DDoS útok na banky

[past]

Zaregistroval jiz nekdo nedostupnost vetsiny bank - csas.cz, rb.cz, kb.cz? Weby bank jsou nedostupne, nslookup nevraci nic lokalne, ani z ameriky...

[Reklama]

[hawran diskuse]

Hmmmmm ...

Kód: [Vybrat]

While trying to retrieve the URL: http://csas.cz/
The following error was encountered:
    Unable to determine IP address from host name for csas.cz
The dnsserver returned:
    No DNS records
This means that:
The cache was not able to resolve the hostname presented in the URL.
Check if the address is correct.

Kód: [Vybrat]

While trying to retrieve the URL: http://www.csas.cz/
The following error was encountered:
    Connection to 194.50.240.198 Failed
The system returned:
    (110) Connection timed out
The remote host or network may be down. Please try the request again.

[Pavel]

http://www.lupa.cz/clanky/web-ceske-sporitelny-neni-dostupny-vcetne-online-sluzeb-servis24/

[Rejpal]

Zajimave, vidim dostupne jen male banky jako mBank, Fio atd., u ostatnich velkych kolosu to skutecne vypada na vyddosovane DNS i vlastni weby.

[Jan Kapusta]

CSOB je nedostupna - .cz aj .sk
Internet banking vsak funguje - https://ib24.csob.cz/

[Reklama]

[kamil burýsek]

Mne nefunguje "mobilni banka" od KB. Chyba asi nikomu nic nerekne, ale pise to "Chyba kominukace HTTP #5102".

[past]

je zajimave, ze dneska nadava dnssec validator, ze nemuze overit domenu. To vypada jako utok nejen na vlastni servery bank, ale i na DNS zaznamy, ktere nevraci zadne hodnoty. Nebo je to opatreni bank, aby pozadavky na ip adresu nebyly vraceny s podvrzenou adresou?

[Pavel 'TIGER' Růžička]

Já tomuhle říkám amatérismus, ale co čekat od takových institucí? Pochopitelně se bude mluvit o tom, jak špatný jsou hackeři (i když co takový DDos má s hackerstvím společného?), ale o IT odděleních těchto korporací se bude zarytě mlčet.

[DarkKnight]

a pritom si staci koupit poradny firewall, nebo dobre nadimenzovat server

[TomasVoracek]

Hmm, tak mi povezte jak byste to vyresili vy  Kdyz ono je vse tak jednoduche, ze

[m]

Uplne odstavit zahranicku konektivitu az do odoznenia utokov! Fungovalo by to aspon ceskym uzivatelom... 

[student]

Hmm, tak mi povezte jak byste to vyresili vy  Kdyz ono je vse tak jednoduche, ze

Ja by som skusil CDN. Dimenzovanie HW / FW by IMHO nepomohlo, lebo pri zahltenej linke uz ani nie je ako prijat paket / odpovedat.

Na druhu stranu, to by asi museli dat certifikat niekomu cudziemu, coho sa asi dost boja.

[PanKapitanRUM]

Tohle je řekněme oříšek.
No je to řešitelné, tedy tak trochu.
V zásadě by to vyžadovalo mít představený firewall v housingu, třeba pod správou poskytovatele a ne AŽ VLASTNÍ FIREWALL za linkou.

Nejefektivnější DDOS útok je pootevírat všechny porty a větším a větším počtem požadavků server zablokovat.
Tenhle útok se dá poměrně rozumným způsobem zastavit, stačí omezit přístupy z určitých rozsahů.

Další možnost DDOS útoku je prostě posílat do drátů tolik bordelu, že i když to firewall dropuje, pořád je zahlcená linka.
Tenhle útok se dá poměrně úspěšně realizovat na někoho, kdo má k sobě do baráku hubenou linku.
Tedy jestliže má linku X, tak úspěšný DDOS se dá realizovat s 2X až 3X konektivitou.
Stačí mu naposílat do drátů tolik nesmyslů, že to linku zcela zahltí, tedy cílem není pootevírat všechna spojení, ale zahltit linku.
Takovému útoku se dá odolat, ale chce to mít firewall NA VSTUPU do hubené linky.
Protože jestli mají konektivitu do baráku 100mega, tak se to asi zacpat dá.
Pokud by měli konektivitu do baráku 100 mega, ale předtím by měli představený firewall s připojením 1 giga, no tak to ze zahraničí asi jen tak neDDOSne 

A možná jsem moc chlastal 

[Mirek Prýmek]

Ja by som skusil CDN. Dimenzovanie HW / FW by IMHO nepomohlo, lebo pri zahltenej linke uz ani nie je ako prijat paket / odpovedat.

Na druhu stranu, to by asi museli dat certifikat niekomu cudziemu, coho sa asi dost boja.

Tak především je potřeba si uvědomit, že žádný DDOS vůbec nemůže existovat, protože Turingův stroj má nekonečné prostředky, takže k jeho zahlcení nikdy nemůže dojít. Pokud by se nám zdálo, že pro reálné stroje to neplatí, pak zapojme jednoduchou úvahu: např. taková tabulka navázaných spojení může růst nekonečně, protože kdyby mi došla paměť, jednoduše připojím nějakou externí. A takhle to můžu dělat donekonečna. Aspoň to teda tvrdil jeden profík na jednom odborném fóru.

Čili já si myslím, že by se ajťáci bank měli víc učit teoretickou informatiku, aby věděli, že to, čemu údajně čelí, se vůbec stát nemůže. Jako obvykle, znalost teoretické informatiky by jim ušetřila spoustu práce.

Další možnost DDOS útoku je prostě posílat do drátů tolik bordelu, že i když to firewall dropuje, pořád je zahlcená linka.

Ještě jsi zapomněl na možnost posílat do drátů požadavky, které rozumně nejde odlišit od legitimního provozu (buď to nejde vůbec, nebo je to tak náročné, že by to problém ještě zhoršilo). A jsme kde? Ano, tam

[Zopper]

Uplne odstavit zahranicku konektivitu az do odoznenia utokov! Fungovalo by to aspon ceskym uzivatelom... 

Nevím jak ten útok na banky, ale předchozí útoky na zpravodajské portály byly převážně z ČR, takže naopak zahraniční ponechat a odstřihnout domácí... Jelo by to aspoň mě.