Та уж сколько раз это было... не ставят наши операторы на свои датацентры такие защиты. Стоит оно ведь недешево, а сколько твои знакомые готовы платить за такую услугу? $5/month сверху текущего платежа? не наберется их тысяча, чтобы выйти хотя бы на двух-/трех-годичную окупаемость. 2008/2/26 Andrew Stesin :

Коллеги, нужен ваш совет (а то я сам в этом вопросе не копенгаген).

Вчера как минимум 2 украинских сайта, собственниками которых являются мои знакомые, получили от неизвестных доброжелателей по полноценному DDoS каждый. В связи с этим вопрос:

Есть ли в Украине хоть один Интернет-датацентр (хостер) которые предоставляет своим клиентам полноценную защиту от DDoS, а не просто фильтры или route add сайт null0 ? Что-то вроде Cisco Guard или вообще вот такого чего-то комплексного, как вот тут описано: http://www.cisco.com/en/US/netsol/ns615/networking_solutions_sub_solution.ht...

Заранее признателен! Андрей

p.s. Или - как вариант - зарубежный хостер. Людям очень важно, чтобы сайт работал.

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Спокойствие, Володя, только спокойствие :) -----Исходное сообщение----- От: owner-uanog-outgoing@uanog.kiev.ua от имени Vladimir Litovka Отправлено: Вт, 26.02.2008 13:45 Кому: Andrew Stesin Копия: UANOG Тема: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту? Та уж сколько раз это было... не ставят наши операторы на свои датацентры такие защиты. Стоит оно ведь недешево, а сколько твои знакомые готовы платить за такую услугу? $5/month сверху текущего платежа? не наберется их тысяча, чтобы выйти хотя бы на двух-/трех-годичную окупаемость.

Прежде, чем интересоваться цифрами, мне интересен сам факт наличия предложений. Кто предлагает? 2008/2/26, Vladimir Litovka :

да я и не нервничаю. До тех пор, пока Интернет в Украине не станет серьезной опорой в бизнесе для клиентов этого самого Интернета, не появится ни один провайдер, который бы взялся гарантировать им качество и надежность.

Вопрос к Андрею - сколько твои знакомые готовы платить в месяц за то, что у них будет 24x7 транспортный uptime?

2008/2/26 Hrynchuk Oleh :

...

Спокойствие, Володя, только спокойствие :)

-----Исходное сообщение----- От: owner-uanog-outgoing@uanog.kiev.ua от имени Vladimir Litovka Отправлено: Вт, 26.02.2008 13:45 Кому: Andrew Stesin Копия: UANOG Тема: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту?

Та уж сколько раз это было... не ставят наши операторы на свои датацентры такие защиты. Стоит оно ведь недешево, а сколько твои знакомые готовы платить за такую услугу? $5/month сверху текущего платежа? не наберется их тысяча, чтобы выйти хотя бы на двух-/трех-годичную окупаемость.

--

/doka

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, 26 Feb 2008, Vladimir Litovka wrote: Меня данная тема тоже последние пол года сильно интересовала. Какой смысл в таких железках, если ДДОСЕРы - видя устойчивость хостинга без труда наращивают поток ФЛУД-а до 20Гбит\с. Какой глубинный смысл наличия такой железки на Украине?

Та уж сколько раз это было... не ставят наши операторы на свои датацентры такие защиты. Стоит оно ведь недешево, а сколько твои знакомые готовы платить за такую услугу? $5/month сверху текущего платежа? не наберется их тысяча, чтобы выйти хотя бы на двух-/трех-годичную окупаемость.

...

вот такого чего-то комплексного, как вот тут описано: http://www.cisco.com/en/US/netsol/ns615/networking_solutions_sub_solution.ht...

Заранее признателен! Андрей

p.s. Или - как вариант - зарубежный хостер. Людям очень важно, чтобы сайт работал.

-- GSA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Если сервис worldwide - то таки надо смотреть в направлении становиться на какой-то хороший хостинг/коло у the planet и т.п. Если сервис украинский и ориентирован на Украину, то есть методы, как избавляться от DDoS'а быстро и качественно (например не анносироваться кому не надо, а кому не надо - вычислить). Наличие хороших отношений с канальным поставщиком - must. DDoS mitigation - процесс специфический и требует работы "в плотном контакте". В любом случае будут потери доступности, но не такие и страшные. Alexander V Soroka wrote:

Привет !

народ - ну вы как дети малые !

Инет сейчас это что-то типа купить пирожок в "фурнете" по дороге на работу :( и динамика цена на каналы такова что проще сделать 2-3-4 линка к себе чем заморачиваццо насчет каких-то там жутко дорогих устройств.

никто не хочет платить за качественный сервис - так зачем жаловаться на жизнь ?

Tuesday, February 26, 2008, 4:32:30 PM, you wrote: AS> Прежде, чем интересоваться цифрами, мне интересен сам факт наличия AS> предложений. Кто предлагает?

AS> 2008/2/26, Vladimir Litovka :

...

...

да я и не нервничаю. До тех пор, пока Интернет в Украине не станет серьезной опорой в бизнесе для клиентов этого самого Интернета, не появится ни один провайдер, который бы взялся гарантировать им качество и надежность.

Вопрос к Андрею - сколько твои знакомые готовы платить в месяц за то, что у них будет 24x7 транспортный uptime?

2008/2/26 Hrynchuk Oleh :

...

Спокойствие, Володя, только спокойствие

-----Исходное сообщение----- От: owner-uanog-outgoing@uanog.kiev.ua от имени Vladimir Litovka Отправлено: Вт, 26.02.2008 13:45 Кому: Andrew Stesin Копия: UANOG Тема: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту?

Та уж сколько раз это было... не ставят наши операторы на свои датацентры такие защиты. Стоит оно ведь недешево, а сколько твои знакомые готовы платить за такую услугу? $5/month сверху текущего платежа? не наберется их тысяча, чтобы выйти хотя бы на двух-/трех-годичную окупаемость.

--

/doka

AS> =================================================================== AS> uanog mailing list. AS> To Unsubscribe: send mail to majordomo@uanog.kiev.ua AS> with "unsubscribe uanog" in the body of the message

On Tue, Feb 26, 2008 at 01:45:52PM +0200, Vladimir Litovka wrote:

Та уж сколько раз это было... не ставят наши операторы на свои датацентры такие защиты. Стоит оно ведь недешево, а сколько твои знакомые готовы платить за такую услугу? $5/month сверху текущего платежа? не наберется их тысяча, чтобы выйти хотя бы на двух-/трех-годичную окупаемость.

Я, конечно, в окупаемости ничего не понимаю, и суюсь не в свое дело... :) Но, сдается мне, что железка, которая еле-еле может переварить один гигабит траффика даже при современных обьемах DDoS'ов (которые уже давно больше этого гигабита, а что будет в двух-/трех-годичной перспективе я просто боюсь себе представить) не окупится просто никогда...

2008/2/26 Andrew Stesin :

...

Коллеги, нужен ваш совет (а то я сам в этом вопросе не копенгаген).

Вчера как минимум 2 украинских сайта, собственниками которых являются мои знакомые, получили от неизвестных доброжелателей по полноценному DDoS каждый. В связи с этим вопрос:

Есть ли в Украине хоть один Интернет-датацентр (хостер) которые предоставляет своим клиентам полноценную защиту от DDoS, а не просто фильтры или route add сайт null0 ? Что-то вроде Cisco Guard или вообще вот такого чего-то комплексного, как вот тут описано: http://www.cisco.com/en/US/netsol/ns615/networking_solutions_sub_solution.ht...

Заранее признателен! Андрей

p.s. Или - как вариант - зарубежный хостер. Людям очень важно, чтобы сайт работал.

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

--

/doka

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Да не в Guard'е вопрос, можно, наверное, поставить и 40-гиговую молотилку. Вопрос в том, что никто этим не озабочен, потому что никто за это не спрашивает :-) 2008/2/26 Alexandre Snarskii :

On Tue, Feb 26, 2008 at 01:45:52PM +0200, Vladimir Litovka wrote:

...

Та уж сколько раз это было... не ставят наши операторы на свои датацентры такие защиты. Стоит оно ведь недешево, а сколько твои знакомые готовы платить за такую услугу? $5/month сверху текущего платежа? не наберется их тысяча, чтобы выйти хотя бы на двух-/трех-годичную окупаемость.

Я, конечно, в окупаемости ничего не понимаю, и суюсь не в свое дело... :) Но, сдается мне, что железка, которая еле-еле может переварить один гигабит траффика даже при современных обьемах DDoS'ов (которые уже давно больше этого гигабита, а что будет в двух-/трех-годичной перспективе я просто боюсь себе представить) не окупится просто никогда...

...

2008/2/26 Andrew Stesin :

...

Коллеги, нужен ваш совет (а то я сам в этом вопросе не копенгаген).

Вчера как минимум 2 украинских сайта, собственниками которых являются мои знакомые, получили от неизвестных доброжелателей по полноценному DDoS каждый. В связи с этим вопрос:

Есть ли в Украине хоть один Интернет-датацентр (хостер) которые предоставляет своим клиентам полноценную защиту от DDoS, а не просто фильтры или route add сайт null0 ? Что-то вроде Cisco Guard или вообще вот такого чего-то комплексного, как вот тут описано: http://www.cisco.com/en/US/netsol/ns615/networking_solutions_sub_solution.ht...

Заранее признателен! Андрей

p.s. Или - как вариант - зарубежный хостер. Людям очень важно, чтобы сайт работал.

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

--

/doka

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Tue, Feb 26, 2008 at 18:50:14, bar wrote about "Re: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

...

Да не в Guard'е вопрос, можно, наверное, поставить и 40-гиговую молотилку. Вопрос в том, что никто этим не озабочен, потому что никто за это не спрашивает :-)

А о чем спрашивать - то? 40-гиговая молотилка - не панацея. DDoS - такая штука, которая разгоняется до тех пор, пока не упрется в узкое место. Самым узким местом окажется 40-гиг - и его снесет. Какой бы чудодейственный софт на ней не стоял, какими бы архисуперпроцессорами она не была бы напичкана, при том что 40-гиговый линк увален "в полку", никаких гарантий доступа к атакуемому сайту и тех кто рядом с ним - нет, и быть не может. Посему "route add site/32 null0" с реэкспортом в blackhole BGP сессии - единственный дейстенный способ выживания :(

Вооот. А почему так получается? - потому что у кого-то есть возможность скомандовать сотне тысяч тазиков каждому отдать по совершенно незаметной сотне килобит на один конкретный адрес... И потоки и частота DDoS таки будут расти, и использовать их будут чаще, и если как-то ещё можно бороться с DDoS, спамом (который тоже давно уже стал видом DDoS против каждого владельца ящика) - то только потому, что на тёмную сторону работают в основном тормоза и моральные уроды - хороший специалист туда не пойдёт. Но и это - временное явление, до тех пор, пока за этот вопрос прочно не взялись маркетологи;(( Как только возьмутся - никаких защит просто не останется, будет два варианта - отключаться совсем или слушать бесполезный мусор. Рекомендую ещё раз задуматься об этом всем сторонникам безудержного расширения Интернета... -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Друзья, Я прослезилсо. И продолжаю слезитсо. Еще 5 минут... Володя, не так все плохо, в натуре :). Идем выпьем в это воскресенье пиво одно (каждый, типа)? И поговорим на данную тему. Наверное (насколько я понял), ты немного в ней сейчас, да? 8-) -----Исходное сообщение----- От: Vladimir Litovka [mailto:doka.ua@gmail.com] Отправлено: Вт, 26.02.2008 18:23 Кому: Andrew Stesin Копия: Гринчук Олег; UANOG Тема: Re: HA: HA: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту? Тут еще один момент - важно даже не то, сколько готовы заплатить, а то, что никто не предъявляет никаких (я не говорю даже про серьезные) претензий по поводу простоя. Ну побухтел немножко, ну уменьшили счет за месяц и все довольны. До тех пор, пока никто не выставляет счет за простои, не будет никаких телодвижений в сторону гарантий. А это - вопрос отношения к Интернету. Пока что в большинстве случаев это порнушка, ICQ и одноклассники.сру, а не средство экономии и зарабатывания денег. Фишка в том, что те, кто серьезно страдает от атак, для кого это вопрос либо престижа (государственные конторы), либо серьезных денег (банки) - у многих из них Guard уже есть. Но они не жлут милостей от приро^H^H^Hовайдеров - они ставят это для себя и продолжают работу. 2008/2/26 Andrew Stesin :

2008/2/26, Hrynchuk Oleh :

...

