Generování provozu a zahlcení data retention

Waseihou

Generování provozu a zahlcení data retention
« kdy: 01. 04. 2012, 16:46:18 »
Tak mě napadlo, jak udělat program který bude generovat traffic natolik efektnivně aby to co nejvíce zahltilo případné úložiště pro data retention? Sice se teď dle rozhodnutí ústavního soudu logovat nemusí, ale pokud by se muselo, jak to udělat co nejefektivněji, nejlépe tak aby ta činnost byla zároveň nějak užitečná? Napadá mě třeba nějak upravit yacy http://yacy.net/en/ aby crawloval o sto šest hlavně v nočních hodinách aby to nerušilo ostatním lidem traffic. Loguje se pouze tcp nebo i všechny UDP pakety?

Nejjednodušší nápad je pokusit se posílat UDP pakety na náhodně vygenerované IP adresy a porty, jde o to aby bylo co nejsložitější jakkoliv data komprimovat. Pokud vím tak se ukládá odkud, kam a čas, případně i port, takže to vše co nejvíce kombit.

Bylo by možné efektivně DDoSovat techniku provádějící data retention aniž by to narušilo samotný provoz sítě ISP? Třeba že by někdo vytvořil jednoduchou p2p aplikaci určenou jen k tomuto účelu? Nejspíše by se musela data posílat tak aby pravděpodobně vyvolala velké množství náhodných přístupů do paměti a následných výpadků stránky, přetížíla cache databáze pokud to teda nedupmujou do streamu pak by se spíš mohlo vhodně měnit množství dat aby se vyvolalo časté měnění rychlosti disků a zvyšovalo se tak jejich opotřebení, předpokládám že tam na to mají nějaký RAID takže by to asi byl oříšek, možná vymyslet útok založený na tomto předpokladu?
« Poslední změna: 02. 04. 2012, 11:38:22 od Petr Krčmář »


David

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #1 kdy: 01. 04. 2012, 17:09:24 »
WTF?

Nejak mi unika smysl. Pokud vim, povinnost logovat se tykala ISP. Mate snad pocit, ze ISP z toho byli nejak odvazani, ze si maji poridit a provozovat (samozrejme na sve naklady) nejake dalsi uloziste plus sw, ktery to ukladani bude zajistovat? Koho by vas utok poskodil? Akorat toho neboheho ISP, ktery uz tak ma dost starosti se splnenim vsech zakonnych podminek.

Waseihou

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #2 kdy: 01. 04. 2012, 17:10:27 »
Nápad 1: Proti logování přístupu ke stránkám.

Pokud se loguje http request tak sledovaný klient se bude připojovat na server tímto formátem: http://server.xxx/<random> kde random bude třeba 2048 náhodných alfanumerických znaků. Protože podle teorie informace není možno efektivně komprimovat náhodá data, tak snaha o logování k jakým stránkám je přistupováno bude obtížná. Velké množství dotazů s maximální délkou pak bude představovat citelný problém.

Pro jednotlivé servery jsou vhodné různé délky url dotazu:

apache: 3583
MS IIS: 16384
Perl http daemon: 7680

a nebo nejlépe otestovat jestli nějaký konkrétní server nezvládá víc.

Takže jakákoliv aplikace snažící se o zahlcení bude muset randomizovat komprimovatelná data a v ideálním případě by měly být requesty co největší aby jich mohlo být méně při stejné míře zahlcování.

Waseihou

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #3 kdy: 01. 04. 2012, 17:11:42 »
WTF?

Nejak mi unika smysl. Pokud vim, povinnost logovat se tykala ISP. Mate snad pocit, ze ISP z toho byli nejak odvazani, ze si maji poridit a provozovat (samozrejme na sve naklady) nejake dalsi uloziste plus sw, ktery to ukladani bude zajistovat? Koho by vas utok poskodil? Akorat toho neboheho ISP, ktery uz tak ma dost starosti se splnenim vsech zakonnych podminek.

Veškeré náklady spojené s logováním pokud vím proplácel stát, takže stát to zatáhne. Cílem tady je ale zhodit logování či ho učinit nepoužitelným.

Waseihou

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #4 kdy: 01. 04. 2012, 17:24:56 »
Jinak předpoklad pro zahlcení: 100TB na půl roku, tedy jeden uživatel musí vygenerovat více než 100*1024*1024/(30*6*24*n) MB/sec kde n je počet uživatelů, celkem hustý cíl jestli O2 má opravdu těch 100TB.


Waseihou

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #5 kdy: 01. 04. 2012, 17:27:22 »
100*1024*1024/(30*6*24*60*60*n) MB/sec, tak  ;D

NoFlame

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #6 kdy: 01. 04. 2012, 17:41:46 »
Veškeré náklady spojené s logováním pokud vím proplácel stát, takže stát to zatáhne. Cílem tady je ale zhodit logování či ho učinit nepoužitelným.

Neproplácel to stát nějakým druhem paušálu? Mě se něco plete, že právě velcí hráči ty náklady dost nadsazovali, ale dostali méně.
Pokud ano, tak ISP bude bit tak jako tak - přiděláváte mu náklady navíc, které mu nikdo neproplatí (oproti tomu co dostane, když ho zahlcovat nebudete). Přišlo by mi i logické, že stát bude dávat částku odpovídající velikosti "něčeho", než že bude proplácet všechno, co si každý koumák označí za DR náklady.

