Dá se vůbec nějak ochránit před DDoS útokem?

[aaa]

I kdybych vymyslel sebelepší ochranu u sebe na serveru, tak stejně budou totálně zahlcené routery, které vedou ke mně, takže budou strašné lagy, ne?[/quota]
Ked mas 1 server za 1 routerom na 1 mieste a ten generuje necacheovatelny content, tak ano a neubranis sa ani malemu 10Gbps DDoS.
Ked ich mas viac na viac miestach alebo vyuzivas CDN, tak ta niekto len tak nezhodi. Nie je to 100 percentne, ale na Akamai alebo CloudFlare uz male gigabity nestacia.

[Reklama]

[j]

4. Vubec to neresit, proste se den, dva se k vam nekdo nepripoji, a co?

Tohle pobavilo... třeba eshopu 14 dní před vánocema by se asi tento přístup úplně nelíbil

Jinak k původní otázce - ne, až na serveru se to na 100 procent vyřešit prostě nedá.

... otazka penez ... o kolik prijdes tim, ze nebudes 2-3 dny prodavat vs kolik utratis za to, ze !mozna! budes.

Jinak ddos resitelny je, ale ne standardnima metodama. Napriklad freenet je zajimava ukazka. Obsah je distribuovanej (v zavislosti na zajmu) klidne na desitky tisic nodu => tvoje sit muze byt v principu srovnatelne velka nebo i vetsi nez sit DOSare. Abys pak sajtu vyradil, musel bys defakto slozit tu sit celou (nebo aspon vsechny nody na kterych jsou data cilovy sajty), a to je precijen ponekud jinsi problem, nez sejmout jedno (nebo i nekolik) AS (coz odpovida tem "cmoudum").

Ovsem utok muzes povazovat za odrazeny pouze tehdy, pokud ti ty pakety nevytizi linku tak, ze se tam uz nic jineho nez DSoS pakety nedostane. Takze ti treba nelehne server, ale stejneho ucinky bys dosahl vytazenim sitoveho kabelu.

On ti ten srv lehne na CPu driv nez na linku, protoze kazdej ten paket musi CPU zpracovat, a ten zvladne jen pomerne omezene paketu/s. Pricemz bych skoro rek, ze zatizeni toho filtru bude srovnatelny s dorucenim paketu a generovanim reakce na nej.

[JardaP .]

On ti ten srv lehne na CPu driv nez na linku, protoze kazdej ten paket musi CPU zpracovat, a ten zvladne jen pomerne omezene paketu/s. Pricemz bych skoro rek, ze zatizeni toho filtru bude srovnatelny s dorucenim paketu a generovanim reakce na nej.

Toz to musis filtrovat pred serverem, nejakou specializovanou pixlou.

[Unknown]

https://fe.nix.cz/

[j]

Toz to musis filtrovat pred serverem, nejakou specializovanou pixlou.

To ti je stejne na kulovy ... protoze kdybych mel generovat ddos na web (kuprikladu) tak proste z toho milionu routeru pustim neco jako wget http(s)://tvuj.web > /dev/null. A budu to poustet trebas v intevalu jedny minuty na kazdym. Radostne se pak pridaj jeste i realni uzivatele, kteri budou delat totez rucne. Takze to bud odstrelis vsechno (a budes off) nebo to neodstrelis a pude do kopru srv (a budes off).

Muzes se s tim zkusit poprat vykonem(aneb kdyz to nejde silou zkus vetsi silu), coz ovsem na druhou stranu bude znamenat $$$, tzn nemuzes vyhrat.

[Reklama]

[gargamel]

Toz to musis filtrovat pred serverem, nejakou specializovanou pixlou.

To ti je stejne na kulovy ... protoze kdybych mel generovat ddos na web (kuprikladu) tak proste z toho milionu routeru pustim neco jako wget http(s)://tvuj.web > /dev/null. A budu to poustet trebas v intevalu jedny minuty na kazdym. Radostne se pak pridaj jeste i realni uzivatele, kteri budou delat totez rucne. Takze to bud odstrelis vsechno (a budes off) nebo to neodstrelis a pude do kopru srv (a budes off).