P.S. От банальных размышлений вслух типа "надо посчитать стоимость часа простоя клиента",

а куда ты денешься от этих "банальных размышлений"? сама циска в своих материалах, при ТЭО защиты - как выяснилось - пляшет именно от стоимости часа простоя.

p.s. И насчет того, что, когда мне говорят "а сколько вы готовы заплатить" - я молча поворачиваюсь и ухожу от такого "продавца", тут тоже +1 к Олегу

-- /doka

Tue, Feb 26, 2008 at 18:23:29, doka.ua wrote about "Re: HA: HA: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

Тут еще один момент - важно даже не то, сколько готовы заплатить, а то, что никто не предъявляет никаких (я не говорю даже про серьезные) претензий по поводу простоя. Ну побухтел немножко, ну уменьшили счет за месяц и все довольны. До тех пор, пока никто не выставляет счет за простои, не будет никаких телодвижений в сторону гарантий. А это - вопрос отношения к Интернету. Пока что в большинстве случаев это порнушка, ICQ и одноклассники.сру, а не средство экономии и зарабатывания денег.

Ну, во-первых, Интернет, с его конструкцией "никто никому не должен" и "делай своё дело насколько можешь, но не больше", иначе и не будет работать. Чтобы он реально начал работать иначе - надо и делать иначе. В частности, если мы говорим о _гарантиях_ транспорта, то сразу надо вспоминать гарантированные полосы и времена. А это немедленно возвращает нас ко временам IntServ, RSVP, а ещё лучше - к сетям с коммутацией каналов. Вот это там умеют значительно лучше. Но судя по судьбе этих сетей и протоколов - реально никому такое не нужно во _всех_ телекоммуникациях - может быть, исключая военные (и то - вряд ли). А гарантии в общем абстрактном случае... не далее как вчера вспоминали - как один клиент нам все плеши изъел на тему недоставки почты - мол, ему отправляют, а он не получает - значит, виноваты мы. Когда на 30-м цикле они таки сподвиглись нам переслать отлуп - оказалось, что в адресе две опечатки. Ну и какие гарантии давать в подобном случае?;))) Лучше всё-таки продолжать действовать по принципу "мы делаем всё что можем, но гарантий не даём". Особенно в таких тяжелодиагностируемых случаях, как "мне писали, где оно?" - "а кто, откуда?" - "не знаю и не желаю знать, но письмо должно прийти!!! а ну почините!!!", или "я не могу связаться с биржей в Патагонии, почините немедленно!!!" (а в той Патагонии вулкан сжёг оптику, а последний кто мог её починить - шестой день в запое). Второе - насколько я помню (из пятых рук и через розовые очки;)) как работает западная экономика - есть два заметных вида организаций, которые так или иначе помогают бизнесу принимать правильные решения - это банки и страховые конторы. Особенно - страховые. Отсутствие связи, если она критична - типичный страховой случай, и в интересах страховиков сделать так, чтобы сэкономить затраты. Вот тут уже можно ожидать рецептов типа "переключитесь к другому, он пока вменяемый", "проверяйте приход письма по IM и если нет - посылайте иначе" или "сделайте свою отраслевую VPN сеть и гоняйте письма в ней". И, разумеется, избавить тем самым провайдеров от необходимости прямой разборки с теми, кто пытается качать права несмотря на отсутствие обещаний. (У нас таких страховиков ещё нет, насколько я понимаю...)

Фишка в том, что те, кто серьезно страдает от атак, для кого это вопрос либо престижа (государственные конторы), либо серьезных денег (банки) - у многих из них Guard уже есть. Но они не жлут милостей от приро^H^H^Hовайдеров - они ставят это для себя и продолжают работу.

И это 100% логично. Потому что "милости" от провайдеров таки не будет - их работа не такая. Но тем же "серьёзным организациям" во многом вообще надо работать по-другому. В частности, не светить в открытый доступ адреса, которые используются для связи с постоянными партнёрами. Тогда, если случится тот же DDoS - легче выявить источник утечки. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi! On Wed, Feb 27, 2008 at 04:46:25AM +0200, Hrynchuk Oleh writes:

Судя по вот этому: http://www.shadowserver.org/wiki/pmwiki.php?n=Stats.DroneHistorical (кстати, не поленитесь, посмотрите там еще статистику по DDoS etc) в Украине довольно динамично (ну, скажем так - быстрее, чем средне по миру) возрастает кол-во дронов.

Наиболее крупный в мире DDoS source - на Украине? Неожиданно. Тем более, что направлен он исключительно на разные цели в США. Здесь ведь каналов не настолько много, даже гигабит DDoS-трафика вряд ли может остаться незамеченным. То есть, это для меня настолько неожиданно, что я просто в это не верю. А отсутствие границ между государствами xUSSR на их карте - прикольно. :) -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Wed, Feb 27, 2008 at 09:54:01, doka.ua wrote about "Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

...

Но тем же "серьёзным организациям" во многом вообще надо работать по-другому. В частности, не светить в открытый доступ адреса, которые используются для связи с постоянными партнёрами. Если это информационный сайт или какой-нибудь e-banking, то сам понимаешь - не светить публичный адрес не получится.

Ключевое слово - _постоянные_ партнёры. Обычно их круг не так широк, отношения достаточно доверенные и проверенные. А информационный сайт обычно не даёт существенных проблем даже при трёхдневном лежании... Да, и я правильно понял, что по остальным вопросам возражений нет?;)) -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi Valentin,

...

...

Но тем же "серьёзным организациям" во многом вообще надо работать по-другому. В частности, не светить в открытый доступ адреса, которые используются для связи с постоянными партнёрами. Если это информационный сайт или какой-нибудь e-banking, то сам понимаешь - не светить публичный адрес не получится.

Ключевое слово - _постоянные_ партнёры. Обычно их круг не так широк, отношения достаточно доверенные и проверенные. А информационный сайт обычно не даёт существенных проблем даже при трёхдневном лежании...

Информационный сайт Амстердамского аэропорта лежит каждый раз, как сильный ветер. Любопытные пассажиры DDOS устраивают. Sorry, вырвалось :) -- Michael Вчера я застелил окно фанерой. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/27, Valentin Nechayev :

Вооот. А почему так получается? - потому что у кого-то есть возможность скомандовать сотне тысяч тазиков каждому отдать по совершенно незаметной сотне килобит на один конкретный адрес...

Коллеги, а что кто знает и может сказать (как теоретически, так и практически) об активной защите от DDoS? Идея примерно такая: засекаем задействованную в ботнете машину, и выписываем ей обратку (теми же методами, что и исходный троян) от которой она умирает и перестает ддосить. Повторяем нужное количество сотен тысяч раз до полного удовлетворения. q? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Feb 28, 2008 at 10:30:14AM +0200, Andrew Stesin wrote: AS> 2008/2/27, Valentin Nechayev : AS> > Вооот. А почему так получается? - потому что у кого-то есть возможность AS> > скомандовать сотне тысяч тазиков каждому отдать по совершенно незаметной сотне килобит на один конкретный адрес... AS> Коллеги, а что кто знает и может сказать (как теоретически, так и AS> практически) об активной защите от DDoS? AS> Идея примерно такая: засекаем задействованную в ботнете машину, и AS> выписываем ей обратку (теми же методами, что и исходный троян) от AS> которой она умирает и перестает ддосить. AS> Повторяем нужное количество сотен тысяч раз до полного удовлетворения. а потом пришел лесник и всех ... в DoS войнах думаю что первыми умрут провайдеры -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Надоело быть счастливым, хочу часы! =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Alexander Trotsai :

AS> Повторяем нужное количество сотен тысяч раз до полного удовлетворения.

а потом пришел лесник и всех ...

Если ты покажешь мне того лесника, ну хоть одного, то я готов обратиться к нему прямо сразу и не дожидаясь. Твои предложения?

в DoS войнах думаю что первыми умрут провайдеры

Ну почему же. Если ответка будет ГАСИТЬ DDoS, а не наращивать-раскручивать, то наоборот провайдерам станет легче. Представь ситуацию: только высунулся где-то виндюк с ботом, только серанул трафиком - а ему ответка, и он затих. Провайдеру только радость! Тушить пожар надо углекислотным снегом, а не бензином. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

лечить нужно проактивно, а не реактивно, и не destination hosts, а source hosts. Андрей прав, что детектировать атаку нужно не на узле, против которого она направлена (потому что это уже не имеет большого смысла), а на истоках. Это более масштабная задача, но и более действенная - детектировать атаку на трафике от каждого зараженного хоста, когда ей еще 200Kbps. Другой вопрос состоит в том, что войны до сих пор существуют на Земле потому, что это кому-то выгодно. Я не исключаю, что пассивность операторов отчасти сформирована тем, что им _башляют_ за то, что они не предпринимают никаких действий против возникновения атак из их сети. Это, скорее, об Азии. Ну и используются сиротские регионы типа Украины, где у операторов нет бабла на свое техническое обеспечение, а клиентов уже много. Делов-то ведь: 1) установка SMTP-фильтра, чтобы пользователь получал значительно меньше ссылок на compromised sites, на которые он по дурости кликает 2) установка прозрачного анализа Web-трафика, чтобы пользователь не мог попасть на большинство compromised sites 3) анализ трафика от клиентов на предмет возникновения аномального поведения и блокировка этого трафика и/или перевод абонента в карантинную зону очень сложно? да нет же, фуфел работы! только почему-то никто этого не делает ;-) интересно, почему? 2008/2/28 Andrew Stesin :

2008/2/28, Alexander Trotsai :

...

AS> Повторяем нужное количество сотен тысяч раз до полного удовлетворения.

а потом пришел лесник и всех ...

Если ты покажешь мне того лесника, ну хоть одного, то я готов обратиться к нему прямо сразу и не дожидаясь. Твои предложения?

...

в DoS войнах думаю что первыми умрут провайдеры

Ну почему же. Если ответка будет ГАСИТЬ DDoS, а не наращивать-раскручивать, то наоборот провайдерам станет легче. Представь ситуацию: только высунулся где-то виндюк с ботом, только серанул трафиком - а ему ответка, и он затих. Провайдеру только радость!

Тушить пожар надо углекислотным снегом, а не бензином.

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Alexander V Soroka :

Я - за войну ! только вот проверка инструментов для укладывания винды показала что уже 2008 год - и винда не валится :( как раньше...

