Portál AbcLinuxu, 16. dubna 2024 10:36


Dotaz: Info k DDOS utokum - podvrzeni zdrojove IP

7.3.2013 11:15 hermelin | skóre: 21
Info k DDOS utokum - podvrzeni zdrojove IP
Přečteno: 1551×
Odpovědět | Admin
Ahoj

Precetl jsem si clanek http://www.csirt.cz/page/1351/vyjadreni-csirt.cz-k-probihajicim-ddos-utokum/.

Neni mi jasne jak je mozne podvrhnout zdrojou IP adresu na verejnem internetu. To si routery nekontroluji z jakych IP k nim paket dorazil a zda se s nim maji vubec zabyvat ? Kazdy poskytoval si preci hlida aby od nej ze site nesly jine adresy nez jake ma prirazene ne ? Pripadne jeho nadrazeny poskytovatel by mel zjistit ze k nemu chodi nesmysly.

Nebo je tim mysleno ze podvrzene ip adresy jsou ze stejne podsite ? Pak bych chapal ze hackeri si maskujou sve zombie tim ze meni zdrojovou ip pouze v ramci podsite.

Protoze routovani BGP protokolem apod. nerozumim tak jestli by mi nekdo jednoduse vysvetlil jak je mozne do internetu poslat paket ktery bude mit uplne jinou IP nez sit ze ktere jsem pripojen.

Kdyby tohle bylo tak jednoduse mozne tak se divim ze internet jeste zije :-)

Diky
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Luboš Doležel (Doli) avatar 7.3.2013 11:39 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Odpovědět | | Sbalit | Link | Blokovat | Admin
Neni mi jasne jak je mozne podvrhnout zdrojou IP adresu na verejnem internetu. To si routery nekontroluji z jakych IP k nim paket dorazil a zda se s nim maji vubec zabyvat ? Kazdy poskytoval si preci hlida aby od nej ze site nesly jine adresy nez jake ma prirazene ne ? Pripadne jeho nadrazeny poskytovatel by mel zjistit ze k nemu chodi nesmysly.
Když se najde síť, kde se to nekontroluje, tak je podvržení možné. Nejinak je tomu i u jiných sítí, např. pro velké provozovatele VoIP je také snadné uskutečnit přes PSTN hovor s podvrženým volajícím.
7.3.2013 11:40 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Odpovědět | | Sbalit | Link | Blokovat | Admin

Myslím, že routre sú nastavené tak aby routovali prevádzku. Neviem o tom, že by routre riešili akú to má zdrojovú IP.

Root v linuxe : "Root povedal, linux vykona."
7.3.2013 16:50 nonsense
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
+1
Grunt avatar 7.3.2013 21:45 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Asi tak. Kdyby se místo paketů posílali koně, tak se routují koně. Není důležité co routuješ, ale kolik toho uroutuješ.
Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
beer avatar 7.3.2013 11:46 beer | skóre: 15
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Odpovědět | | Sbalit | Link | Blokovat | Admin

http://cs.wikipedia.org/wiki/IP_spoofing

http://www.root.cz/clanky/nocni-mura-jmenem-syn-flooding/

7.3.2013 11:53 Ivan
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Odpovědět | | Sbalit | Link | Blokovat | Admin
Neni to tak jednoduchy. Dneska uz se to skoro nedela. Prinaselo by to totiz spoustu provoznich problemu a falesnych alarmu. Jedno reseny bylo, ze si provideri (naproklad v ramci NIXu) vymenovali pres email informace o tom jake prefixy maji prideleny. Druhym resenim je pravidelna synchronizace BGP filtru na zaklade informaci z RIPE.

Pokud v tom ale ma nekdo bordel, tak je nakonec bit nekdo jinej, kdo za to nemuze. Takze to pak dopada tak, ze neco se kontroluje a neco zase ne.