Muzes se s tim zkusit poprat vykonem(aneb kdyz to nejde silou zkus vetsi silu), coz ovsem na druhou stranu bude znamenat $$$, tzn nemuzes vyhrat.

tak zrovna tak trivialni to pro kompetentniho utocnika neni, wget snadno detekujes at pouziva jakykoliv user-agent

kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru  jinak ho detekujes jak nic

[j]

kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru  jinak ho detekujes jak nic

A to jako proc? ... aby vubec mel pripadne co vykonavat, tak mu musis poslat to html, musis mu poslat ty js ... a kdyz to budes posilat milionkrat za vterinu, tak se tvuj srv upece. A fakt by me zajimalo, co ze to chces detekovat na nejzakladnejsim http requestu ... kterej potazmo muzu klidne poslat i z telnetu a spoustou jinych zpusobu.

[gargamel]

kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru  jinak ho detekujes jak nic

A to jako proc? ... aby vubec mel pripadne co vykonavat, tak mu musis poslat to html, musis mu poslat ty js ... a kdyz to budes posilat milionkrat za vterinu, tak se tvuj srv upece. A fakt by me zajimalo, co ze to chces detekovat na nejzakladnejsim http requestu ... kterej potazmo muzu klidne poslat i z telnetu a spoustou jinych zpusobu.

nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip  treba 50 000

[Tuxik]

kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru  jinak ho detekujes jak nic

A to jako proc? ... aby vubec mel pripadne co vykonavat, tak mu musis poslat to html, musis mu poslat ty js ... a kdyz to budes posilat milionkrat za vterinu, tak se tvuj srv upece. A fakt by me zajimalo, co ze to chces detekovat na nejzakladnejsim http requestu ... kterej potazmo muzu klidne poslat i z telnetu a spoustou jinych zpusobu.

nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip  treba 50 000

Na detekci jsou potřeba data. Data nezískáš po prvním načtení stránky, pokud je útočník alespoň trochu chytrej a pokud nechceš zároveň s útočníkem odstřihnout i korektní provoz. V případě, že bude mít útočník k dispozici 50k IP adres (ideálně z různých rozsahů - třeba přes různé veřejné proxy), bude právě ta snaha ho odhalit to první, co ti tvůj server při útoku zabije. Až na serveru (pokud máš dostatečnou konektivitu) odstřihneš maximálně script kiddies, ale proti aspoň trochu sofistikovanému útoku nemáš šanci. Mimochodem, na DDoS je důležitý to první "D", znamená Distributed, pokud je útok veden zároveň z mnoha míst, nenaděláš nic. Pokud se dostaneš do síly útoku v řádech desítek Gbit, pomůže ti filtrování někde na uzlu, pokud to budou stovky, pak už tě spasí snad jen CDN a ani to nevyloučí lokální nedostupnost.

[gargamel]

kompetentni utocnik bude muset vykonavat javascript, dat si pozor na fingerprint a dokonale emulovat jeden z pouzivanych browseru  jinak ho detekujes jak nic

A to jako proc? ... aby vubec mel pripadne co vykonavat, tak mu musis poslat to html, musis mu poslat ty js ... a kdyz to budes posilat milionkrat za vterinu, tak se tvuj srv upece. A fakt by me zajimalo, co ze to chces detekovat na nejzakladnejsim http requestu ... kterej potazmo muzu klidne poslat i z telnetu a spoustou jinych zpusobu.

nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip  treba 50 000

Na detekci jsou potřeba data. Data nezískáš po prvním načtení stránky, pokud je útočník alespoň trochu chytrej a pokud nechceš zároveň s útočníkem odstřihnout i korektní provoz. V případě, že bude mít útočník k dispozici 50k IP adres (ideálně z různých rozsahů - třeba přes různé veřejné proxy), bude právě ta snaha ho odhalit to první, co ti tvůj server při útoku zabije. Až na serveru (pokud máš dostatečnou konektivitu) odstřihneš maximálně script kiddies, ale proti aspoň trochu sofistikovanému útoku nemáš šanci. Mimochodem, na DDoS je důležitý to první "D", znamená Distributed, pokud je útok veden zároveň z mnoha míst, nenaděláš nic. Pokud se dostaneš do síly útoku v řádech desítek Gbit, pomůže ti filtrování někde na uzlu, pokud to budou stovky, pak už tě spasí snad jen CDN a ani to nevyloučí lokální nedostupnost.

Sofistikovany utok je presne to co jsem popsal v prvni prispevku...
Ze neziskas data prvni nacteni stranky neni pravda.

Pokud utocnik ani nezpracovava javascript tak ani nepotrebujes nic na svym serveru analyzovat udela to za tebe treba cloudflare

[j]

nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip  treba 50 000

Tak to nepotrebuju delat ddos, pocitam ze mas zablokovanej uz ted celej net, takze si mi usetril praci, protoze z http req poznas leda hovno.

Jediny co mas je totiz IPcko a user agent, kamz si muzu napsat co chci.

[Jirsákova tchýně]

Marně čekám na nějaký hluboký insight od Herr Grilla... 

[gargamel]

nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip  treba 50 000

Tak to nepotrebuju delat ddos, pocitam ze mas zablokovanej uz ted celej net, takze si mi usetril praci, protoze z http req poznas leda hovno.

Jediny co mas je totiz IPcko a user agent, kamz si muzu napsat co chci.

z toho HTTP requestu mam mnohem vic nez si v tuhle chvili myslis

[Tuxik]

Pokud utocnik ani nezpracovava javascript tak ani nepotrebujes nic na svym serveru analyzovat udela to za tebe treba cloudflare

Nějak se zapomíná na to, že účelem serveru je poskytovat služby a to v případě služeb veřejných co největšímu počtu lidí, potažmo zákazníků. Pokud si vypnu JS, nebo ho bude mít můj prohlížeč rozbitý, zastaralý, nebo cokoliv podobnýho, jsi ze hry a zákazník jde jinam, protože "tvoje stránky nefungují". To chceš? Chceš aby tvoje řešení bylo závislé na user-side skriptech? Opravdu chceš, aby tvoje řešení bylo závislé na tom, že ti klient reportuje "jak hýbe myší"? Nehledě k tomu, že vyřešit toto na straně útočníka tak, aby se to blbě detekovalo, je trivialita oproti detekci samotné. Takže jsi stále na začátku. Útočník ti posílá "nějaký data", který generuje s prstem v nose na tisících napadených zařízení a ty to musíš na jednom svým serveru analyzovat. Jak jsem řekl, zabiješ si tím vlastní server i v případě relativně slabého útoku, který bys jinak bez problémů ustál.
A jinak ano, cloudflare za tebe něco pořeší, ostatně je to CDN, které jsem zmiňoval jako jednu z variant, ale pořád je u toho třeba trochu myslet.

[Tuxik]

nj, tak tvuj l7 ddos by byl hodne kratkej, kazdej kompetentni spravce by te zablokoval ani bys nevedel jak a muzes mit tech ip  treba 50 000

Tak to nepotrebuju delat ddos, pocitam ze mas zablokovanej uz ted celej net, takze si mi usetril praci, protoze z http req poznas leda hovno.

Jediny co mas je totiz IPcko a user agent, kamz si muzu napsat co chci.

z toho HTTP requestu mam mnohem vic nez si v tuhle chvili myslis

Sakra, je to divný, ale zase se musím jéčka zastat... z requestu prostě víš prd. Jak napsal, víš IP, víš UA a maximálně víš čas od předchozího requestu, takže můžeš detekovat, jak rychle uživatel/darebný_skript kliká na tvých stránkách a kam. Proti script kiddies užitečné, jinak na nic.