Но как-то же боты в неё, винду-то, и попадают, и размножаются? неужели исключительно по дури юзера, который сам "это" себе закачивает? свежо, как говориццо, питание, да серется с трудом. 99% что есть таки достаточное к-во дырок, через которые "оно" в винду пролазит и там заселяется. Так через эти же дыры и активная защита может отрабатывать? по следам-с... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Делов-то ведь:

1) установка SMTP-фильтра, чтобы пользователь получал значительно меньше ссылок на compromised sites, на которые он по дурости кликает 2) установка прозрачного анализа Web-трафика, чтобы пользователь не мог попасть на большинство compromised sites 3) анализ трафика от клиентов на предмет возникновения аномального поведения и блокировка этого трафика и/или перевод абонента в карантинную зону

забыл - плюс обязательно рефлексивные ACL'и на входе от клиента и unicast RPF check или как оно там называется

очень сложно? да нет же, фуфел работы! только почему-то никто этого не делает ;-) интересно, почему?

-- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Привет ! Thursday, February 28, 2008, 11:37:25 AM, you wrote: AS> 2008/2/28, Alexander V Soroka :

...

Я - за войну ! только вот проверка инструментов для укладывания винды показала что уже 2008 год - и винда не валится как раньше...

AS> Но как-то же боты в неё, винду-то, и попадают, и размножаются? неужели AS> исключительно по дури юзера, который сам "это" себе закачивает? свежо, AS> как говориццо, питание, да серется с трудом. 99% что есть таки AS> достаточное к-во дырок, через которые "оно" в винду пролазит и там AS> заселяется. AS> Так через эти же дыры и активная защита может отрабатывать? по следам-с... я тут как-то игрался :) на тазике который "под снос" шел - так вот - пролазит оно через актив-Хы всякие и ложится в кеш и в систем - если нет антиврусов активных. трояны - просто прелесть :) и оно само себе там живет до момента команды. т.е. по сути - или искать сами трояны и разбирать как там управляется - и просто "перебивать" своими командами - т.е. вместо того Айпи что дали - давать другой :) например их прова который далбаеп :) чтобы он сам своего клиента лечил. Но это надо создавать у нас "рабочую группу" сетевиков и программерво - и постоянно трояны отслеживать и встраивать к ним свои управления ...кто будет это поддерживать ? -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Thu, Feb 28, 2008 at 10:30:14, stesin wrote about "[uanog] Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

...

Вооот. А почему так получается? - потому что у кого-то есть возможность скомандовать сотне тысяч тазиков каждому отдать по совершенно незаметной сотне килобит на один конкретный адрес... Коллеги, а что кто знает и может сказать (как теоретически, так и практически) об активной защите от DDoS? Идея примерно такая: засекаем задействованную в ботнете машину, и выписываем ей обратку (теми же методами, что и исходный троян) от которой она умирает и перестает ддосить.

Ну давай подумаем. Итак, у нас есть небольшой ботнет на 1000 машин. Каждая сидит на ADSL2+, провода идеальные, получается upstream'а 2.4Mb/s (как говорят наши канальщики - "если включен канал M"). Разделим на 3 для перехода в реальные условия, получаем 800Kb/s. В сумме они дадут мегабит 800. Чтобы парализовать одну машинку такого рода - надо выдать, мне кажется, хотя бы мегабит входящего с произвольными host:port (пробовал я как-то кривой portfwd для UDP на похожих скоростях - файрволл XP начал тяжело думать над потоком, но ещё работала). Значит, перебивать надо минимум суммарным гигабитом, а то и десятью. У тебя есть источник в мир такой мощности, готовый запуститься по первому чиху? Если да - то ты или сам владелец ботнета, или тебя проблемы такого DoS уже не волнуют:))) А теперь подумаем о том, что "наказать" атакующего так вряд ли получится - ну немного парализует ему машинки, так 1) это временно, 2) они всё равно не его, а несчастных лохов, 3) даже если половину из них после этого почистят - ещё десятки тысяч тут же будут заражены. Зато владельцы тазиков, которых при всём уважении нельзя по отношению к данной ситуации назвать иначе как "лохами, успешно разведенными Билли с компанией на бабки" - пострадают побольше того атакующего - исполнителя атаки. Ну и я молчу, что такие средства при первой возможности начинают генерировать поддельный обратный адрес, а uRPF стоит далеко не у всех. А это такая вещь, что если хотя бы 0.3% провайдеров не проверяют обратные адреса - атаки с подделкой адресов будут жить.

Повторяем нужное количество сотен тысяч раз до полного удовлетворения.

q?

... и ничего не изменится. Потому что таких "добрых" как ты - будет 1 из 100. Остальные - хотя бы побоятся юридической мести провайдеров, которые будут кушать твой встречный трафик. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28 Andrew Stesin :

Как раз я ровно наоборот говорил, что детектировать надо по пути к узлу-цели, вблизи последнего, потому что на всех sources ресурсов детектирования не напасешься.

Мнэээ... если переходить на терминологию, которую ты употребил ниже по тексту, то такие действия - аналог вмешательства во внутренние дела суверенного государства под видом борьбы с терроризмом :) Грубо говоря, провайдер "А" гасит клиента провайдера "Б", потому что решил, что этот клиент его атакует. Единственный легитимный путь - если ту же задачу над своим клиентом будет выполнять провайдер "Б"

Это а) бессмысленно дорого

это не бессмысленно дорого. В случае, если это станет правилом для большинства хотя бы крупных операторов, то все остальные (включая крупных) начнут нести существенно меньшие убытки от атак и получится баш на баш - затраты на безопасность окупятся уменьшением потерь от DoS'ов и пр.

впрочем, продавцы оборудования предпочитают убеждать нас в обратном ;)

продавцы оборудования - это во многом те, кто определяет вектро развития и существования Сети. Если ты смотрел фильм "Дьявол носит Прада", то там был замечательный монолог о свитере бирюзового цвета, надетом одной из главных героинь фильма. Так вот этот монолог в целом объясняет ситуацию :-)

Потому что это бессмысленно и пахнет тупым концлагерным подходом

Тьфу.

Твои пояснения не дают ключа к тому, почему ты так характеризуешь сказанное мною. Это больше эмоциональная, чем взевешенно-техническая оценка. -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Добрый день! On Thu, Feb 28, 2008 at 12:46:58PM +0200, Vladimir Litovka wrote:

...

Как раз я ровно наоборот говорил, что детектировать надо по пути к узлу-цели, вблизи последнего, потому что на всех sources ресурсов детектирования не напасешься.

Мнэээ... если переходить на терминологию, которую ты употребил ниже по тексту, то такие действия - аналог вмешательства во внутренние дела суверенного государства под видом борьбы с терроризмом :) Грубо говоря, провайдер "А" гасит клиента провайдера "Б", потому что решил, что этот клиент его атакует. Единственный легитимный путь - если ту же задачу над своим клиентом будет выполнять провайдер "Б"

+1

...

Это а) бессмысленно дорого

это не бессмысленно дорого. В случае, если это станет правилом для большинства хотя бы крупных операторов, то все остальные (включая крупных) начнут нести существенно меньшие убытки от атак и получится баш на баш - затраты на безопасность окупятся уменьшением потерь от DoS'ов и пр.

Крупному оператору проще и выгоднее инвестировать в 40G/100G и безболезненно пропускать DDoS через свою сеть, чем строить весокотехнологичные и малопроизводительные cleaning centers. Наращивание производительности даст возможность заодно и увеличить абонентскую базу или повысить "броадбэндность" сервиса :) -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Feb 28, 2008 at 12:41:59PM +0200, Alexander V Soroka writes: AVS> ну так ПУСТЬ ДОЛБОЕБЫ СТРАДАЮТ !!! :) этоже так просто и ПОУЧИТЕЛЬНО ! AVS> пусть вылетают ЛОХИ ! - заставим их смотреть на чем они сидят ! AVS> Я - ЗА !!! Следующим шагом нужно уничтожать не только тех, кто уже заражен, но и тех, кто в принципе подвержен заражению - не сегодня, так завтра всё равно заразится. То есть - всех лохов с виндами. Просто делаем максимально деструктивного трояна. Для того, чтобы пользователи с нормальными операционками меньше страдали. Идём дальше. Заражаться могут не только винды. Но и всякие phpBB, старые sendmail и тому подобное. Чтобы от них не было вредительской деятельности, нужно сканировать сеть, и при обнаружении компов с уязвимостями полностью уничтожать их. Чтобы выполнять эту задачу более эффективно, нужно иметь свой ботнет. То есть, лучше не уничтожать, а заражать. А уничтожать через некоторое время. И тогда всем наступит счастье, все сервисы будут работать хорошо и надёжно, а юзеры и админы, наконец, смогут спать спокойно, не боясь никаких DDoS-ов. Я в правильную сторону развил мысль? ;-) -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Добрый день! On Thu, Feb 28, 2008 at 01:07:17PM +0200, Vladimir Litovka wrote:

...

...

...

Это а) бессмысленно дорого

это не бессмысленно дорого. В случае, если это станет правилом для большинства хотя бы крупных операторов, то все остальные (включая крупных) начнут нести существенно меньшие убытки от атак и получится баш на баш - затраты на безопасность окупятся уменьшением потерь от DoS'ов и пр.

Крупному оператору проще и выгоднее инвестировать в 40G/100G и безболезненно пропускать DDoS через свою сеть, чем строить весокотехнологичные и малопроизводительные cleaning centers. Наращивание производительности даст возможность заодно и увеличить абонентскую базу или повысить "броадбэндность" сервиса :)

одно другого не исключает. дело в том, что наличие 100G опорной сети не избавляет 100Mbps клиента от проблемы атаки на него :) и тут, с моей точки зрения, очевидно, что cleaning center, рассчитанный на отражение атаки, не справится со своей задачей; поэтому cleaning center должен быть рассчитан на работу с источником атаки и находиться в непосредственной близости от него. А это:

- включает в себя как минимум те несколько требований, которые я уже озвучил в предыдущих письмах; - для достижения мало-мальской эффективности должно быть инсталлировано у большинства крупных мировых операторов.

