DDOS útok na síť providera - řešení?

[Provi]

Mám dotaz pro zkušenější síťaře.

Situace:
Mám připojení v od providera WiFi připojení s aktivní IP v místě, kde existuje již docela přetlak těchto providerů. Po nějaké změně v přepojení a směřování v síti providera se mi začaly objevovat v připojení v odezvě vysoké hodnoty latence, je to velmi nepravidelné, ale dá se říct, že během 7 vteřin se hodnota zvýší latence od 300ms až do 1300ms, jinak se hodnota drží velmi nízko - třeba 10ms na další hop. Osobně si to spojuji s oním přepojení, sám provider potvrdil, že mezi námi vznikl ještě jeden spoj.

Nicméně po výměně komunikace v rámci několika dní se maximálně zlepšila lehce rychlost a velmi vysoké hodnoty se v čase objevují méně. V poslední komunikaci jsem se dozvěděl, že by na síť providera měl probíhat DDOS útok, který má tento problém způsobovat.

Mě tedy zajímá:
1) Jak takový útok provider může potlačit, je to vůbec v silách menšího providera?
2) Je v rámci ČR nějak řešeno nějakou vyšší autoritou (cz.nic) povinnost takový útok hlásit?
3) Pokud tento útok probíhá, nepromítl by se spíše kontinuálním zvýšením latence, než víceméně pravidelným poskočím hodnot nahoru, přičemž rychlost internetu je sama o sobě celkově v pořádku?
4) Poslední, jak takový útok vlastně může probíhat? Útočí se na bránu, nebo na nějaký konkrétní IP adresu či rozsah.
 

[Reklama]

[Pytel Blech]

Za DDOS bych to tak jasne neoznacil. Variant muze byt vice. Od ruseni se vysilacu na podobnych kanalech navzajem, pres naschval povidera kdy 'brzdi' linku, porouchany kus hw az po nejake monitorovaci zarizeni, treba od PCR atd...

[johanson14]

Ziadny DDoS nieje potrebny ak existuje na bezdratovej sieti jeden, alebo viac skrytych uzlov. Vysledok je presne rovnaky ako v pripade nejakeho utoku. Moze sa to prejavovat obcasnym zvysenim latencie v nahodnych casovych intervaloch.

[Provi]

To monitorovací zařízení mě také napadlo, provozoval jsem relay Toru, a jedna z věcí, která pomáhá odhalit konečný bod a průtok informace je právě různě vysoká latence. https://www.freehaven.net/anonbib/cache/esorics10-bandwidth.pdf

Nicméně já bych zůstal u toho tvrzení poskytovatele, který tvrdí, že jde o DDOS přímo na síť, tak by bylo pro mě zajímavé vědět odpovědi na ty mé otázky.

[brk]

Osobně to vidím tak, že buď neví, nebo ti důvod říct nesmí/nechce a tak si vymyslel nějaký DDOS, aby on nebyl ten špatný, ale oběť.

Pokud je tam těch ISP hodně, jak píšeš, tak si můžou dělat i naschvály. Viděl jsem, jak jeden ISP záměrně pootočil anténu konkurenčnímu ISP o pár stupňů. Přesně věděl, co dělá. Pootočil tak, aby nesejmul spoj, to by bylo moc nápadné, ale jen tak, aby zhoršil jeho kvalitu.

[Reklama]

[Provi]

Ziadny DDoS nieje potrebny ak existuje na bezdratovej sieti jeden, alebo viac skrytych uzlov. Vysledok je presne rovnaky ako v pripade nejakeho utoku. Moze sa to prejavovat obcasnym zvysenim latencie v nahodnych casovych intervaloch.

Tohle mi přijde také jako nejreálnější - už jen z důvodu toho, že "DDOS začne hodinu" po tom, kdy dojde ke změně na anténě. Osobně o DDOS útoku pochybuji, ale přeci jen by bylo zajímavé vědět, jak vlastně takový poskytovatel postupuje (viz dotazy v prvním postu). Přece pokud by se tohle stalo velkému poskytovateli, tak to okamžitě dá vědět všem zákazníkům, odešle SMS a pracuje ve dne v noci (problém trval určitě déle než týden), aby se pokusil útok zastavit. Nicméně to už je holt problém ČR, že jsme odkázání na pidi WiFi poskytovatele.