7.3.2013 12:18 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Odpovědět | | Sbalit | Link | Blokovat | Admin
mno me z toho vseho vychazi ze podvrzeni IP je umozneny diky nespravne nastavenym branam a routeru nekterych poskytovatelu ktery umoznuji pres ne posilat nesmyslne zdrojove IP :-)

takze by asi nebylo od veci na takovy poskytovatele si postvitit :-) sice by to (D)DOS nezabranilo ale podstatne lip by se lokalizoval

7.3.2013 15:58 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Ehm ... tak se poinformuj (a i ostatni vejs) jako funguje internet. Ty mas trubku A, B, C ... a nemuzes vedet (prakticky nikdy) zda ti src a.b.c.d prijde z A, B nebo C. To zalezi na spouste vnejsich okolnosti. A pokud ty dovolujes provoz mez A, B a C (coz dovoluje spousta ucastniku - bez toho by internet jaksi nefungoval, protoze by kazdej musel by spojen s kazdym extra dratem), tak nemuzes IPcka filtrovat.

Vice nez jednu trubku ma pak prakticky kazdy isp.

Tudiz o nejakm spatnem nebo vadnem nastaveni nemuze byt ani reci.
7.3.2013 16:07 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
ehm ehm

kazdej ISP by mel mit pod kontrolou svoji sit. A je jedno jestli ma trubku jednu nebo deset.

Nebavime se o filtrovani prichoziho provozu ale o provozu odchozim ze site ISP. Pokud ma ISP sit rozsah aaa.bbb.xxx.xxx/16 nemuzou jeho routery a brany odesilat nesmyslne pakety ktere maji src IP ccc.ddd.eee.ffff/32
7.3.2013 19:37 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Tak znova, nauc se cist, prakticky kazdej ISP funguje jako tranzit a nektery jsou tranzit only => negenerujou zadnej vlastni traffic. Takze ISP s tim vazne nic delat nemuze (nebavime se o frantovi z kotehulek, co na svoje DSL pripojil cely kotehulky).

Navic mi rekni jeden jedine duvod, proc by to mel ISP resit? ISP je prodavac trubek. Proda ti nejak tlustou trubku a je mu sumafuk, jestli pres ni budes tlacit ropu nebo vodu. Problem maj tak leda provozovatele (a tady si vypujcim nazev) srackometu => at si svuj problem vyresej.

Naopak vis co se stane, kdyz ISP A zablokuje nejakej rozsah? Mno sit to z logiky veci posle pres B a C => B a C se seberou a pujdou A rozbit cifernik.
7.3.2013 20:45 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Ono je to presne naopak. ISP ma trubky a zakaznici mu tam cpou vodu.
Jestli se nekde objevi typek, ktery jim do vody pridava methanol, meli by ho najit a odpojit. Proste na hranici cizich trubek by mely byt detektor metanolu.
Ja ted dostal novy blok adres pro nase AS a dokud nebudu mit korektne nastaveny route object, tak si ani neprdnu, protoze nasi BGP peerove maji samozrejme filtry generovane z RIPE databaze. Ale tak by to museli mit vsichni, jinak to nebude fungovat.
7.3.2013 23:04 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Vysel super clanek:

http://www.security-portal.cz/clanky/seznamte-se-%E2%80%93-dos-ddos-%C3%BAtoky

Je zde uplne na konci clanku zmineno to co pisu jiz v dotazu "Kdyby všichni ISP zapnuli anti-spoofing filtry na svých routerech, tak tyto útoky nemohou existovat.....".

Autorovi mockrat diky.

Pro "j" - ted se muzes naucit cist a jak funguje internet ty :-)
8.3.2013 16:41 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Boze, mam rad lidi, kteri pindaj o vecech o kterych nemaj ani paru, a jeste radsi ty, kteri o to pisou radoby odborny clanky.

Vis co ti udela anti-spoofing? Nevis, jinak bys takovou hovadinu nemoh napsat. Kdyz budu mit i DOMA dve linky, tak to NEMUZU mit zaply. A vis ty proc? Mno proze routovani. To ze odesles paket pres interface A vubec neznamena, ze ti odpoved prijde pres A zpet a to je presne to, co dela tohle nastaveni - odmita pakety, ktery prijdou jinou cestou.

A vis ty co se deje na routeru, kterej vidi trebas 10 cest a ma kompleti routovani? Neustale se mu menej cesty odkud a kam pakety chodej, respektive ten router vubec nezajima odkud mu co prijde, protoze NENI jeho ukolem to resit, jeho ukolem je to poslat na spravnej cil. A ten muze byt (pro tebe velke prekvapeni) pokazdy jina z tech 10 cest a to i pro STEJNOU cilovou IP. A (kupodivu) kazda z tech 10ti cest muze(a taky vede) k jinemu ISP, ktery ty pakety zase jen veme a posle dal, podle toho, co zrovna router spocital jako optimalni cestu.