А ведь для нейтрализации источника в непосредственной близости от него cleaning center не нужен. Достаточно просто отключить/зашейпить/etc клиента и сообщить ему о его compromised состоянии. Задача ограничится только детектированием таких клиентов. А тут уже без достаточно точного поведенческого анализа никак. Я очень сомневаюсь, что arbor/lancop/etc сумеет задетектить деятельность одного бота сознательно зарезающего свою пропускную способность 128Kbps/20pps от рядом живущих 256Kbps/40pps клиентов легально отдающих что-то по p2p. Да и масла в огонь подольет еще отсутствие высокопроизводительных реализаций sflow/netflow у вендоров... ;) sampled, не очень устраивает ввиду очень тонкого анализа. -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Feb 28, 2008 at 01:28:16PM +0200, Pavlo Narozhnyy wrote: PN> On 2/28/08, Pavel Gulchouck wrote: PN> > PN> > On Thu, Feb 28, 2008 at 12:41:59PM +0200, Alexander V Soroka writes: PN> > PN> > AVS> ну так ПУСТЬ ДОЛБОЕБЫ СТРАДАЮТ !!! :) этоже так просто и ПОУЧИТЕЛЬНО PN> > ! PN> > AVS> пусть вылетают ЛОХИ ! - заставим их смотреть на чем они сидят ! PN> > AVS> Я - ЗА !!! PN> > PN> > Следующим шагом нужно уничтожать не только тех, кто уже заражен, PN> > но и тех, кто в принципе подвержен заражению - не сегодня, так завтра PN> > всё равно заразится. То есть - всех лохов с виндами. Просто делаем PN> > максимально деструктивного трояна. Для того, чтобы пользователи PN> > с нормальными операционками меньше страдали. PN> > Идём дальше. Заражаться могут не только винды. Но и всякие phpBB, PN> > старые sendmail и тому подобное. Чтобы от них не было вредительской PN> > деятельности, нужно сканировать сеть, и при обнаружении компов с PN> > уязвимостями полностью уничтожать их. Чтобы выполнять эту задачу PN> > более эффективно, нужно иметь свой ботнет. То есть, лучше не PN> > уничтожать, а заражать. А уничтожать через некоторое время. И тогда PN> > всем наступит счастье, все сервисы будут работать хорошо и надёжно, а PN> > юзеры и админы, наконец, смогут спать спокойно, не боясь никаких DDoS-ов. PN> > PN> > Я в правильную сторону развил мысль? ;-) Остаться должен только один (С) Горец PN> предлагаю превентивно всех программистов отправить в концлагеря, оптику PN> прокладывать в нечеловеческих условиях. Все ведь беды от них, в конечном PN> счете. А лучше вернуть времена uucp only и заставить платить отправляющего письма Да и разрешать только uupc для dos -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] уходя, закройте файл =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Feb 28, 2008 at 11:37:25AM +0200, Andrew Stesin wrote: AS> 2008/2/28, Alexander V Soroka : AS> > Я - за войну ! только вот проверка инструментов для укладывания винды AS> > показала что уже 2008 год - и винда не валится :( как раньше... AS> Но как-то же боты в неё, винду-то, и попадают, и размножаются? неужели AS> исключительно по дури юзера, который сам "это" себе закачивает? свежо, AS> как говориццо, питание, да серется с трудом. 99% что есть таки AS> достаточное к-во дырок, через которые "оно" в винду пролазит и там AS> заселяется. AS> Так через эти же дыры и активная защита может отрабатывать? по следам-с... уже был вирус, который лечил винды, а заодно заражал собой, чтобы распроястраняться и дальше лечить винды доброе слово + пистолет насмого убедительнее чем доброе слово -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Ищу выход из Интернета... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Thu, Feb 28, 2008 at 14:42:56, mage wrote about "Re: [uanog] Re[2]: [uanog] Re[2]: [uanog] Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

владельцы ботнетов/штамповщики вирусов уже(!) воюют и пытаются перехватывать друг у друга управление, так что вот так с шашкой наголо - боюсь что ничего сказать тому трояну будет нельзя, а в конце концов они и команды начнут pgp заверять

Как-то нам сломали безнадёжно валявшуюся на collocation машинку (хозяин был, но админа не было, дырка двухлетней давности) и всадили фигушку, которая, как оказалась после вскрытия: - слушает команды на определённом UDP порту - расшифровывает их через RC4 с зашитым в неё ключом - сверяет контрольную сумму - если нормально - находит действие (udpflood, icmpflood, ещё что-то было), адрес получателя и количество пакетов - и шлёт их куда сказано Обратный адрес, конечно, был поддельный. Так что pgp тут не нужно. А вот для управления через irc - варианты типа pgp (но полегче) нужны. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Thu, Feb 28, 2008 at 15:05:59, netch wrote about "Re: [uanog] Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

...

уничтожению данных, хранящихся на нем. Хотите продолжить?". И в почтовый ящик - "в Ваш адрес поступило письмо от blah-blah-blah, которое может содержать угрозу для безопасности вашего компьютера и привести к уничтожению данных, хранящихся на нем. Перейдите по этой ссылке, если вы все-таки хотите получить к нему доступ. Ссылка активна на протяжении 30 дней, после чего письмо будет уничтожено". Уверен, что 99% пользователей, если текст будет написан на их родном языке, не пойдут дальше этого предупреждения.

Ты оптимист.

Я _знаю_ по опыту нашей техподдержки, что 99% пользователей таки пойдут дальше. Потому что одного false positive на 200 писем достаточно, чтобы они стали открывать всё.

Поправка. Просто одного false positive. На любое количество писем. -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Привет ! Thursday, February 28, 2008, 1:23:34 PM, you wrote: PG> On Thu, Feb 28, 2008 at 12:41:59PM +0200, Alexander V Soroka writes: AVS>> ну так ПУСТЬ ДОЛБОЕБЫ СТРАДАЮТ !!! :) этоже так просто и ПОУЧИТЕЛЬНО ! AVS>> пусть вылетают ЛОХИ ! - заставим их смотреть на чем они сидят ! AVS>> Я - ЗА !!! PG> Следующим шагом нужно уничтожать не только тех, кто уже заражен, PG> но и тех, кто в принципе подвержен заражению - не сегодня, так завтра PG> всё равно заразится. То есть - всех лохов с виндами. Просто делаем PG> максимально деструктивного трояна. Для того, чтобы пользователи PG> с нормальными операционками меньше страдали. не надо додумывать и домысливать то что не подразумевалось ! если кто-то взял кирпич и ударил человека по голове - то его судят и карают, и НИ У КОГО не возникает желания ПОТОМ запретить на всякий случай кирпичи, чтобы "неповадно было". :( я написал то что написал. Если ты мудак и не следишь за своим компом - то получи фашист гранату! в след раз будешь ДУМАТЬ и предохраняться. -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Привет ! Thursday, February 28, 2008, 3:58:06 PM, you wrote: PG>>> Следующим шагом нужно уничтожать не только тех, кто уже заражен, PG>>> но и тех, кто в принципе подвержен заражению - не сегодня, так завтра PG>>> всё равно заразится. То есть - всех лохов с виндами. Просто делаем PG>>> максимально деструктивного трояна. Для того, чтобы пользователи PG>>> с нормальными операционками меньше страдали. AVS>> не надо додумывать и домысливать то что не подразумевалось ! AVS>> если кто-то взял кирпич и ударил человека по голове - то его судят и AVS>> карают, и НИ У КОГО не возникает желания ПОТОМ запретить на всякий AVS>> случай кирпичи, чтобы "неповадно было". :( PG> Если кто-то взял кирпич и ударил человека по голове - это произошло PG> с умыслом. А с точки зрения зараженного трояном предложение гасить PG> их компы выглядит как предложение целенаправленно стукать кирпичом PG> по голове тех, кто случайно испачкался о побеленную стенку. софистика ! не "случайно" запачкался а ПРЕДНАМЕРЕННО ! потому что не следил за СВОЕЙ системой! пусть теперь иски Билли выписывает что пострадал из-за долбоеба Билли у которого система дырявая! PG> Я же считаю, что, если кого и надо стукать по голове кирпичом, то тех, PG> кто сознательно рассылает спам и организует DDoS-ы. А юзеров нужно PG> защищать от того, чтобы они не вляпались куда-нибудь, а если уж PG> вляпались, то максимально быстро это обнаружить и устранить (вылечить, PG> а не убить). юзеров надо УЧИТЬ а потом ТРЕБОВАТЬ СОБЛЮДЕНИЯ ! У нас-же почему то маразм крепчает: почему-то на управление виндой знаний считается что не надо... -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Thu, Feb 28, 2008 at 15:58:06, gul wrote about "[uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

Тот, кто не следит за своим компом - совершенно не обязательно мудак. Как и тот, кто не следит за своим автомобилем, например. За компом должен следить админ, за автомобилем - автомеханик. Как раз, наоборот - пока считается, что юзер сам должен следить за своим компом, будут проблемы.

Ну в данном случае "сам" или "не сам" не столько важно, сколько важно качество этого слежения. А как раз оно благодаря текущей ситуации не просто нулевое, а отрицательное. В корпоративных сетях ещё хоть как-то следят. В домашнем же применении - такого нет. И попробуй хоть что-то потребуй от пользователя - он подымет дикий вой и уйдёт к другому провайдеру, лишь бы не думать... Вообще, к сожалению, проблема не в юзерах. Я процитирую к этому одну переписку (чуть длинновато, но того стоит): === vitus_wagner: Сейчас у пользователя есть желание избавиться от глюков, вирусов, спаммерских троянов и т.д. Персональный компьютер этого обеспечить не может. Между пользовательским компьютером (местом, где хранится и обрабатывается информация пользователя) и враждебной сетью должен быть профессионально администрируемый файрволл. И даже этого недостаточно. Т.е. в рамках существующей парадигмы десктопов у пользователя есть два варианта - либо переставать быть компьютерным дилетантом самому (чего, как вы верно заметили выше, пользователь не хочет), либо переставать быть полновластным хозяином своего компьютера, передавая это право либо профессиональным сисадминам (корпоративные сети), либо вендорам софта и прочим владельцам IP (trusted computing). И то, и другое - плохо. Если в новую парадигму удастся органически вписать на концептуальном уровне информационную безопасность (а именно здесь у тулбокса неплохие перспективы) и грамотное разделение полномочий между пользователелем и обслуживающим персоналом (сисадмином) то пользователь туда потянется. А вообще задача - вместо лестницы вверх (от дилетанта до профессионального обходителя глюков софта, писанного для дилетантов) выстроить лестницу вниз. Чтобы профессионалу было удобно решать свои задачи. А дилетантам бы доставались объедки со стола профессионалов. Ибо объедки со стола профессионалов будут вкуснее, чем тот софтверный фастфуд, которым кормят и дилетантов и профессионалов современные вендоры. === === beldmit: У пользователя нет желания избавляться от глюков, вирусов, спаммерских троянов и т.д. Пользователь хочет, чтобы он поставил - и все работало само. И не ломалось. В крайнем случае мышкой пощелкать настройки. Для конфигурации нужен специалист - от семейного масштаба и выше. === === vitus_wagner: Ни одна из существующих моделей не обеспечивает сочетания одновременно - соблюдения принципа фон Неймана(т.е. возможности обращения с программами как данными) - простоты - надежности. В общем, выбирайте любые два из трех - либо надежность и принцип фон-Неймана - получается Unix, требующий обучения и понимания, либо принцип фон-Неймана и простота, получается Windows с пользователем с администраторскими правами, либо надежность и простота - получается сотовый телефон, в который хрен какую дополнительную софтину воткнешь. А если воткнешь, то при каждой попытке обращения к интернету тебя будут спрашивать, а правда ли ты хочешь её туда пустить. Потому что возможность прописать её это право раз и навсегда - уже усложнение. === В принципе, это повторение по кругу вслед за одной простой мыслью, что гибкость современных компьютеров неадекватна качеству их применения. Идеальным вариантом для домашнего юзера была бы не Windows в её нынешнем виде, а панель с разъёмами для картриджей, аналогично игровым приставкам. Один картридж - Windows, другой - Word, третий - Photoshop. Данные в такой системе есть, но неактивны и исполняться не могут (то есть даже с учётом всех видов памяти это не фон-неймановская организация, а гарвардская - даже если процессор фон-неймановский). Код предельно жёстко защищается от модификации, картридж - идеально содержит просто ROM, реально это будет флэшка с переключателем записи, недоступным юзеру. (Может, что-то в духе защиты нынешних Spartan'ов.) Данные - неисполняемы. Если кому-то нужны макросы - они или исполняются в предельно закрытом окружении (аналогично жизни скриптов на веб-страницах), или нужны специальные версии. Заодно решились бы проблемы с воровством софта - картридж так просто не своруешь.;(( А вот для специалистов - уже давать возможности более широкого плана. Исключить все "дружественные ОС" за пределами системы с картриджами. Всё, что умеет исполнять ХЗ что, должно быть профессиональным и суровым, как редактор TECO.:))) -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Alexander V Soroka :

не надо валить ХР - надо уничтожать их - также как они сами управляют троянами... ... ну так ПУСТЬ ДОЛБОЕБЫ СТРАДАЮТ !!! :) этоже так просто и ПОУЧИТЕЛЬНО ! пусть вылетают ЛОХИ ! - заставим их смотреть на чем они сидят ! Я - ЗА !!!

