abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Anthropic sponzorem Blenderu
    dnes 04:44 | Komunita

    Vývojáři svobodného 3D softwaru Blender představili (𝕏, Mastodon, Bluesky) nejnovějšího firemního sponzora Blenderu. Je ním společnost Anthropic stojící za AI Claude a úroveň sponzoringu je Patron, tj. minimálně 240 tisíc eur ročně. Anthropic oznámil sponzorství v tiskové zprávě Claude for Creative Work.

    Ladislav Hagara | Komentářů: 0
    wayvnc 0.10.0 a neatvnc 1.0.0
    dnes 03:55 | Nová verze

    VNC server wayvnc pro Wayland kompozitory postavené nad wlroots - ne GNOME, KDE nebo Weston - byl vydán ve verzi 0.10.0. Vydána byla také verze 1.0.0 související knihovny neatvnc.

    Ladislav Hagara | Komentářů: 0
    Fedora Linux 44
    včera 16:22 | Nová verze

    Bylo oznámeno vydání Fedora Linuxu 44. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách

    … více »
    Ladislav Hagara | Komentářů: 0
    Novinky v GCC 16
    včera 15:44 | Zajímavý článek

    David Malcolm se na blogu vývojářů Red Hatu rozepsal o vybraných novinkách v GCC 16, jež by mělo vyjít v nejbližších dnech. Vypíchnuta jsou vylepšení čitelnosti chybových zpráv v C++, aktualizovaný SARIF (Static Analysis Results Interchange Format) výstup a nová volba experimental-html v HTML výstupu.

    Ladislav Hagara | Komentářů: 0
    Trinity Desktop Environment (TDE) R14.1.6
    včera 15:11 | Nová verze

    Byla vydána verze R14.1.6 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5, Wikipedie). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.

    JZD | Komentářů: 0
    Budoucnost AI v Ubuntu
    včera 12:55 | Komunita

    Jon Seager z Canonicalu včera na Ubuntu Community Hubu popsal budoucnost AI v Ubuntu. Dnes upřesnil: AI nástroje budou k dispozici jako Snap balíčky, vždy je může uživatel odinstalovat. Ve výchozím nastavení budou všechny AI nástroje používat lokální AI modely.

    Ladislav Hagara | Komentářů: 0
    Nový ovladač Steam Controller jde do prodeje 4. května
    27.4. 23:11 | IT novinky

    Nový ovladač Steam Controller jde do prodeje 4. května. Cena je 99 eur.

    Ladislav Hagara | Komentářů: 2
    Jak vypadá gkh_clanker_t1000?
    27.4. 14:22 | Komunita

    Greg Kroah-Hartman začal používat AI asistenta pojmenovaného gkh_clanker_t1000. V commitech se objevuje "Assisted-by: gkh_clanker_t1000". Na social.kernel.org publikoval jeho fotografii. Jedná se o Framework Desktop s AMD Ryzen AI Max a lokální LLM.

    Ladislav Hagara | Komentářů: 8
    Ubuntu 26.10 bude Stonking Stingray
    27.4. 04:44 | Komunita

    Ubuntu 26.10 bude Stonking Stingray (úžasný rejnok).

    Ladislav Hagara | Komentářů: 2
    Dillo 3.3.0
    26.4. 22:22 | Nová verze

    Webový prohlížeč Dillo (Wikipedie) byl vydán ve verzi 3.3.0. S experimentální podporou FLTK 1.4. S příkazem dilloc pro ovládání prohlížeče z příkazové řádky. Vývoj prohlížeče se přesunul z GitHubu na vlastní doménu dillo-browser.org (Git).

    Ladislav Hagara | Komentářů: 1
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (14%)
     (8%)
     (2%)
     (13%)
     (31%)
     (4%)
     (7%)
     (3%)
     (15%)
     (25%)
    Celkem 1448 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku / Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku (diskuse)
    Štítky: není přiřazen žádný štítek

    Nástroje: Začni sledovat (4) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    4.6.2012 23:02 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Nebyly to jen otevřené rekurzivní DNS. Provozuju si tři nameservery pro své domény a na primární, který mám v datacentru u Masterů, šel ten útok taky. Dotazy pouze na moje domény, podle Zabbixe to začalo někdy po půlnoci z pátku na sobotu, příchozí traffic kolem 200kB/s, odchozí 5-6 MB/s. Bohužel tohle nikde nesleduju a server to nijak extra nezatěžovalo, takže mě na to upozornil až dnes ráno ISP. Pak jsem teprve nasadil automatické blacklisty pro adresy, které se dotazovaly víc než bylo obvyklé. :-(