A jste si jistý, že ISP nebude mít pravidlo (anebo ho rychle nezavede), že kdo "přetočí" data retention krabičku, tak bude odpojen, nebo tak oshapován, aby už nic "nepřetočil"? Nějaký bod, že uživatel nesmí nadměrně.... mají v podmínkách všichni.

Jestli chcete aby váš ISP (potažmo váš stát) nevěděl kam chodíte, tak existují jiné cesty. Neříkám, že jsou ideální, ale rozhodně aspoň o řád lepší, než tahle hloupá nejistota.

NoFlame

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #7 kdy: 01. 04. 2012, 17:44:48 »
A ještě - jestli to nechcete použít jako ochranu proti logům o vaší činnosti, ale jestli chcete aby "to celé prostě nefungovalo", tak akorát zavaříte svému ISP, který nebude mít to, co podle zákona mít musí.

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #8 kdy: 01. 04. 2012, 18:07:19 »
Pokud to bude dělat dost lidí, nebude to mít žádný ISP a celý data retention bude prostě nepoužitelný - a budou větší tlaky na jeho zrušení. Protože přiznejme si, pro velké ISP je data retention povinnost nepříjemná. Pro malé lokální poskytovatele ale může být likvidační -> pro velké tedy může znamenat zákazníky navíc.

Waseihou

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #9 kdy: 01. 04. 2012, 18:19:36 »
Za předpokladu 100TB na ukládání na půl roku při 1000 uživatelích bude třeba vygenerovat více než 100*1024^3/(30*6*24*60*60*1000) kb/s což je 6.9 kb/s. ISP nemůže postihovat uživatele za traffic necelých 7 kb/s, to je prostě blbost, ale museli by všichni spolupracovat, třeba by se mohlo jednat o obfuskační plugin do bittorrent klienta a jiných programů. V noci by to šlo samozřejmě vyhulit na víc. Linky ISP to nezahltí, protože to router/switch v pohodě budou zvládat, akorát ty mašiny co to budou logovat budou mít problém a klidně si dovedu představit že pár lidí vyhulí pár tera za měsíc nočním provozem. Předpokládám že někde v routeru je nastavené aby veškerý traffic šel ještě ven do jiného kablu. Neví někdo kolik TB vlastně ISP používali? Prý ty platby co dostali provideři byly zhruba v 30 milionů korun ročně, za to jeden nakoupí hafo tera disků.

Jaké technologie se pro to používají? Neví někdo? Dumpujou to někam nebo to rvou do databáze? Podle toho by mohl vypadat typ útoku...

NoFlame

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #10 kdy: 01. 04. 2012, 18:27:44 »
ISP nemůže postihovat uživatele za traffic necelých 7 kb/s, to je prostě blbost
Proč nemůžou, proč je to blbost? Protože je to jenom 7 kb/s? To je logika, jako kdybych tvrdil, že když vás píchnu otrávenou jehlou, tak jsem beztrestný, protože za tak malé píchnutí mne nemohou zavřít.


Waseihou

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #11 kdy: 01. 04. 2012, 18:28:21 »
Citace
Jestli chcete aby váš ISP (potažmo váš stát) nevěděl kam chodíte, tak existují jiné cesty. Neříkám, že jsou ideální, ale rozhodně aspoň o řád lepší, než tahle hloupá nejistota.

Jo to není problém, problém je že nechi aby ISP věděl kam se podělo těch několik stovek až tisíc GB dat odeslaných za měsíc, a na tohle tor ani cokoliv dalšího podobného nestačí, možná tak placená VPN ve svobodnější zemi, což rozhodně nemůže být masová záležitost. Takže ano - není problém zařídit si VPN ale pokud nebude dost dalších seedů tak to bude k hovnu.

A já to nechci jen pro sebe, ale pro každého ;)

Waseihou

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #12 kdy: 01. 04. 2012, 18:31:53 »
Citace
Proč nemůžou, proč je to blbost? Protože je to jenom 7 kb/s? To je logika, jako kdybych tvrdil, že když vás píchnu otrávenou jehlou, tak jsem beztrestný, protože za tak malé píchnutí mne nemohou zavřít.

Dokažte že účelem je zahlcení, taky se může jednat o requesty na stažení nějakých bloků dat daných několika hash hodnotami spojených za sebou. Pokud traffic bude vedlejším produktem legální komunikace, ISP nemá právo omezovat jak uživatelé jeho službu používají, zvláště pak pokud funkčnost jeho vlastní síťě to nenaruší, což je samozřejmě cílem takové aplikace - neomezovat funkčnost internetu ostatním, jen data retention.

NoFlame

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #13 kdy: 01. 04. 2012, 18:51:24 »
Nikdo nic dokazovat nebude, prostě generujete nadměrný traffic - i když třeba jenom 7 kbps. ISP může omezovat kde co. A těch co to nedělají je minimum.
Síť ISP = všechny jeho krabičky, včetně té DR. Jestli budete narušovat jeho DR, tak má legitmní i legální záminku vás střihnout.

Re:Program na generování trafficu - jak zavařit data retention?
« Odpověď #14 kdy: 01. 04. 2012, 19:02:14 »
No, protože 7kbps je cca 600 MB/24 hodin... tak takový FUP je ještě použitelný (lidi si moc nestěžují) na mobilním připojení, ale na připojení domácností takový limit aplikovat prostě nejde. Lidi skousnou hodně, ale ne to, že pár minutách hovoru na skype a dvou videí na youtube je poskytovatel do půlnoci zablokuje...

Nicméně to naznačuje, že reálná (průměrná) rychlost toku, kterou jsou schopni ukládat tedy asi nebude 7kbps na uživatele, ale podstatně víc.