ПОЛЬЗОВАТЕЛЬ ВИНДЫ - должен ЗНАТЬ ТО НА ЧЕМ ОН РАБОТАЕТ, а не занимать позицию блондинки "оно там внутри неонка". УЧИТЬ МАТЧАСТЬ, или твоя винда всегда будет вынесена встречной атакой. Нах идиотов выносить !!! население растет и идотов надо мочить ! :)

Согласен с Васильичем. Просто потому, что покажите хоть один любой другой ДЕЙСТВЕННЫЙ метод? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Pavlo Narozhnyy :

Не боитесь нарваться на грамотного юриста, который разделает Вашу атаку на домашний писюк в суде под отбивную котлету?

Никоим образом. Чтобы победить дракона, нужен второй дракон; соответственно, свои юристы надо чтобы были еще зубастее тех. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi! On Thu, Feb 28, 2008 at 04:14:40PM +0200, Valentin Nechayev writes: [...] VN> В общем, выбирайте любые два из трех - либо надежность и принцип VN> фон-Неймана - получается Unix, требующий обучения и понимания, либо VN> принцип фон-Неймана и простота, получается Windows с пользователем с VN> администраторскими правами, либо надежность и простота - получается VN> сотовый телефон, в который хрен какую дополнительную софтину VN> воткнешь. А если воткнешь, то при каждой попытке обращения к VN> интернету тебя будут спрашивать, а правда ли ты хочешь её туда VN> пустить. Потому что возможность прописать её это право раз и VN> навсегда - уже усложнение. VN> === VN> В принципе, это повторение по кругу вслед за одной простой мыслью, VN> что гибкость современных компьютеров неадекватна качеству их VN> применения. Идеальным вариантом для домашнего юзера была бы не VN> Windows в её нынешнем виде, а панель с разъёмами для картриджей, VN> аналогично игровым приставкам. Один картридж - Windows, другой - VN> Word, третий - Photoshop. Данные в такой системе есть, но неактивны VN> и исполняться не могут (то есть даже с учётом всех видов памяти это VN> не фон-неймановская организация, а гарвардская - даже если процессор VN> фон-неймановский). Код предельно жёстко защищается от модификации, VN> картридж - идеально содержит просто ROM, реально это будет флэшка с VN> переключателем записи, недоступным юзеру. (Может, что-то в духе VN> защиты нынешних Spartan'ов.) Данные - неисполняемы. Если кому-то VN> нужны макросы - они или исполняются в предельно закрытом окружении VN> (аналогично жизни скриптов на веб-страницах), или нужны специальные VN> версии. Заодно решились бы проблемы с воровством софта - картридж VN> так просто не своруешь.;(( VN> А вот для специалистов - уже давать возможности более широкого VN> плана. Исключить все "дружественные ОС" за пределами системы с VN> картриджами. Всё, что умеет исполнять ХЗ что, должно быть VN> профессиональным и суровым, как редактор TECO.:))) В этом ракурсе привлекательно и перспективно выглядит unix desktop. В частности (и, наверное, в особенности) Mac OS X. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Vladimir Litovka :

- включает в себя как минимум те несколько требований, которые я уже озвучил в предыдущих письмах; - для достижения мало-мальской эффективности должно быть инсталлировано у большинства крупных мировых операторов.

Вопрос. Как их заставить это сделать?

при невыполнении любого одного из этих двух пунктов дискуссия о методах борьбы с DoS'ом превращается в интеллектуальный онанизм, если заняться больше нечем :-)

Типа скрытая реклама твоего работодателя, без покупки продукции которого тута всем полярный лис придет? ;) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Привет ! Thursday, February 28, 2008, 4:14:40 PM, you wrote: VN> === vitus_wagner: ... VN> Т.е. в рамках существующей парадигмы десктопов у пользователя есть VN> два варианта - либо переставать быть компьютерным дилетантом VN> самому (чего, как вы верно заметили выше, пользователь не хочет), VN> либо переставать быть полновластным хозяином своего компьютера, VN> передавая это право либо профессиональным сисадминам VN> (корпоративные сети), либо вендорам софта и прочим владельцам IP VN> (trusted computing). И то, и другое - плохо. Если в новую VN> парадигму удастся органически вписать на концептуальном уровне VN> информационную безопасность (а именно здесь у тулбокса неплохие VN> перспективы) и грамотное разделение полномочий между VN> пользователелем и обслуживающим персоналом (сисадмином) то VN> пользователь туда потянется. утопия :( нужно не упрашивать а ЗАСТАВИТЬ или ВЫДАВИТЬ пользователя в то что всем будет хорошо - "массы сами не ходят" (с) Ленин. VN> Ибо объедки со стола профессионалов будут вкуснее, чем тот VN> софтверный фастфуд, которым кормят и дилетантов и профессионалов VN> современные вендоры. УТОПИЯ !!! НИ ОДИН ПРОДУКТ НЕ ПИШУТ САМИ ПРОФИ !!! :) все программеры живут по принципу "если вам чего-то надо - дайте денег и скажите что хотите - мы САМИ скажем как мы это НАМ удобным способом напишем". (утрировано) Т.е. хаос и энтропия - побеждают :( Т.е. ПО тоже чей-то заказ, а не личная инициатива ПРОФИ... Для тех кто не понял мысль: НИЧЕГО в мире не делается "во имя добра" все происходит от лени и от того что кому-то лично ЭТО стало нужно... VN> В общем, выбирайте любые два из трех - либо надежность и принцип VN> фон-Неймана - получается Unix, требующий обучения и понимания, VN> либо принцип фон-Неймана и простота, получается Windows с VN> пользователем с администраторскими правами, либо надежность и VN> простота - получается сотовый телефон, в который хрен какую VN> дополнительную софтину воткнешь Браво! :) самое интересное - что те кто долбоепы-юзвери - то им-то от компа и мало что надо - вот им калькуляторы с принтером и пойдут - без игр и флешей "бублей" из инета :) VN> В принципе, это повторение по кругу вслед за одной простой мыслью, VN> что гибкость современных компьютеров неадекватна качеству их VN> применения. Идеальным вариантом для домашнего юзера была бы не VN> Windows в её нынешнем виде, а панель с разъёмами для картриджей, VN> аналогично игровым приставкам. Один картридж - Windows, другой - VN> Word, третий - Photoshop. Данные в такой системе есть, но VN> неактивны и исполняться не могут (то есть даже с учётом всех видов VN> памяти это не фон-неймановская организация, а гарвардская - даже VN> если процессор фон-неймановский). вот оно ! :) таки - решение. Кто не хочет УЧИТЬСЯ - тот пусть работает на калькуляторе - БРАВО !!! полностью ЗА ! :) -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Thu, Feb 28, 2008 at 16:18:05, stesin wrote about "[uanog] Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

...

Ну давай подумаем. Итак, у нас есть небольшой ботнет на 1000 машин. Каждая сидит на ADSL2+, провода идеальные, получается upstream'а 2.4Mb/s (как говорят наши канальщики - "если включен канал M"). Разделим на 3 для перехода в реальные условия, получаем 800Kb/s. В сумме они дадут мегабит 800. Чтобы парализовать одну машинку такого рода - надо выдать, мне кажется, хотя бы мегабит входящего с произвольными host:port Никакого "входящего". Сканим машинку на предмет уязвимостей и засаживаем в неё (навстречу) своего собственного бота.

Многие современные боты, проникнув в систему, затыкают путь такого проникновения. Это если оно не требует ручного локального вмешательства. Если требует (надо явно открыть аттач в письме) - тем более не пойдёт. И учти ещё, что меры заражения сейчас обычно сверхмассовые: распространим миллион писем - авось кто откроет; постучимся на миллион портов - авось кто не закрыл; попробуем миллиард попыток логина - авось у кого-то есть admin с паролем admin; и так далее. И они приносят свой результат просто по закону больших чисел. А если у тебя задача повторно заразить уже заражённую машину, не имея данных о том, какой из нескольких десятков возможных путей сработал - каким именно образом ты собираешься её решать? Мне кажется, что шансы решить её не сильно отличаются от нуля. Так что написав собственного бота - ты разве что сможешь организовать собственный ботнет. "Убить дракона" смотрел/читал? Эти меры приводят к тому, что победить дракона ты сможешь, только когда сам станешь драконом. И неизвестно, вернёшься ли обратно - наличие собственного ботнета и устойчивый приработок на ниве спама неплохо разлагают... а если есть жажда власти - так тем более - будешь принимать заказы хотя бы для того, чтобы доказать "им всем", что ты тоже в этом мире хозяин...

Каковой бот делает с машиной что-либо, лишающее её возможности работать в сети (например, сносит драйвер эзернета) и пишет на экран: "эй хозяин тазика, у тебя тут бот который досил моего хозяина, почисть и полатай машину".

После чего тот переустанавливает систему поверх текущей и плюёт на проблему (40%), переустанавливает систему поверх текущей, проходится по ней кривым бесплатным антивирусом прошлого года и успокаивается (40%), жалуется во все органы включая АНБ, ФСБ, Моссад, Сигуранцу и штаб-квартиру ХДС-ХСС одновременно, переустанавливает систему поверх текущей и успокаивается (10%). Оставшиеся 10%, может быть, что-то более вменяемое и сделают. Но вряд ли. Средняя эффективность лечения - стандартные 5%. В иную цифру - не верю. И учти, что твой бот, так как он создаёт явное окно, которое можно вычислить и по нему процесс и бинарник - пострадает сразу. А вредоносный троян - нет.

...

Ну и я молчу, что такие средства при первой возможности начинают генерировать поддельный обратный адрес, а uRPF стоит далеко не у всех. А вот за это надо показательно ТРАХАТЬ провайдеров, которые позволяют слать fake source IP своим лохам-юзерам

Уй насмешил. Да кто сейчас на такое вообще обращает внимание... тут идёт очередное соревнование "кто больше лохов подключит", всем микроволновкам дают адреса... все ищут, как бы похитрее извратить раутинг, так называемые мобильные адреса на каждом углу - ты думаешь, кто-то что-то в этих условиях собирается фильтровать??? Они тебя просто пошлют нафиг - скажут, в пятилетнем плане развития средства на такое не предусмотрены (ещё бы - это же не вклад в зарабатывание бабла, а защита от какой-то там "сетевой общественности", которая много трындит, но реально ничего не сможет сделать), и вообще - вы кто такой? Ах, админ... КАК ты его "трахнешь"? Если сейчас что-то поможет - то это методы стиля "Гринписа". Да-да, вонючая краска, зажигательная смесь - в гермозоны, датацентры и центры обслуживания клиентов. И как с тем же гринписом - подспудно это будет зарабатывание бабла на конкурентах того, кто подставился.

...

... и ничего не изменится. Потому что таких "добрых" как ты - будет 1 из 100. Остальные - хотя бы побоятся юридической мести провайдеров, которые будут кушать твой встречный трафик. Не будет там встречного трафика.