    Během dne jsem pak zahazoval kolem 60MB paketů za hodinu, šlo o několik stovek adres...
    4.6.2012 23:08 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    V podstatě byl u mně hlavní problém s DNSSEC, na dotazy typu "any" pro danou doménu odesílal nameserver SOA, MX a A záznam plus DNSSEC informace. A právě DNSSEC klíče ty odpovědi dost nafoukly.
    5.6.2012 11:48 vladki
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    U nas si taky vybrali podepsanou domenu. Zmetci... Hashlimitem sem to omezil na 1 dotaz za sekundu, a provoz vyrazne klesl.
    5.6.2012 11:57 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    No u mě je pikantní, že konkrétně u té nejvíc dotazované domény je DNSSEC podpis zatím k ničemu; Subreg mi už před delší dobou sliboval, že vedle CZ domén umožní nastavit DNSSEC podpisy i pro generické domény, takže jsem si připravil podepisovací infrastrukturu i pro ně - a od té doby je ticho po pěšině.

    Zkusím je zase trochu pošťouchnout.
    6.6.2012 07:43 Foo Bar | skóre: 14
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Dá se tomu odlehčit ještě i jinak. Máme v Knot DNS teď rozpracovanou volbu, že odpověď na IN ANY přes UDP se vždy vrátí jen sekce QUERY s nastaveným TC (truncate) bitem. (Resp. případně půjde zakázat IN ANY úplně.) Tenhle mód u legitimním klientů nezpůsobí nic špatného, protože se zeptají v souladu s protokolem po TCP, ale u podvržených paketů to zruší tu amplifikaci paketů.
    6.6.2012 10:36 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Díky za informaci, to by mohl být důvod k přechodu na Knot :-)

    Nicméně zatím to filtrování přes netfilter - zdá se - funguje, takže si počkám, až Knot probublá do oficiálních stabilních repozitářů v Debianu. Bude to pohodlnější.

    Spíš mě štve, že ten útok pořád trvá a připadá mi, že množství příchozích paketů dokonce vzrůstá. Za poslední půl hodiny jsem zahodil už 125MB... :-(
    Jendа avatar 5.6.2012 01:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Pak jsem teprve nasadil automatické blacklisty pro adresy, které se dotazovaly víc než bylo obvyklé.
    Hele, jak se tohle dělá, když má UDP dotaz v Src: nesmyslnou adresu? (samozřejmě musí přijít ze sítě, která UDP na hraničním routeru nefiltruje podle src, nevím, kolik takových sítí je)
    5.6.2012 02:03 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Src adresa nebude nesmyslna, v src adrese bude cil utoku (odpoved DNS serveru bude smerovat na tuto adresu).
    5.6.2012 02:09 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    No já to nakonec řešil nějak takhle: 
    iptables -t mangle -A PREROUTING -i ${ifx} -p udp --dport 53 -j CONNLIMIT_DNS
iptables -t mangle -A CONNLIMIT_DNS -s ${secns1} -j RETURN
iptables -t mangle -A CONNLIMIT_DNS -s ${secns2} -j RETURN
iptables -t mangle -A CONNLIMIT_DNS -m hashlimit \
                      --hashlimit-above ${pocet}/second \
                      --hashlimit-mode srcip \
                      --hashlimit-htable-expire 60000 \
                      --hashlimit-name dns_ddos -j BLACKLIST_DNS
iptables -t mangle -A BLACKLIST_DNS -m recent --name dns_ddos --set
iptables -t mangle -A BLACKLIST_DNS -j DROP
iptables -t mangle -A CONNLIMIT_DNS -m recent --name dns_ddos \
                      --rcheck --seconds 60 -j DROP
    Čili pokud přišlo z jedné adresy na port 53 víc než limitní počet paketů za sekundu, hodil si ho server na blacklist a nechal ho tam, dokud daná adresa alespoň na minutu počet příchozích paketů neomezila.

