abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    MMR nabízí odměny za odhalení bezpečnostních děr ve svých IT systémech
    včera 21:22 | IT novinky

    Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

    Ladislav Hagara | Komentářů: 8
    Česko představilo nový jednotný vizuální styl státu
    včera 16:22 | IT novinky

    Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.

    Ladislav Hagara | Komentářů: 12
    Vyhledávač DuckDuckGo má dnes výpadky
    včera 15:33 | Upozornění

    Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapyAI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.

    bindiff | Komentářů: 5
    Více než 600 Laravel aplikací je zranitelných vůči vzdálenému spuštění kódu
    včera 13:33 | Bezpečnostní upozornění

    Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).

    Ladislav Hagara | Komentářů: 5
    Helix 25.07
    včera 00:11 | Nová verze

    Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Nvidia po souhlasu od Trumpovy vlády obnoví prodej čipů pro AI do Číny
    15.7. 20:44 | IT novinky

    Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.

    Ladislav Hagara | Komentářů: 10
    Blender 4.5 LTS
    15.7. 17:22 | Nová verze

    3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.

    Ladislav Hagara | Komentářů: 0
    Open source webový aplikační framework Django slaví 20. narozeniny
    14.7. 22:22 | Komunita

    Open source webový aplikační framework Django slaví 20. narozeniny.

    Ladislav Hagara | Komentářů: 0
    DebConf25
    14.7. 16:11 | Komunita

    V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

    Ladislav Hagara | Komentářů: 0
    Před 30 lety se začala používat přípona .mp3
    14.7. 11:33 | IT novinky

    Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

    Ladislav Hagara | Komentářů: 28
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (27%)
     (7%)
     (3%)
     (0%)
     (1%)
     (4%)
    Celkem 406 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku / Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku (diskuse)
    Štítky: není přiřazen žádný štítek

    Nástroje: Začni sledovat (4) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    4.6.2012 23:02 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Nebyly to jen otevřené rekurzivní DNS. Provozuju si tři nameservery pro své domény a na primární, který mám v datacentru u Masterů, šel ten útok taky. Dotazy pouze na moje domény, podle Zabbixe to začalo někdy po půlnoci z pátku na sobotu, příchozí traffic kolem 200kB/s, odchozí 5-6 MB/s. Bohužel tohle nikde nesleduju a server to nijak extra nezatěžovalo, takže mě na to upozornil až dnes ráno ISP. Pak jsem teprve nasadil automatické blacklisty pro adresy, které se dotazovaly víc než bylo obvyklé. :-(

    Během dne jsem pak zahazoval kolem 60MB paketů za hodinu, šlo o několik stovek adres...
    4.6.2012 23:08 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    V podstatě byl u mně hlavní problém s DNSSEC, na dotazy typu "any" pro danou doménu odesílal nameserver SOA, MX a A záznam plus DNSSEC informace. A právě DNSSEC klíče ty odpovědi dost nafoukly.
    5.6.2012 11:48 vladki
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    U nas si taky vybrali podepsanou domenu. Zmetci... Hashlimitem sem to omezil na 1 dotaz za sekundu, a provoz vyrazne klesl.
    5.6.2012 11:57 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    No u mě je pikantní, že konkrétně u té nejvíc dotazované domény je DNSSEC podpis zatím k ničemu; Subreg mi už před delší dobou sliboval, že vedle CZ domén umožní nastavit DNSSEC podpisy i pro generické domény, takže jsem si připravil podepisovací infrastrukturu i pro ně - a od té doby je ticho po pěšině.