Прожектёрство. :( -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28 Andrew Stesin :

Неверно. Клиент провайдера "А" гасит клиента провайдера "Б", далее по тексту.

Это еще хуже. Это - анархия. Если правительства двух стран (провайдеры "А" и "Б") могут договориться друг с другом, то граждане этих стран будут мочить друг друга до тех пор, пока мочить станет некому некого. С точки зрения бизнесмена Сороки - идеальный расклад, но кто тогда будет денюшку приносить в клювике? :-)

Волнует данный вопрос лишь владельцев информационных ресурсов.

Почти правильно глаголеш :) а в целом - волнует _всех_ абонентов данного SP. Которые, выставляя денежные претензии своему SP и заставляя его волноваться этим вопросом.

Не смотрел. Вектор развития сети определяет (в конечном счете) пользователь оной сети.

Увы, не соглашусь. Да, безусловно, пипл чего-то хочет. Но хочет он то, что большие дяди загодя начинают пиарить в прессе.

Да, мне эмоционально противен подход, когда оперативную работу по обезвреживаню преступников подменяют превращением в концлагерь повседневной жизни миллионов добропорядочных людей. [ ... ] Улавливаешь?

Странная у тебя смесь взглядов. С одной стороны, правительству ограничивать граждан нельзя. С другой стороны - если граждане будут мочить друг друга при молчаливом попустительстве правильства - то это допустимо. -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28 Andrew Stesin :

...

при невыполнении любого одного из этих двух пунктов дискуссия о методах борьбы с DoS'ом превращается в интеллектуальный онанизм, если заняться больше нечем :-)

Типа скрытая реклама твоего работодателя, без покупки продукции которого тута всем полярный лис придет? ;)

О, перевод дискуссии в русло "сам дурак" :-\ Я ни слова не сказал про продукцию моего работодателя - не притягивай за уши то, что ты знаешь beyond this discussion. -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Dmitry Kiselev :

А ведь для нейтрализации источника в непосредственной близости от него cleaning center не нужен. Достаточно просто отключить/зашейпить/etc клиента и сообщить ему о его compromised состоянии.

Задача ограничится только детектированием таких клиентов.

Здравый голос среди шума и рекламы ;) как бы так нагнуть провайдеров, чтобы они это реализовали. Без Deep Packet Inspection ибо низзя. А технические трудности вполне победимые. Вот кстати достойная задача для ИнАУ. В контакте с зарубежными такого рода организациями. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Alexander Trotsai :

уже был вирус, который лечил винды, а заодно заражал собой, чтобы распроястраняться и дальше лечить винды

доброе слово + пистолет насмого убедительнее чем доброе слово

Ага. Но даже заражать собой не надо. Проникнуть в зараженный тазик, расстрелять гнилую ось, предупредить хозяина компа и бесследно самоуничтожиться. Принцип бактериофага. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Alexander Trotsai :

владельцы ботнетов/штамповщики вирусов уже(!) воюют и пытаются перехватывать друг у друга управление

Откуда знаешь? ;) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28 Andrew Stesin :

Проблема не в этом. А в том, что, как только у тебя на сети эта фича появится, к тебе придут люди в погонах и начнут убедительно настаивать на применении оной фичи вопреки её целевому назначению.

И - раньше или позже - убедят.

Они придут независимо от того, появилась эта фича у оператора или нет. Не нужно ведь напоминать, что уже давно на уровне законодательства закреплен механизм прослушивания телефонных разговоров? Впрочем, если следовать твоей логике, то появление провода уже провоцирует приход людей в погонах, потому что провод - это то, что можно использовать :) Так что провода - порвать нах! :-) Во, музыкой навеяло :) - "Поэтому, теоретизируя, он высказывал странную смесь взглядов: власть богатых надобно свергнуть (это от Вепря, который, видимо, был чем-то вроде социалиста или коммуниста), во главе государства поставить надлежит инженеров и техников (это от Кетшефа), города срыть, а самим жить в единении с природой (какой-то штабной мыслитель-буколист), и всего этого можно добиться только беспрекословным подчинением приказу вышестоящих командиров, и поменьше болтовни на отвлеченные темы." -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Feb 28, 2008 at 04:49:47PM +0200, Vladimir A. Podgorny writes:

...

- кто в состоянии обеспечить защиту?":

...

В этом ракурсе привлекательно и перспективно выглядит unix desktop. В частности (и, наверное, в особенности) Mac OS X.

Да-да. Но тем не менее "узок их круг, страшно далеки они от народа".

Где-то выше по потоку сознания было правильно замечено, что если что-то делается, значит это кому-то нужно. И если процент макосей на десктопах станец достаточно велик для того, чтобы заинтересовать владельцев ботнетов, уж будьте уверены, что проблема подсадки подарка на клиентскую макось будет решена. Так что ни никсы, ни макоси - не панацея. Просто они нафиг никому не нужны в свете того, что и маздаек вокруг хватает...

Я не говорю, что трояны под юникс (и под макось в частности) в принципе невозможны, но их подсадить настолько сложнее, что они будут садиться на винду, даже если 90% юзеров будут под макосью. Как минимум, потому что под макосью юзер не работает с правами администратора. И это далеко не единственная объективная причина. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Pavel Gulchouck :

Если кто-то взял кирпич и ударил человека по голове - это произошло с умыслом. А с точки зрения зараженного трояном предложение гасить их компы выглядит как предложение целенаправленно стукать кирпичом по голове тех, кто случайно испачкался о побеленную стенку.

Сам испачкался - втори проблемы. Но правильнее несколько другая аналогия. А именно. Тебе никто не запрещает быть бомжом, ходить смердящим и вывалянным в дерьме - но ровно до тех пор, пока ты не пытаешься влезть в общественный транспорт и испачкать собой нормального человека - вымазать дерьмом, в котором ты спал, или заразить вшами, чи туберкулезом от своего зловонного дыхания. Улавливаешь разницу?

Я же считаю, что, если кого и надо стукать по голове кирпичом, то тех, кто сознательно рассылает спам и организует DDoS-ы.

Это само собой, но трудновыполнимо.

А юзеров нужно защищать от того, чтобы они не вляпались куда-нибудь,

Вначале надо вправить им мозги, чтобы они осознали сам факт наличия опасности. Бессмысленно пытаться "защищать" человека, если он не понимает опасности - он сочтет это за рекет и посягательство на свою частную жизнь.

а если уж вляпались, то максимально быстро это обнаружить и устранить (вылечить, а не убить).

Убивать? Пашо ти перебільшуєш. Уничтожение зараженной копии ОС это аналог не "убийства" а стрижки волос, или бритья щетины.

Тот, кто не следит за своим компом - совершенно не обязательно мудак. Как и тот, кто не следит за своим автомобилем, например. За компом должен следить админ, за автомобилем - автомеханик.

Ты какой-то марксист и либерал одновременно. Учите букварь. Слышал когда-то такое высказывание: СОБСТВЕННОСТЬ ОБЯЗЫВАЕТ? Рассматривая твою аналогию с автомобилем. Если в результате негодного технического состояния автомобиль стал причиной ДТП и ПРИЧИНИЛ УЩЕРБ другому лицу - то ОТВЕЧАТЬ будет владелец автомобиля. А какого автомеханика он выбирал, или сам обслуживал машину, или нет - то все до сbаки, демагогия. К автомеханику можно разве что регрессный иск вчинить. Потом. Может быть. С нулевой судебной перспективой. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Feb 28, 2008 at 04:27:54PM +0200, Andrew Stesin writes: AS> 2008/2/28, Pavlo Narozhnyy :

...

Не боитесь нарваться на грамотного юриста, который разделает Вашу атаку на домашний писюк в суде под отбивную котлету?

Никоим образом. Чтобы победить дракона, нужен второй дракон; соответственно, свои юристы надо чтобы были еще зубастее тех.

Силовое решение проблем имеет один существенный недостаток: перевес в силе не всегда оказывается на стороне справедливости. Этот простой тезис ускользает от тех, кто считает себя всегда самым справедливым и самым сильным. :) -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Привет ! Thursday, February 28, 2008, 4:45:43 PM, you wrote: VL> С точки зрения бизнесмена Сороки - идеальный расклад, но кто тогда VL> будет денюшку приносить в клювике? :-) стрельба ядерными боеприпасами способствует расчистке территории от хуево построенных домов и пидоров там обитающих :) а на расчищенном месте удобно СРАЗУ строить что-то красивое и более современное. а денюжки - заплатят все чтобы не повторилось :) и за ОБУЧЕНИЕ заплатят - чтобы ПОНИМАТЬ как их ебнули и как не повторить :) так что не ссы - все Ок :) (сорри за мат - не могу терпеть) -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Vladimir Litovka :

О, перевод дискуссии в русло "сам дурак" :-\ Я ни слова не сказал про продукцию моего работодателя

Извини, я имел в виду то, что ты выступаешь с идейных позиций продавца этих железок (неважно, работодателя, ил инет, просто свопадение, наверное). А эти идейные позиции порочны имхо =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28 Alexander V Soroka :

стрельба ядерными боеприпасами способствует расчистке территории от хуево построенных домов и пидоров там обитающих :) а на расчищенном месте удобно СРАЗУ строить что-то красивое и более современное.

децкий сад. "А я у американцев возьму атомную бомбу!" - "А я - у японцев ядерную" - "А я... а я... а я у европейцев - КРАСНУЮ!" :-)))) а вроде бы взрослые уже дяди... -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28 Andrew Stesin :

...

О, перевод дискуссии в русло "сам дурак" :-\ Я ни слова не сказал про продукцию моего работодателя

Извини, я имел в виду то, что ты выступаешь с идейных позиций продавца этих железок (неважно, работодателя, ил инет, просто свопадение, наверное). А эти идейные позиции порочны имхо

Ну они безусловно слабее тезиса "Да что тут предлагать?.. А то пишут, пишут... Конгресс, немцы какие-то... Голова пухнет. Взять все, да и поделить..." ;-) -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/2/28, Pavel Gulchouck :

Силовое решение проблем имеет один существенный недостаток: перевес в силе не всегда оказывается на стороне справедливости.

Справедливости не существует. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka пишет:

2008/2/28 Alexander V Soroka :

...

стрельба ядерными боеприпасами способствует расчистке территории от хуево построенных домов и пидоров там обитающих :) а на расчищенном месте удобно СРАЗУ строить что-то красивое и более современное.

децкий сад. "А я у американцев возьму атомную бомбу!" - "А я - у японцев ядерную" - "А я... а я... а я у европейцев - КРАСНУЮ!" :-)))) а вроде бы взрослые уже дяди...

Ностальгия, скорее всего одолела ... :) Хотелось бы получить ответ на следующий вопрос: как много провайдеров на Украине идут на то, что бы отфильтровать DDoS по просьбе абонента по какому-либо из признаков udp/icmp/etc? Рассмотрим ситуацию: На абонента X идет распределенная атака. Трафика не много и даже льется он не на сервис абонента, а по соседним tcp/udp портам (т.е соседним сервисам) на этом же хосте. Использовать blackhole - это убить сервис и фактически посодействовать DDoS-ерам в достижении их цели. Многие ли идут на то, что бы выполнять фильтрацию? Не выдернуть шнурок/инициировать blackhole, а именно фильтрацию? При желании - ответить можно приватно. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Привет ! Thursday, February 28, 2008, 6:01:08 PM, you wrote: PG> On Thu, Feb 28, 2008 at 05:40:06PM +0200, Andrew Stesin writes:

...

