob detekce pouziva treba i  Incapsula

To ze mi tim shodite na chvili nechraneny server je bez debat, ja ale velmi rychle ze specialnich logu s velkou presnosti zanalyzuju problemove IP a zahodim je bud na firewallu nebo je muzu dodat poskytovateli antiddos

samozrejme pokud utocnik 100% vi co dela, tak to nebude fungovat, ale to evidentne neni pripad v tehle diskuzi

zdar

jinak receno, vis o tom kulovy a zvasnis naproto z cesty ... jo, taky tu mam cernocha co provozuje woodoo, a rika ze zvlada vsechno ...

Skor si mysli, ze security by obscurity pomoze. Nema pravdu.
Nie je to take zlozite a utocnik to napodobni, lebo ma vyhodu prveho tahu.

Obycajne sa zacina nastavenim unikatnej cookie a presmerovanim na "tajnu" stranku s hashom tej cookie. U lajdakov bude tato cookie vzdy prazdna alebo sa pouzije vzdy jedna hodnota a da sa to lahko dropnut. Na "tajnej" stranke sa overi, ze prehliadac je naozaj tym, za co sa vydava. HTML/JS okolo moze byt zmrsene tak, aby cez to napriklad nepresiel Firefox X.Y.Z.A, ktory sa hlasi ako Firefox X.Y.Z.B. To zapise, ze Cookie uz nepotrebuje overovanie. Niekto pouziva agresivny JS, ale staci HTML.
Ak nieco nesedi alebo ste pod utokom a nejde o bezny config, tak captcha.

Kazdy prehliadac sa chova trocha inak, napriklad konkretny User agent ma vzdy rovnake poradie hlaviciek a ich typ. Niektore hlavicky sa vzdy vyskytuju a su rovnake u kazdeho prehliadaca jednej verzie - napr. Accept alebo Accept-Encoding. Prehliadace sa vzdy snazia drzat otvorene spojenie (Connection: keep-alive) a potom spojenie naozaj drzia otvorene.
Novsie prehliadace posielaju Upgrade-Insecure-Requests: 1 ako odpoved na CSP hlavicku a tak dalej.

Moznosti je vela, ale vyuziva sa ich iba par.

[Reklama]

[Lol Phirae]

Neckejte, ze vam budu rikat, jakym zpusobem to lze detekovat. Zda se, ze je o tom  minimalni povedomi, coz je dobre. 

Jsme toho Grilla koukám přivolali... 

[Hobbit...]

pokud jde o packetovej (pocet packetu) nebo volumetrickej utok (velikost packetu)
tak jsi vetsinou v haji.

dneska je u nas naprosto nejbeznejsi objem utoku cca 300-400k pps a/nebo 2-6Gb.

Da se sice nasadit "pracka", kterazto umi provoz vycistit (propusti jenom regulerni provoz, zbytek zahodi), ale:
1) jsou drahy jak prase (mluvime o radu milionu korun za jednu pracku)
2) nektere firmy tyto pracky nabizeji jako sluzbu (pracku maji a v pripade problemu ti skrz ni provoz protahnou, samozrejme za poplatek)
3) musi byt umisteny na pateri, privod v dnesni dobe musi byt alespon 10Gb, aby se do nej vesel cely ten utok pred procistenim


Jestli te to zajima, mrkni treba na radware.

dalsi moznost je rozlozeni zateze, napr pres cloudfront, nebo jaxe ta sluzba jmenuje.

No a obycejny clovek ma proste smulu.

[Kristian]

https://github.com/pavel-odintsov/fastnetmon



Fastnetmon vie detekovat utoky a spustit script po detekci, napr. blackholovat

[JardaA]

pokud jde o packetovej (pocet packetu) nebo volumetrickej utok (velikost packetu)
tak jsi vetsinou v haji.

dneska je u nas naprosto nejbeznejsi objem utoku cca 300-400k pps a/nebo 2-6Gb.

Co třeba RTBH? Nebo uRPF? Počítá s tím v někdo? Teoreticky by to pomoci, samozřejmě za cenu příslušných negativních dopadů.

[lenoch]

Ja se fakt tesim na dobu az budou na armadni site utocit nemocnicni zarovky =D Armada kontaktuje ISP a to odstrihne nemocnic od internetu, tim se nebude moc updatovat cas na kapackach nebo kalibrovat rentgeny. Si jeste uzijem srandy kopec. "Internet of mad things".