    Zkusím je zase trochu pošťouchnout.
    6.6.2012 07:43 Foo Bar | skóre: 14
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Dá se tomu odlehčit ještě i jinak. Máme v Knot DNS teď rozpracovanou volbu, že odpověď na IN ANY přes UDP se vždy vrátí jen sekce QUERY s nastaveným TC (truncate) bitem. (Resp. případně půjde zakázat IN ANY úplně.) Tenhle mód u legitimním klientů nezpůsobí nic špatného, protože se zeptají v souladu s protokolem po TCP, ale u podvržených paketů to zruší tu amplifikaci paketů.
    6.6.2012 10:36 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Díky za informaci, to by mohl být důvod k přechodu na Knot :-)

    Nicméně zatím to filtrování přes netfilter - zdá se - funguje, takže si počkám, až Knot probublá do oficiálních stabilních repozitářů v Debianu. Bude to pohodlnější.

    Spíš mě štve, že ten útok pořád trvá a připadá mi, že množství příchozích paketů dokonce vzrůstá. Za poslední půl hodiny jsem zahodil už 125MB... :-(
    Jendа avatar 5.6.2012 01:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Pak jsem teprve nasadil automatické blacklisty pro adresy, které se dotazovaly víc než bylo obvyklé.
    Hele, jak se tohle dělá, když má UDP dotaz v Src: nesmyslnou adresu? (samozřejmě musí přijít ze sítě, která UDP na hraničním routeru nefiltruje podle src, nevím, kolik takových sítí je)
    5.6.2012 02:03 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Src adresa nebude nesmyslna, v src adrese bude cil utoku (odpoved DNS serveru bude smerovat na tuto adresu).
    5.6.2012 02:09 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    No já to nakonec řešil nějak takhle: 
    iptables -t mangle -A PREROUTING -i ${ifx} -p udp --dport 53 -j CONNLIMIT_DNS
iptables -t mangle -A CONNLIMIT_DNS -s ${secns1} -j RETURN
iptables -t mangle -A CONNLIMIT_DNS -s ${secns2} -j RETURN
iptables -t mangle -A CONNLIMIT_DNS -m hashlimit \
                      --hashlimit-above ${pocet}/second \
                      --hashlimit-mode srcip \
                      --hashlimit-htable-expire 60000 \
                      --hashlimit-name dns_ddos -j BLACKLIST_DNS
iptables -t mangle -A BLACKLIST_DNS -m recent --name dns_ddos --set
iptables -t mangle -A BLACKLIST_DNS -j DROP
iptables -t mangle -A CONNLIMIT_DNS -m recent --name dns_ddos \
                      --rcheck --seconds 60 -j DROP
    Čili pokud přišlo z jedné adresy na port 53 víc než limitní počet paketů za sekundu, hodil si ho server na blacklist a nechal ho tam, dokud daná adresa alespoň na minutu počet příchozích paketů neomezila.

    V jiné konfiguraci by se to asi spíš hodilo dát do klasického FORWARDu místo do mangle sekce...
    5.6.2012 09:13 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    A je to tu zase... 
    ~ # tcpdump -i eth0 -n port 53
...
09:11:29.799154 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799163 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799170 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799175 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799180 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799185 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799191 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799196 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799201 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799226 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799236 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799312 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799318 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799320 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799323 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799325 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799348 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799351 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799354 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799356 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799358 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799393 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799396 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.799399 IP 121.54.13.24.2671 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848098 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848125 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848133 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848140 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848146 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848151 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848156 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848161 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848166 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848172 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848182 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848188 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848193 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848198 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848203 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848223 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848227 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848229 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848232 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848234 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848266 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848270 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848272 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848275 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
09:11:29.848277 IP 121.54.13.24.19537 > 89.185.253.71.53: 18588+ [1au] ANY? jerryweb.info. (42)
...
    xkucf03 avatar 5.6.2012 10:51 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    příchozí traffic kolem 200kB/s, odchozí 5-6 MB/s
    Jestliže se dá pomocí jednoho primárního/sekundárního DNS serveru vyrobit z 200 kB/s 5-6 MB/s, znamená to, že na zahlcení něčí gigabitové linky stačí cca 21-25 DNS serverů a 4-5 Mbit/s linka útočníka.

    Má cenu v takové situaci řešit nějaké otevřené rekurzivní servery? Obávám se, že ne a tohle strašení a obviňování je bezpředmětné, protože stejně dobře poslouží ty autoritativní servery, které z principu musí existovat.