...

Силовое решение проблем имеет один существенный недостаток: перевес в силе не всегда оказывается на стороне справедливости.

AS>> Справедливости не существует. PG> Но ведь есть какие-то ориентиры в поведении, кроме силы? Н И К А К И Х !!! и чем раньше ты это поймешь - тем лучше... народ (сиречь = быдло) сильные мира сего опутывают всякими "низзя" чтобы народ спал и сосал лапу и НЕ ДАЙ БОГ не задумался где корень всех бед... потому что корень на виду у всех... и ПРОСТО ЖИТЬ это не выгодно никому кроме тебя, ни государству ни прочим олигархам... -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Thu, Feb 28, 2008 at 17:34:53, stesin wrote about "[uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

...

Андрей, скажи - ты уверен, что потом своего, большего, дракона сможешь успокоить, чтобы он не съел всё вокруг и тебя тоже? Практика - критерий истины. А все вероятности равны 50%.

Вот уж не думал, что ты заговоришь как блаандинка. :) -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Все так... ? про б?знес SP правильно (доставка damned bits), ? благородний гн?в на пох..зм SP. Проте якщо почати в?шати на г?лляках вздовж траси Чоп-Луганськ, чи там Черн?г?в-Севастоп?ль нерадивих л?нивих SP, то дуже швидко все виродиться в нап?вп?дп?льну та дорогу послугу, для функц?онування котро? не потр?бно н?чого робити :))): Продукт ?666 "Надання кл??нту можливост? орган?зац?? IP-spoofing'a" ? чорний ринок таких SP-однодн?вок появиться моментально. Хтось хоче п?дзаробити на такому чорному ринку? :))))))))))))) -----Исходное сообщение----- От: owner-uanog-outgoing@uanog.kiev.ua от имени Andrew Stesin Отправлено: Чт, 28.02.2008 16:37 Кому: uanog@uanog.kiev.ua; Vladimir Litovka; Andrew Stesin; Alexander Trotsai Тема: Re: [uanog] Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту? 2008/2/28, Dmitry Kiselev :

Крупному оператору проще и выгоднее инвестировать в 40G/100G и безболезненно пропускать DDoS через свою сеть, чем строить весокотехнологичные и малопроизводительные cleaning centers. Наращивание производительности даст возможность заодно и увеличить абонентскую базу или повысить "броадбэндность" сервиса :)

100% это именно так :( у них, повторюсь, другой бизнес совсем. А владельц? информационных ресурсов - заложники провайдеров и жертвы некро$офта. Вощ? провайдер?в, як? дозволяють сво?м абонентам п?дробку source IP - на г?лляку!!!

On Thu, Feb 28, 2008 at 05:03:38PM +0200, Andrew Stesin wrote: AS> 2008/2/28, Alexander Trotsai : AS> > AS> > владельцы ботнетов/штамповщики вирусов уже(!) воюют и AS> > пытаются перехватывать друг у друга управление AS> Откуда знаешь? ;) сомопросвещаюсь в том числе и про новынки вирусов надо ж знать какая гадость завтра (а в последнее время, вчера) поползет -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Вечный двигатель. Гарантия 12 месяцев =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Отчего ж обязательно приватно? Всем интересно будет. Но, Юра, ты imho неправильно вопрос сформулировал (если желаешь, разумеется, получить какие-то информативные ответы). Предлагаю уж тогда вопросы в следующем звучании: 1. Какова на Ваш взгляд динамика увеличения количества DDoS-атак в Украине за последний год (квартал, месяц)? 2. Каковы на Ваш взгляд распределения по целям DDoS-атак: а) клиентские applications б) "системные" интернет-сервисы (DNS, etc) в) сервисы транспортного уровня (icmp, etc) 3. Каков удельный вес известных Вам DDoS-атак, которые провайдер пытался нейтрализировать средствами: а) backhole б) фильтрами в) другое г) вообще "забил" Типа все в процентах от, внимание, личного опыта! И никто ничего не сдает "конкретно про себя и свою кантору". Потом возьмем, усредним, разделим, умножим, добавим и получим что-то статистически показательное. Может кто-то еще какие интересующие его вопросы добавит... И всем миром здесь посмотрим шо нас ждет в близком будущем (какие тренды характерны). Бо нету для хоть Украины сколь-либо информативной статистики такого рода. Даже там, где могла бы она быть и где, говорили, люди вроде как не против были ее официально продать, обращался - молчат как рыбы об лед. С ув., /олег -----Исходное сообщение----- От: owner-uanog-outgoing@uanog.kiev.ua от имени Yury Yaroshevsky Отправлено: Чт, 28.02.2008 17:53 Копия: UANOG Тема: Re: [uanog] Re[2]: [uanog] Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту? Vladimir Litovka пишет:

2008/2/28 Alexander V Soroka :

...

стрельба ядерными боеприпасами способствует расчистке территории от хуево построенных домов и пидоров там обитающих :) а на расчищенном месте удобно СРАЗУ строить что-то красивое и более современное.

децкий сад. "А я у американцев возьму атомную бомбу!" - "А я - у японцев ядерную" - "А я... а я... а я у европейцев - КРАСНУЮ!" :-)))) а вроде бы взрослые уже дяди...

Ностальгия, скорее всего одолела ... :) Хотелось бы получить ответ на следующий вопрос: как много провайдеров на Украине идут на то, что бы отфильтровать DDoS по просьбе абонента по какому-либо из признаков udp/icmp/etc? Рассмотрим ситуацию: На абонента X идет распределенная атака. Трафика не много и даже льется он не на сервис абонента, а по соседним tcp/udp портам (т.е соседним сервисам) на этом же хосте. Использовать blackhole - это убить сервис и фактически посодействовать DDoS-ерам в достижении их цели. Многие ли идут на то, что бы выполнять фильтрацию? Не выдернуть шнурок/инициировать blackhole, а именно фильтрацию? При желании - ответить можно приватно. ===================================================================

Hi Valentin,

нулевое, а отрицательное. В корпоративных сетях ещё хоть как-то следят. В домашнем же применении - такого нет. И попробуй хоть что-то потребуй от пользователя - он подымет дикий вой и уйдёт к другому провайдеру, лишь бы не думать...

Следят. Мой провайдер следит. Отключает зараженных и раздает нашару лицензионный McAffee последней версии. Соотв-но при левой активности остается возможность писать в support и загружать этот антивирус :) Слышал похожую историю от абонента Воля кабель.

У пользователя нет желания избавляться от глюков, вирусов,

Неправда. Желание избавиться от глюков и медленной работы есть у всех.

спаммерских троянов и т.д. Пользователь хочет, чтобы он поставил - и все работало само. И не ломалось.

Не согласен с теми, кто считает, что этого нет :) -- Michael Экипаж прощается с Вами и желает приятного полета. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On 28 февр. 2008, at 21:39, Michael Petrusha wrote:

Hi Pavel,

...

В этом ракурсе привлекательно и перспективно выглядит unix desktop. В частности (и, наверное, в особенности) Mac OS X.

В смысле отсутствия вирусов под него? Ну так будут. А антивирусы? А бесплатные?

Антивирусы уже есть - так желание заработать побеждает здравый смысл :) Из бесплатных знаю только clamav. Но много ли бесплатных еще пару лет было под тот же Windows?

А то вот из Linux'ов спам-боты делают (видел) и антивирусов к ним не особо.

Что один человек сделал, другой завсегда сломать может. Не думаю, что Mac OS X будет панацеей, но как десктоп, imho, это лучшая в мире ОС. Перебрался на неё пару лет как и ни разу не пожалел об этом. Не скажу, что идеальная, отнюдь. Но на голову лучше конкурентов. К Mac OS X Server это не относится, там всё неоднозначно. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Fri, Feb 29, 2008 at 11:29:08, netch wrote about "Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту?":

Ну в таком варианте - да. Осталось дать ему возможность стереть систему нахъ и заодно обезопаситься от последствий (неважно, с чьей стороны) за создание такой странички. А последствия будут - даже со стороны спамеров - им ведь это подрывает кормовую базу...

И, кстати, распространять-то как? Создавать свои порносайты для заманивания ламеров и ботнеты для рассылки спама?;)) В любом случае это самое тонкое место - успешная реализация борьбы подрывает возможности дальнейшей реализации борьбы... прямо хоть заводи государственные средства для этого:)) -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Feb 28, 2008 at 06:04:30PM +0200, Alexander V Soroka writes: AVS> Thursday, February 28, 2008, 6:01:08 PM, you wrote: PG>> On Thu, Feb 28, 2008 at 05:40:06PM +0200, Andrew Stesin writes:

...

...

...

Силовое решение проблем имеет один существенный недостаток: перевес в силе не всегда оказывается на стороне справедливости.

AS>>> Справедливости не существует. PG>> Но ведь есть какие-то ориентиры в поведении, кроме силы? AVS> Н И К А К И Х !!! AVS> и чем раньше ты это поймешь - тем лучше... AVS> народ (сиречь = быдло) сильные мира сего опутывают всякими "низзя" AVS> чтобы народ спал и сосал лапу и НЕ ДАЙ БОГ не задумался где корень AVS> всех бед... потому что корень на виду у всех... и ПРОСТО ЖИТЬ AVS> это не выгодно никому кроме тебя, ни государству ни прочим AVS> олигархам... Извиняюсь за продолжение оффтопика. Да, я знаю, что среди политиков, олигархов и прочих сильных мира сего практически никаких ориентиров, кроме "я сильнее", нет, и народ для них - статистический материал. И этот статистический матириал использовать удобнее, если ему говорить про доброту и справедливость. И те, кто стремится подняться по иерархии нашего социума (бизнес, политика), принимают именно эту позицию и систему ценностей. Именно поэтому я не считаю их предметом для подражания, и не советовал бы Вам стремиться стать похожим на них, т.е. ставить целью подняться по этой иерархии. В других случаях есть и другие ориентиры, и другие системы ценностей, и даже иногда справедливость, доброта, гармония и прочие понятия, которые сильные мира сего дискредитируют в своих выступлениях перед статистами. По мере развития цивилизации и юриспруденция стала развиваться, даже рабам какие-то права дали, а потом и вовсе рабство запретили во многих странах. Да, в детстве нас учили, что закон один для всех, что милиция защищает обиженых и т.п., а теперь мы видим, что это, мягко говоря, не совсем так. Но не нужно впадать в другую крайность и говорить, что у нас полный и абсолютный беспредел, где ничего, кроме силы, значения не имеет, и никаких других ориентиров поведения ни у кого нет. Это неправда, это позиция быдла, к которому я Вас (btw, не помню, когда мы перешли на "ты") относить не хотел бы. Если Вы утверждаете, что никаких ориентиров, кроме силы, не существует, то говорите об этом от своего имени ("у меня") или в приложении к конкретным людям ("у него"), а не вообще. P.S. Да, "в Интернете кто-то не прав". ;-) -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Мдя... Прекрасну штуку придумали. http://stopddos.ru/current/ (це я по л?нку вниз в?д названого сходив). Класно було б щось под?бне ? в Укра?н? зробити. --- Regards, /oleh -----Исходное сообщение----- От: owner-uanog-outgoing@uanog.kiev.ua от имени Serge Negodyuck Отправлено: Сб, 01.03.2008 21:43 Копия: UANOG Тема: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту? 26.02.08, Andrew Stesin написал(а):

p.s. Или - как вариант - зарубежный хостер. Людям очень важно, чтобы сайт работал. Когда ддосили извесный ресурс bash.org.ru и админы Мастерхоста ничего не могли сделать - им посоветовали воспользоваться услугами http://www.hostex.no/ - и это помогло.