[Hobbit]

Hojte,
kdyz jde na sit utok, coz je v dnesni dobe povetsinou hromada DNS nebo NTP packetu, tak poskytovatel nema povinost nikam nic hlasit (nedelal by nic jineho). Pokud ma poskytovatel tendenci nejak vic resit utoky vsech typu (od DDOS po socialni inzenyrstvi) doporucuji klicove slovo CSIRT.
Jenom pro predstavu - utoky o mocnosti 200k pps jsou na dennim poradku - a kdyz to schyta nejaky mensi poskytovatel, ktery ma na hranici CCRko, tak nema sanci s tim vubec nic udelat.
Obrany jsou dve:
1) utok prohnat prackou a vycistit ho, ovsem to nesmi byt natolik silny, aby zahltil privodni linky - a vubec se nejedna o levnou zalezitost (mluvime o sedmimistnych cifrach za pracku)
2) uriznout od internetu postizenou IP adresu a nahlasit ji upstreamum pres RTBH - pokud teda upstream toto zvlada - adresa tim padem nebude z internetu dostupna, ale utok nebude hltit privodni linku a v idealnim pripade ho zastavi upstream.

Informovat vsechny zakazniky SMSkou?  Provider bude ukamenovan. Zkusili jste nekdy zavolat v 8 rano nekomu, kdo je po nocni? Ne, neni to dobry napad.
Informovat vsechny zakazniky emailem? Provider bude prozmenu ukamenovan. Tentokrat napriklad ve stylu "co mi to posilate, ja tomu vubec nerozumim". Minimalne mu to zajisti dostatek telefonatu a mailu od zakazniku pozadujicich vysvetleni co ze jim to vlastne poslal.
Jedine co se alespon trochu osvedcilo je kratka zprava na xichtbook.

[j]

... Provider bude ukamenovan...

Tohle plati zcela vseobecne a uplne vsude ... posles lidem mail, ze zimni maj prijet prezout cojavim 4.4. ...  a 9 z 10 ti bude volat zpatky, jestli maj prijet 4. Nejlepsi jim je nerikat nic, a pak je zprcat za to, ze neprijeli, vysledek bude stejnej, akorat si usetris ty telefony.

Viz trebas padne nahubu guugl, a lidi volaj providerovi, ze jim nefunguje internet ... se v tomhle ohledu nedivim, ze spousta z nich nema ani dostupnej telefon.

[Provi]

Hobbit: Díky za reakci. Pro mě je překvapující informace, že dnšní poskytovatel žije v podstatě permanentním DDOS útoku.   Osobně jsem měl přímo do sítě honeypot různých klasický dotazů od botnetů na porty jako 22 a také mě překvapila frekvence, ale to bylo v řádech desítek denně nikoli e frekvenci o jaké píšeš.  Divím se, že neexistuje dobrovolné sdružení, kam by se tyto útoky hlásí a nějak se neanalyzují, neřeší.  Ten CSIRT by byl přímo ideální.

S tou SMS jsem spíše myslel jako rozeslání informace, že je možné se setkat s problémy s při připojením, aby lidi nehledali (třeba aspoň já to tak vždy dělám) problémy u sebe.

[Hobbit]

Hojda,

ddos utoky v podstate neni jak resit - povetsinou se jedna o akce v delce 5-60 minut, ktere pochazi z botnetu a maji podvrzene source adresy.
Svet by byl krasny, kdyby vsichni provideri dodrzovali BCP38 (aka RFC2827), ktery mimo jine a velmi zjednodusene rika, ze provider by ze sve site nemel poustet packety, ktere maji podvrzenou zdrojovou adresu. V tu chvili by byl konec se spoofnutymi adresami a zdroje utoku by se snadno lokalizovaly.
Dalsi vec jsou otevrene NTP a DNS servery - jsou pravidelne vyuzivany k posilujicim utokum.

Jenom pro predstavu - do site, za kterou je cca 30 lokalnich provideru s celkem 250k zakazniky  a 150Gb spickoveho toku vidim denne tak pet dns/ntp utoku - a ktery provider to zrovna schyta uz je o nahode. Nektery nevidi utok jak je rok dlouhy (je to klikar), jiny ma utoky treba nekolikrat tydne (a to uz docela na$ere).

No a o scriptech, ktere zkousi loginy na nahodne IP adresy pres ssh, telnet a podobne se vubec nebavim - dneska staci ozivit jakekoliv IPcko a do deseti minut se zacne plnit log hlaskami o pokusech nalogovat se s defaultnimi hesly.