    Užitečný by tedy byl spíš návod, jak nastavit rekurzivní i autoritativní servery tak, aby sloužili legitimním uživatelům a zároveň šly co nejméně použít pro útok.

    Plus samozřejmě řešit příčinu – to, že jde posílat pakety s podvrženou zdrojovou adresou.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    5.6.2012 11:09 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Už jsem posílal dotaz mému ISP, jestli by nešlo vysledovat cestu paketů a upozornit správce příslušného AS, že by si to měl filtrovat. Uvidíme, jestli se s tím budou chtít patlat, znamenalo by to komunikovat s dalšími ISP a dohledávat to.

    Každopádně včera měly všechny filtrované pakety TTL na 248, dnes mi to ukazuje hodnotu 250 (alespoň podle informací v /proc/net/xt_recent/). Takže by útočících počítačů skutečně mohlo být celkem málo.

    Ale útočí na různé cíle, jen za noc jsem nasbíral kolem stovky adres a nepovedlo se mi zjistit, proč útočí právě na ně.
    5.6.2012 11:12 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Jinak pod tím blogpostem odkazovaným ve zprávičce se objevil i odkaz na graf provozu autoritativních provozů, od soboty je tam možno vidět zvýšený počet dotazů na záznamy typu ANY. Takže očividně otevřené rekurzivní servery skutečně nebudou primární problém.
    5.6.2012 11:24 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Mělo tam být "graf provozu autoritativních nameserverů domény .cz", takhle to dopadá, když člověk přepisuje kus textu... :-(
    xkucf03 avatar 5.6.2012 11:22 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Oprava: 4-5 Mbit/s → 4-5 MB/s (což je ale pořád jen trochu lepší domácí připojení a na věci to nic nemění)
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    5.6.2012 11:33 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    No mohli vytáhnout i víc, mám to pověšené na 100Mbps lince. Momentálně tedy už mimo NIX jen 10Mbps; poté co jsem díky těmhle kreténům přešvihl 500GB datový limit pro tranzitní připojení mimo NIX (normálně mi na tranzit jdou tak 2GB měsíčně) jsem se s ISP dohodl na změně tarifu, kdy mám mimo NIX jen 10Mbps, ale zase bez omezení dat. Na ty dvě giga měsíčně to stačí, většina provozu je v rámci NIXu.

    Hardware to zvládal bez problémů, průměrná hodnota loadu o víkendu vyběhla cca o 0,25. Dell PowerEdge T110 s inteláckým X3440 ...
    4.6.2012 23:18 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Ale obecně takovému zneužití snad nejde moc bránit. Pokud se dotazuji autoritativního DNS na jeho záznam, tak mi musí odpovědět. A když je to paket z podvrženou IP (napadeného systému) tak prostě odejde jeden útočný paket na cílový systém.
    4.6.2012 23:24 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Přesně tak, viz výše. U mně je to celkem jednoduché, mám tam pár domén, takže útok se od běžného provozu nechá celkem snadno poznat podle četnosti dotazů (bylo to v řádu desítek až stovek za sekundu, tcpdump jel jak motorová myš; v běžném provozu je to několik dotazů za minutu). Ale netuším, co by s tím mohli dělat větší registrátoři... :-(
    5.6.2012 01:13 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    ble, ... s podvrženou IP (pardon)
    5.6.2012 08:12 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Však on taky není problém s DNS servery. Jen jich je několik, tak se na ně dobře ukazuje. Problém je v koncových stanicích, které byly použity k rozesílání požadavků. Správce sítí, kteří reagují na stížnosti kvůli napadaným strojům, aby jeden lupou hledal.
    5.6.2012 09:51 pupu | skóre: 31
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    ...pripadne v ISP, kteri nefiltruji provoz od svych zakazniku a nechaji je posilat podvrzene zdrojove adresy. Otazkou je, jestli je vubec technicky mozne takove filtrovani delat...
    5.6.2012 11:44 vladki
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Snadno:

    net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.rp_filter=1
    5.6.2012 17:49 j
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Toto je neco uplne jineho.
    5.6.2012 21:36 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Kdepak, toto je jedna z moznosti, jak to filtrovani delat, viz dokumentaci: 
    rp_filter - INTEGER
        0 - No source validation.
        1 - Strict mode as defined in RFC3704 Strict Reverse Path
            Each incoming packet is tested against the FIB and if the interface
            is not the best reverse path the packet check will fail.
            By default failed packets are discarded.
        2 - Loose mode as defined in RFC3704 Loose Reverse Path
...
    (Tedy neni treba to zapinat obecne, uplne staci to zapnout jen na rozhranich smerovanych k zakaznikum).
    gtz avatar 5.6.2012 20:04 gtz | skóre: 27 | blog: gtz | Brno
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Určitě je
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    5.6.2012 20:16 mozog | skóre: 28
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Samozrejme to mozne je, a na CPE to lze jednoduse resit.
    5.6.2012 17:48 j
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Jenze technicky tohle neni problem koncovych stanic.

    Predne to naprosto extremne podporuje prave DNSSEC, kterej razantne zlepsuje efektivitu utoku. Druhak neni problem postavit botnet, kde budou tisice/desetitisice stroju a z pohledu DNS serveru se to pak vubec jako utok jevit nebude - jednoduse bude chodit celkem bezny mnoztvi dotazu. Pripadne muzu vyuzit velke mnozstvi DNS serveru a na kazdy poslat nekolik malo dotazu.

    V kazdym pripade vygeneruju velmi slusny traffic na strane cile, aniz by prostrednici (DNSka) registrovaly nejaky problem.

    Problem je totiz cestou - nemelo byt mozne poslat DNS dotaz s jinou IP nez tou svoji. Takovy dotaz by mel byt tipnut hned u zdroje.

    On totiz spravce site zadny problem nema => nevidi zadny duvod proc by jej mel resit.
    xkucf03 avatar 5.6.2012 18:28 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Problem je totiz cestou - nemelo byt mozne poslat DNS dotaz s jinou IP nez tou svoji. Takovy dotaz by mel byt tipnut hned u zdroje.
    +1
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    5.6.2012 21:20 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Jenze tohle jde delat prakticky pouze v koncovych sitich na hranici se zakazniky. Dal po ceste (mezi ISP) uz to nedava moc smysl, nebot tam muze byt routovani obecne asymetricke. Takze staci v Internetu jediny ISP, ktery to nefiltruje, a uz odtamtud ty pakety s podvrzenym zdrojem dojdou prakticky kamkoliv. No a najit toho zdrojoveho ISP je dost netrivialni, tipoval bych, ze to bude vyzadovat aktivni spolupraci spravcu v sitich vsude po ceste.

    Takze asi jedine efektivni reseni je prave reseni na strane DNS serveru (jejich spravci jsou totiz motivovani to resit).
    5.6.2012 22:40 faha
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku

    Vcelku zajimava diskuze, lze nejak rp_filter aktivovat na zarizenich mikrotik, je to preci jen taky linux? Rad bych to zkusil nasadit u koncovych routeru tesne pred zakazniky (na ethernet a na wlan[AP]), google vsak dost mlci na toto tema, poradi nekdo?

    Heron avatar 5.6.2012 23:13 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    Tam přece můžeš nasadit klasický filter a v chainu forward (a směr od nich ven) povolit pouze jejich subnety. Kdysi tohle bývalo pravidlem dávat i do chainu OUTPUT a vše ostatní zakázat. Z mašiny tak nešlo poslat packet s podvrženou src ip (pokud člověk nebyl root).
    Heron
    5.6.2012 23:25 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Přes 170 DNS serverů v ČR bylo zneužito při DDOS útoku
    A jak muzes z Linuxu poslat odchozi packet s podvrzenou src ip, aniz bys byl root?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.