    V jiné konfiguraci by se to asi spíš hodilo dát do klasického FORWARDu místo do mangle sekce...
    5.6.2012 09:13 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    A je to tu zase... 
    ~ # tcpdump -i eth0 -n port 53
...
09:11:29.799154 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799163 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799170 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799175 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799180 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799185 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799191 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799196 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799201 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799226 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799236 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799312 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799318 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799320 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799323 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799325 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799348 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799351 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799354 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799356 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799358 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799393 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799396 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799399 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848098 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848125 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848133 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848140 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848146 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848151 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848156 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848161 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848166 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848172 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848182 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848188 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848193 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848198 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848203 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848223 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848227 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848229 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848232 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848234 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848266 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848270 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848272 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848275 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848277 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
...
    xkucf03 avatar 5.6.2012 10:51 xkucf03 | skóre: 50 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    příchozí traffic kolem 200kB/s, odchozí 5-6 MB/s
    Jestliže se dá pomocí jednoho primárního/sekundárního DNS serveru vyrobit z 200 kB/s 5-6 MB/s, znamená to, že na zahlcení něčí gigabitové linky stačí cca 21-25 DNS serverů a 4-5 Mbit/s linka útočníka.

    Má cenu v takové situaci řešit nějaké otevřené rekurzivní servery? Obávám se, že ne a tohle strašení a obviňování je bezpředmětné, protože stejně dobře poslouží ty autoritativní servery, které z principu musí existovat.

    Užitečný by tedy byl spíš návod, jak nastavit rekurzivní i autoritativní servery tak, aby sloužili legitimním uživatelům a zároveň šly co nejméně použít pro útok.

    Plus samozřejmě řešit příčinu – to, že jde posílat pakety s podvrženou zdrojovou adresou.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    5.6.2012 11:09 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Už jsem posílal dotaz mému ISP, jestli by nešlo vysledovat cestu paketů a upozornit správce příslušného AS, že by si to měl filtrovat. Uvidíme, jestli se s tím budou chtít patlat, znamenalo by to komunikovat s dalšími ISP a dohledávat to.

    Každopádně včera měly všechny filtrované pakety TTL na 248, dnes mi to ukazuje hodnotu 250 (alespoň podle informací v /proc/net/xt_recent/). Takže by útočících počítačů skutečně mohlo být celkem málo.

    Ale útočí na různé cíle, jen za noc jsem nasbíral kolem stovky adres a nepovedlo se mi zjistit, proč útočí právě na ně.
    5.6.2012 11:12 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Jinak pod tím blogpostem odkazovaným ve zprávičce se objevil i odkaz na graf provozu autoritativních provozů, od soboty je tam možno vidět zvýšený počet dotazů na záznamy typu ANY. Takže očividně otevřené rekurzivní servery skutečně nebudou primární problém.
    5.6.2012 11:24 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Mělo tam být "graf provozu autoritativních nameserverů domény .cz", takhle to dopadá, když člověk přepisuje kus textu... :-(
    xkucf03 avatar 5.6.2012 11:22 xkucf03 | skóre: 50 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Oprava: 4-5 Mbit/s → 4-5 MB/s (což je ale pořád jen trochu lepší domácí připojení a na věci to nic nemění)
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    5.6.2012 11:33 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    No mohli vytáhnout i víc, mám to pověšené na 100Mbps lince. Momentálně tedy už mimo NIX jen 10Mbps; poté co jsem díky těmhle kreténům přešvihl 500GB datový limit pro tranzitní připojení mimo NIX (normálně mi na tranzit jdou tak 2GB měsíčně) jsem se s ISP dohodl na změně tarifu, kdy mám mimo NIX jen 10Mbps, ale zase bez omezení dat. Na ty dvě giga měsíčně to stačí, většina provozu je v rámci NIXu.

    Hardware to zvládal bez problémů, průměrná hodnota loadu o víkendu vyběhla cca o 0,25. Dell PowerEdge T110 s inteláckým X3440 ...
    4.6.2012 23:18 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Ale obecně takovému zneužití snad nejde moc bránit. Pokud se dotazuji autoritativního DNS na jeho záznam, tak mi musí odpovědět. A když je to paket z podvrženou IP (napadeného systému) tak prostě odejde jeden útočný paket na cílový systém.
    4.6.2012 23:24 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Přesně tak, viz výše. U mně je to celkem jednoduché, mám tam pár domén, takže útok se od běžného provozu nechá celkem snadno poznat podle četnosti dotazů (bylo to v řádu desítek až stovek za sekundu, tcpdump jel jak motorová myš; v běžném provozu je to několik dotazů za minutu). Ale netuším, co by s tím mohli dělat větší registrátoři... :-(
    5.6.2012 01:13 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    ble, ... s podvrženou IP (pardon)
    5.6.2012 08:12 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Však on taky není problém s DNS servery. Jen jich je několik, tak se na ně dobře ukazuje. Problém je v koncových stanicích, které byly použity k rozesílání požadavků. Správce sítí, kteří reagují na stížnosti kvůli napadaným strojům, aby jeden lupou hledal.
    5.6.2012 09:51 pupu | skóre: 31
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    ...pripadne v ISP, kteri nefiltruji provoz od svych zakazniku a nechaji je posilat podvrzene zdrojove adresy. Otazkou je, jestli je vubec technicky mozne takove filtrovani delat...
    5.6.2012 11:44 vladki
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Snadno:

    net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.rp_filter=1
    5.6.2012 17:49 j
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Toto je neco uplne jineho.
    5.6.2012 21:36 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Kdepak, toto je jedna z moznosti, jak to filtrovani delat, viz dokumentaci: 
    rp_filter - INTEGER
        0 - No source validation.
        1 - Strict mode as defined in RFC3704 Strict Reverse Path
            Each incoming packet is tested against the FIB and if the interface
            is not the best reverse path the packet check will fail.
            By default failed packets are discarded.
        2 - Loose mode as defined in RFC3704 Loose Reverse Path
...
    (Tedy neni treba to zapinat obecne, uplne staci to zapnout jen na rozhranich smerovanych k zakaznikum).
    gtz avatar 5.6.2012 20:04 gtz | skóre: 27 | blog: gtz | Brno
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Určitě je
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    5.6.2012 20:16 mozog | skóre: 28
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Samozrejme to mozne je, a na CPE to lze jednoduse resit.
    5.6.2012 17:48 j
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Jenze technicky tohle neni problem koncovych stanic.

    Predne to naprosto extremne podporuje prave DNSSEC, kterej razantne zlepsuje efektivitu utoku. Druhak neni problem postavit botnet, kde budou tisice/desetitisice stroju a z pohledu DNS serveru se to pak vubec jako utok jevit nebude - jednoduse bude chodit celkem bezny mnoztvi dotazu. Pripadne muzu vyuzit velke mnozstvi DNS serveru a na kazdy poslat nekolik malo dotazu.

    V kazdym pripade vygeneruju velmi slusny traffic na strane cile, aniz by prostrednici (DNSka) registrovaly nejaky problem.

    Problem je totiz cestou - nemelo byt mozne poslat DNS dotaz s jinou IP nez tou svoji. Takovy dotaz by mel byt tipnut hned u zdroje.

    On totiz spravce site zadny problem nema => nevidi zadny duvod proc by jej mel resit.
    xkucf03 avatar 5.6.2012 18:28 xkucf03 | skóre: 50 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Problem je totiz cestou - nemelo byt mozne poslat DNS dotaz s jinou IP nez tou svoji. Takovy dotaz by mel byt tipnut hned u zdroje.
    +1
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    5.6.2012 21:20 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Jenze tohle jde delat prakticky pouze v koncovych sitich na hranici se zakazniky. Dal po ceste (mezi ISP) uz to nedava moc smysl, nebot tam muze byt routovani obecne asymetricke. Takze staci v Internetu jediny ISP, ktery to nefiltruje, a uz odtamtud ty pakety s podvrzenym zdrojem dojdou prakticky kamkoliv. No a najit toho zdrojoveho ISP je dost netrivialni, tipoval bych, ze to bude vyzadovat aktivni spolupraci spravcu v sitich vsude po ceste.

    Takze asi jedine efektivni reseni je prave reseni na strane DNS serveru (jejich spravci jsou totiz motivovani to resit).
    5.6.2012 22:40 faha
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku

    Vcelku zajimava diskuze, lze nejak rp_filter aktivovat na zarizenich mikrotik, je to preci jen taky linux? Rad bych to zkusil nasadit u koncovych routeru tesne pred zakazniky (na ethernet a na wlan[AP]), google vsak dost mlci na toto tema, poradi nekdo?

    Heron avatar 5.6.2012 23:13 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Tam přece můžeš nasadit klasický filter a v chainu forward (a směr od nich ven) povolit pouze jejich subnety. Kdysi tohle bývalo pravidlem dávat i do chainu OUTPUT a vše ostatní zakázat. Z mašiny tak nešlo poslat packet s podvrženou src ip (pokud člověk nebyl root).
    Heron
    5.6.2012 23:25 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    A jak muzes z Linuxu poslat odchozi packet s podvrzenou src ip, aniz bys byl root?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.