P.S. интересная инфа по теме: http://bugtraq.ru/rsn/archive/2008/03/01.html =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Stesin wrote:

2008/2/27, Valentin Nechayev :

...

Вооот. А почему так получается? - потому что у кого-то есть возможность скомандовать сотне тысяч тазиков каждому отдать по совершенно незаметной сотне килобит на один конкретный адрес...

Коллеги, а что кто знает и может сказать (как теоретически, так и практически) об активной защите от DDoS?

Идея примерно такая: засекаем задействованную в ботнете машину, и выписываем ей обратку (теми же методами, что и исходный троян) от которой она умирает и перестает ддосить.

Повторяем нужное количество сотен тысяч раз до полного удовлетворения.

Это кстати меня натолкнуло на другую идею. Простой вариант. Выделяем сервису /24 . Настраиваем dns так, чтобы он разным /8 выдавал разный ip с этого диапазона. Тем самым в случае появления DDoS мы, по первых, может заблекхолить только те ip, на которые идет DDoS, во вторых по этому ip определить из какой сети на самом деле идет DDoS (с точностью до DNS сервера компа, с которого идет DDoS), причем не просто определять, а выдавать ему через dns кой-нибудт 127.x.x.x. Недостатки очевидны: большой расход ip адресов (правда IPv6 не за горами ;) ) и слабая локализация: рубим с плеча по /8, как завещали Вендоры. Поэтому Сложный вариант. Используем SRV записи: портов у нас много, хватит на всех. Тут я вижу два недостатка: провайдеры сейчас блекхолят только по ip, и далеко не все сервисы сейчас умеют SRV. -- Mykola Dzham, LEFT-(UANIC|RIPE) JID: levsha@jabber.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Возвращаясь к нашим баранам, ой простите Монтянам ;) Работы по мобилизации "всего мира" надо с чего-то начинать; путь в тысячу миль начинается с одного шага. Посему ю ар всячески вэлкам - принять участие в обсуждении http://infoporn.org.ua/2008/03/03/ddos/ Замечания, предложения и пожелания тоже вэлкам. 2008/3/2, Hrynchuk Oleh :

Однозначно. Згоден на 100%. Без боротьби "всім миром" шанси на успіх мізерні.

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Добрый день! On Mon, Mar 03, 2008 at 09:54:57AM +0200, Andrew Stesin wrote:

Возвращаясь к нашим баранам, ой простите Монтянам ;) Работы по мобилизации "всего мира" надо с чего-то начинать; путь в тысячу миль начинается с одного шага. Посему ю ар всячески вэлкам - принять участие в обсуждении http://infoporn.org.ua/2008/03/03/ddos/ Замечания, предложения и пожелания тоже вэлкам.

Много эмоций и мало конструктива: лохи, дефективное ПО, нет спасения, змова... Тьху, опять пустой пиар. -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

публичный дискусьон у нас тут уже почти неделю ведеццо :) какой выхлоп? :) 2008/3/3 Andrew Stesin :

2008/3/3, Dmitry Kiselev :

...

Много эмоций и мало конструктива: лохи, дефективное ПО, нет спасения, змова... Тьху, опять пустой пиар.

Естественно, пиар, а как ты хотел?

Что касается конструктива, то он-то как раз есть. Вэлкам к публичной дискуссии, прям туда ;)

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Добрый день! On Mon, Mar 03, 2008 at 10:36:08AM +0200, Andrew Stesin wrote:

...

Много эмоций и мало конструктива: лохи, дефективное ПО, нет спасения, змова... Тьху, опять пустой пиар.

Естественно, пиар, а как ты хотел?

Что касается конструктива, то он-то как раз есть. Вэлкам к публичной дискуссии, прям туда ;)

Так а что тут обсуждать? Итак уже по-моему все точки давно расставили: content provider (CP) - основная цель DDoS. Хочет, но не может устоять против атаки без приобретения дорого оборудования (guard). Может только блокировать трафик у атакуемому ресурсу, что и завершает успшность атаки. transit provider (TP) - целью почти никогда не бывает. Пропускает тонны трафика DDoS. Строить ему защиту вообще никакого смысла нет, гораздо выгоднее наращивать bandwidth. access provider (AP) - целью DDoS бывает, но гораздо реже чем content. Является основным носителем botnet и источником DDoS. Так как исходящего трафика у него относительно мало, а ущерб фактически отсутствует инвестировать в активную дорогостоящую защиту (guard) ему совсем не интересно, как впрочем и в пассивную (arbor/lancop). Ему проще наращивать abuse team, который заодно и со спамом бороться будет. IMHO, следующим этапом будет, a la spam, - блокирование CP IP доступа для наиболее "опасных" AP в которые не попадает их target group и, как следствие, некоторое движение со стороны AP. Так же как и со спамом процесс будет долгий и малоэффективный, зачастую упирающийся в поиск нужных points of contact внутри оператора. -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Добрый день! On Sat, Mar 01, 2008 at 10:17:58PM +0200, Hrynchuk Oleh wrote:

Мдя... Прекрасну штуку придумали.

http://stopddos.ru/current/

(це я по л?нку вниз в?д названого сходив).

Класно було б щось под?бне ? в Укра?н? зробити.

Повторю в листе, то, что я только что доке приватом отписал: пока не появится дешевый софт (в идеале freeware+opensource) для content providers детектирующий DDoS и генерирующий репорты. пока этот софт не станет более-менее общепризнанным, ни один access provider нормально не зашевелится. ему просто нет резона доверять левой информации и мочить _своих_платящих_деньги_ клиентов. а перепроверять репорт по своему sflow/netflow он не будет - это очень затратно, а выгода для AP настолько сомнительна, что не стоит даже человеко-минуты. DDoS это не спам, тут простого включения rfc822 headers в репорт не получится.

-----Исходное сообщение----- От: owner-uanog-outgoing@uanog.kiev.ua от имени Serge Negodyuck Отправлено: Сб, 01.03.2008 21:43 Копия: UANOG Тема: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту?

26.02.08, Andrew Stesin написал(а):

...

p.s. Или - как вариант - зарубежный хостер. Людям очень важно, чтобы сайт работал. Когда ддосили извесный ресурс bash.org.ru и админы Мастерхоста ничего не могли сделать - им посоветовали воспользоваться услугами http://www.hostex.no/ - и это помогло.

P.S. интересная инфа по теме: http://bugtraq.ru/rsn/archive/2008/03/01.html

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Mon, Mar 03, 2008 at 01:01:19PM +0200, Valentin Nechayev wrote: VN> Mon, Mar 03, 2008 at 11:02:31, dmitry wrote about "Re: [uanog] HA: HA: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту?": VN> > IMHO, следующим этапом будет, a la spam, - блокирование CP IP доступа VN> > для наиболее "опасных" AP в которые не попадает их target group и, VN> > как следствие, некоторое движение со стороны AP. Так же как и со VN> > спамом процесс будет долгий и малоэффективный, зачастую VN> > упирающийся в поиск нужных points of contact внутри оператора. VN> Простой встречный вопрос - а сколько AP реально применяют ingress filtering? VN> Если менее ~90% - то всё это блокирование - до лампочки. хочешь улучшить мир - убери в своей комнате -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Лень - привычка отдыхать заблаговременно =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi Dmitry,

...

http://stopddos.ru/current/

Что-то страны там в основном xUSSR. Странно. Может действительно дело в windows с отключенными обновлениями? -- Michael =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Звернули увагу на те, шо даний ресурс планують розширити, "причесати" і зробити платним?

-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Andrew Stesin Sent: Monday, March 03, 2008 3:46 PM To: Michael Petrusha Cc: uanog@uanog.kiev.ua Subject: [uanog] Re: [uanog] Сайт vs. DDoS - кто в состоянии обеспечить защиту?

Возможно, парни просто решили начать с малого - чтобы изменить мир, надо начать с себя, и продолжить теми, кто поблизости :)

2008/3/3, Michael Petrusha :

...

Hi Dmitry,

...

...

http://stopddos.ru/current/

Что-то страны там в основном xUSSR. Странно.

Может действительно дело в windows с отключенными обновлениями?

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hello Hrynchuk, Saturday, March 1, 2008, 10:17:58 PM, you wrote:

Мдя... Прекрасну штуку придумали.

http://stopddos.ru/current/ (це я по л?нку вниз в?д названого сходив). Класно було б щось под?бне ? в Укра?н? зробити.

Щось тривожить мене сумнЁв в ©х адекватностЁ, я вже пЁв дня спостерЁгаю за двума клЁ╨нтами котрЁ присутнЁ в ©х списку з мо╨© мережЁ. Ну нема там ДДОС, звичайний собЁ торент трафЁк. -- СергЁй Найдич, "Датагруп" Луцьк mailto:Sergey.Naydich@datagroup.com.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

From: Mykola Dzham

...

Andrew Stesin wrote: Это кстати меня натолкнуло на другую идею. Простой вариант. Выделяем сервису /24 . Настраиваем dns так, чтобы он разным /8 выдавал разный ip с этого диапазона. Тем самым в случае появления DDoS мы, по первых, может заблекхолить только те ip, на которые идет DDoS, во вторых по этому ip определить из какой сети на самом деле идет DDoS (с точностью до DNS сервера компа, с которого идет DDoS), причем не просто определять, а выдавать ему через dns кой-нибудт 127.x.x.x. Недостатки очевидны: большой расход ip адресов (правда IPv6 не за горами ;) ) и слабая локализация: рубим с плеча по /8, как завещали Вендоры. Поэтому Сложный вариант. Используем SRV записи: портов у нас много, хватит на всех. Тут я вижу два недостатка: провайдеры сейчас блекхолят только по ip, и далеко не все сервисы сейчас умеют SRV.

.. а если эти 256 машин еще и разнести по разным площадкам, то и провайдерский канал перестанет быть узким местом. На рынке появляется новый тип услуг - распределенный хостинг. Akamai. -- Олег =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

2008/3/5, Sergey Smitienko :

Ничего себе - появляется. Akamai утверждают, что с их серверов отдается 20% мирового web-трафика. 25000 серверов в 69 странах. Если не начнут валить DNS-ы, то как по мне. вполне dos-устойчивая конструкция.

следующий шаг: использовать ботнеты для... хостинга =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

а чого наступний крок? Це вже реальність. Останнім часом на затроянених машинах вішають сайт якогось казіно. Причому навіть на динамічних IP, і вичисляють що машина на швидкому каналі ну і т.д. Причому оперативно в DNS записи відслідковують. Трояни про своє IP шлють інфу. Тільки прибив, а вже за 5 хв запис з DNS зник. ----- Original Message ----- From: "Andrew Stesin" To: "Sergey Smitienko" Cc: "UANOG" Sent: Wednesday, March 05, 2008 10:20 AM Subject: [uanog] Re: [uanog] Re: Сайт vs. DDoS - кто в состоянии обеспечить защиту? 2008/3/5, Sergey Smitienko :

Ничего себе - появляется. Akamai утверждают, что с их серверов отдается 20% мирового web-трафика. 25000 серверов в 69 странах. Если не начнут валить DNS-ы, то как по мне. вполне dos-устойчивая конструкция.

следующий шаг: использовать ботнеты для... хостинга =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message