To tvoje krasny a jednoduchy "reseni" by fungovalo jen v pripade, ze se vratime o nejakych 30let zpet ke statickymu routovani, coz chci videt jak realizujes, a hlavne jak pri tom bude ta sit fungovat dyl nez par minut.

Mimochodem, ja se tim (zjevne narozdil od tebe) zivim.
8.3.2013 17:36 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Ty nam vazne tvrdis, ze pokud bys byl DOMA pripojeny pres dva ruzne ISP (DOMA beru jako ze zadne multihop BGP a podobne), tak ti muzou chodit pakety z jednoho spojeni pres obe cesty?
Jendа avatar 8.3.2013 21:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
A i kdyby, tak přece řešíme spoofing odchozích paketů, ne?
Já to s tou denacifikací Slovenska myslel vážně.
8.3.2013 21:41 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Možná to ani ne, ale velmi si dokážu představit, že pakety jednou cestou odchází a jinou přichází. Směrování je vlastně nastavení jednosměrných linek. Takže lokální směrovací tabulka rozhodně neznamená, že když směrem X odchází pakety pro adresu/síť A.B.C.D tak paket z A.B.C.D přicházející ze zcela jiného směru je špatný nebo podvržený.
8.3.2013 21:47 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Ale my se opravdu bavime pouze o odchozich paketech - nikoliv o prichozich. A to na urovni ISP. Proste kdyby vsichni ISP meli spravne nastavene hranicni routery z jejich siti do tranzitu pak by skoncil problem se spoof IP.
12.3.2013 23:25 Chulda | skóre: 20
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
opravdu? A když někdo použije jiné adresy patřící tomuto ISP, tak se stane co? Tak je tohle řešení k prdu, musel by to řešit na úrovni jednotlivých přípojek a nabrat k tomu tunu lidí, kteří by udržovali jen tohleto v chodu.

BTW, útok přišel asi přes ruského ISP, který je velkým transitem. I když víte, že to jde od něj, tak máte smůlu, protože on nepozná, odkud mu to teče. Anebo je mu u prdele. A jste zase v hajzlu.
8.3.2013 21:12 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
jestli se tim zivis tak uz se nedivim ze to pri DDOS utocich se spoof adresama dopada jak to dopada :-)
Jendа avatar 8.3.2013 21:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Nechápu.
  • Jsem hraniční router UPC.
  • Mám rozhraní eth0 a eth1 připojené do Internetu (NIX a tranzit) a eth2 mířící do sítě UPC.
  • UPC má přidělené rozsahy 127.128.0.0/16 a 127.192.0.0/14
  • Teď mi přijde na eth2 paket se src adresou 193.179.158.14
  • Můžu ho normálně zahodit, protože je spoofnutý, ne?
Já to s tou denacifikací Slovenska myslel vážně.
8.3.2013 21:40 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Presne tak - zahodit muzes. Nejlepsim resenim by bylo kdybys zahodit musel ! :-)
9.3.2013 00:25 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
JJ. Tak ako sa maju zahadzovat privatne IP tak tak sa ma zahadzovat aj ten spoofnuty bordel. Len dnes je v mode srat na vsetko.
11.3.2013 14:25 Marble | skóre: 27 | blog: marble
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Mám doma dva "dráty" od ISP A a ISB B. Řekněme, že ISP A umí zajistit velkou spolehlivost, ale má omezení pro datové přenosy, rychlost uplinku, whatever. Poskytovatel B nabízí velkou rychlost a menší spolehlivost. Můj počítač má tedy jednu IP od ISP A a druhou od ISP B. Pro větší spolehlivost chci "zveřejnit" (třeba přes DNS) IP adresu "A", ale data, co si někdo bude stahovat ze serveru chci odesílat přes spojení "B", pokud toto zrovna běží.

Považuješ za vhodné mít možnost třeba zrovna takovouto konfiguraci postavit? Pokud ano, tak ISP B nesmí zahazovat odchozí pakety se zdrojovou IP poskytovatele "A".
Jendа avatar 11.3.2013 15:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Považuji za vhodné se v tomto případě s ISP B domluvit, aby můj rozsah z A přidal do whitelistu.
Já to s tou denacifikací Slovenska myslel vážně.
11.3.2013 18:48 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Lol, do jakeho whitelistu?
To by si ISP musel v RIPE databazi pridat druheho ISP u sveho route objectu do mnt-by.
J neni jediny, kdo je tu mimo panove.
Jendа avatar 12.3.2013 16:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Nemyslel jsem, že by se tento filtr měl aplikovat na tranzitu, ale na úrovni „end user“ ISP.
Já to s tou denacifikací Slovenska myslel vážně.
11.3.2013 16:25 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Pokud nekdo kdo nema vlastni AS chce toto reseni tak presne jak pise Jenda by si mel dojednat s ISP
7.3.2013 12:57 Sten
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Odpovědět | | Sbalit | Link | Blokovat | Admin

Tohle mohou kontrolovat jen ISP, protože tam je jasné, jaké zdrojové IP adresy mohou očekávat, ale když vidím třeba našeho schopného poskytovatele připojení, který nezvládl za měsíc opravit routování IPv6 (takže nedostane zaplaceno), tak se ani nedivím, že na takové pokročilé operace jich spousta peče.

BGP routery mohou (kvůli dynamickému síťování v Internetu) legálně dostávat libovolné pakety z libovolných tranzitních cest. Škoda, že RFC 3514 neprošlo :-)

7.3.2013 13:04 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Presne tak to myslim - odriznout ISP ktery posilaji bordel do internetu a umoznuji tyhle osklive veci :-)
7.3.2013 15:59 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Viz vejs, to plyne z toho, ze zjevne vubec netusis, jak net funguje.
8.3.2013 00:43 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Já si myslím že každý slušný ISP si to v rámci možností hlídá.

Ovšem jeden ISP není jeden rozsah IP a tak se díra vždy najde.

A za druhé jim jde o napadení sítě takže jim stačí posílat do sítě pakety s vymyšlenou IP, protože nečekají odpovědi a je napaden jeden PC a odpovědi budou chodit spět druhému atd...

Tak stejně můžu říct kdyby uživatelé nestahovaly a neinstalovaly různé svinstva tak piráti nemůžou ovládat tolik PC a nemůžou s nimi útočit. Takže je to věc uživatelů že si nekontrolují své PC a mají tam plno bordelu a umožňují pirátům je používat.
11.3.2013 20:53 milda
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Kazdy autonomni system ma sve hranicni routery, kterymi je pripojen k jinym peerum. Kazdy AS ma prideleny od RIPE nejake subnety a je zodpovedny za to, ze propaguje pres BGP ke svym peerum jenom tyto subnety a vse ostatni (zdrojova adresa neni z jeho rozsahu a tvari se to tak, ze to ma byt originovano v tomto AS) zahazuje. Totez se deje jestlize nejakemu svemu BGP zakaznikovi umozni multihome BGP a peeruje s nim na privatnim AS. V tomto pripade prideli tento spravce AS svemu zakaznikovi napriklad 2x /24. Tento zakaznik potom pres BGP tyto 2 cecka propaguje smerem k tomu AS pres ten privatni peering. Spravce AS potom nedovoli tomu zakaznikovi, aby mu propagoval neco jineho nez tyto 2x /24.
11.3.2013 21:13 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
To vykládejte v Americe. Po dva týdny na mě byl veden útok z rozsahu, který ARIN nikdy nikomu nepřidělil. Majitel autonomního systému šířící tento prefix nereagoval. ARIN m řekl, že je to smutné, ale nic s tím nemůže udělat. Nakonec udělal – rozsah přidělil někomu jinému, takže neoprávněnému uživateli adres spadl hřebínek.
11.3.2013 22:28 milda
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Co k tomu dodat, melo by to tak byt, a ze to tak nekdy neni, s tim nic nenadelam. Muzu maximalne zajistit, aby to tak bylo u site, za kterou jsem zodpovedny ja.
10.3.2013 07:24 Bill Gates
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Pokud mate na vyber mezi vice poskytovateli, pak je mozne si vyskakovat stylem "takže nedostane zaplaceno" :) Treba ja tuto moznost nemam. Teda mam ale mam na vyber mezi cenou X a 2x X.
pavlix avatar 13.3.2013 04:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
Teda mam ale mam na vyber mezi cenou X a 2x X.
Za určitých okolností může být služba s dvojnásobnou cenou vhodnější.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
13.3.2013 08:10 enonymaus
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP
+1

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.