Přihlášení | Registrace

napište » Zprávičky

Jolla Phone

včera 17:11 | IT novinky

Společnost Jolla spustila kampaň na podporu svého nového telefonu Jolla Phone se Sailfish OS. Dodání je plánováno na první polovinu příštího roku. Pokud bude alespoň 2 000 zájemců. Záloha na telefon je 99 €. Cena telefonu v rámci kampaně je 499 €.

Ladislav Hagara | Komentářů: 10

Netflix kupuje Warner Bros. včetně HBO Max a HBO

včera 15:11 | IT novinky

Netflix kupuje Warner Bros. včetně jejích filmových a televizních studií HBO Max a HBO. Za 72 miliard dolarů (asi 1,5 bilionu korun).

Ladislav Hagara | Komentářů: 1

AWS re:Invent 2025

včera 14:11 | IT novinky

V Las Vegas dnes končí pětidenní konference AWS re:Invent 2025. Společnost Amazon Web Services (AWS) na ní představila celou řadu novinek. Vypíchnout lze 192jádrový CPU Graviton5 nebo AI chip Trainium3.

Ladislav Hagara | Komentářů: 0

Proxmox Datacenter Manager 1.0

včera 00:33 | Nová verze

Firma Proxmox vydala novou serverovou distribuci Datacenter Manager ve verzi 1.0 (poznámky k vydání). Podobně jako Virtual Environment, Mail Gateway či Backup Server je založená na Debianu, k němuž přidává integraci ZFS, webové administrační rozhraní a další. Datacenter Manager je určený ke správě instalací právě ostatních distribucí Proxmox.

|🇵🇸 | Komentářů: 6

Apache HTTP Server (httpd) 2.4.66 řeší 5 bezpečnostních chyb

4.12. 23:44 | Nová verze

Byla vydána nová verze 2.4.66 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 5 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0

JavaScript slaví 30 let

4.12. 14:00 | IT novinky

Programovací jazyk JavaScript (Wikipedie) dnes slaví 30 let od svého oficiálního představení 4. prosince 1995.

Ladislav Hagara | Komentářů: 0

Kritická zranitelnost v React Server Components

4.12. 04:22 | Bezpečnostní upozornění

Byly zveřejněny informace o kritické zranitelnosti CVE-2025-55182 s CVSS 10.0 v React Server Components. Zranitelnost je opravena v Reactu 19.0.1, 19.1.2 a 19.2.1.

Ladislav Hagara | Komentářů: 3

Linux 6.18 je jádrem s prodlouženou upstream podporou (LTS)

4.12. 02:44 | Komunita

Bylo rozhodnuto, že nejnovější Linux 6.18 je jádrem s prodlouženou upstream podporou (LTS). Ta je aktuálně plánována do prosince 2027. LTS jader je aktuálně šest: 5.10, 5.15, 6.1, 6.6, 6.12 a 6.18.

Ladislav Hagara | Komentářů: 0

Alpine Linux 3.23.0

4.12. 02:22 | Nová verze

Byla vydána nová stabilní verze 3.23.0, tj. první z nové řady 3.23, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1

Django 6.0

3.12. 18:11 | Nová verze

Byla vydána verze 6.0 webového aplikačního frameworku napsaného v Pythonu Django (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (34%)

Gitlab (47%)

Atlassian (19%)

Bitbucket (18%)

Gitea (22%)

Mercurial (15%)

jen git (25%)

jen svn (16%)

Jiné (uvedu v diskusi) (18%)

Celkem 432 hlasů

Komentářů: 18, poslední 2.12. 18:34

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Info k DDOS utokum - podvrzeni zdrojove IP

Štítky: BGP, DDos, Internet, nesmysly, síť, sítě

Dotaz: Info k DDOS utokum - podvrzeni zdrojove IP

7.3.2013 11:15 hermelin | skóre: 21
Info k DDOS utokum - podvrzeni zdrojove IP

Přečteno: 1645×

Odpovědět | Admin

Ahoj

Precetl jsem si clanek http://www.csirt.cz/page/1351/vyjadreni-csirt.cz-k-probihajicim-ddos-utokum/.

Neni mi jasne jak je mozne podvrhnout zdrojou IP adresu na verejnem internetu. To si routery nekontroluji z jakych IP k nim paket dorazil a zda se s nim maji vubec zabyvat ? Kazdy poskytoval si preci hlida aby od nej ze site nesly jine adresy nez jake ma prirazene ne ? Pripadne jeho nadrazeny poskytovatel by mel zjistit ze k nemu chodi nesmysly.

Nebo je tim mysleno ze podvrzene ip adresy jsou ze stejne podsite ? Pak bych chapal ze hackeri si maskujou sve zombie tim ze meni zdrojovou ip pouze v ramci podsite.

Protoze routovani BGP protokolem apod. nerozumim tak jestli by mi nekdo jednoduse vysvetlil jak je mozne do internetu poslat paket ktery bude mit uplne jinou IP nez sit ze ktere jsem pripojen.

Kdyby tohle bylo tak jednoduse mozne tak se divim ze internet jeste zije :-)

Diky

Nástroje: Začni sledovat (0) ?

Odpovědi

7.3.2013 11:39 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Neni mi jasne jak je mozne podvrhnout zdrojou IP adresu na verejnem internetu. To si routery nekontroluji z jakych IP k nim paket dorazil a zda se s nim maji vubec zabyvat ? Kazdy poskytoval si preci hlida aby od nej ze site nesly jine adresy nez jake ma prirazene ne ? Pripadne jeho nadrazeny poskytovatel by mel zjistit ze k nemu chodi nesmysly.

Když se najde síť, kde se to nekontroluje, tak je podvržení možné. Nejinak je tomu i u jiných sítí, např. pro velké provozovatele VoIP je také snadné uskutečnit přes PSTN hovor s podvrženým volajícím.

7.3.2013 11:40 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Myslím, že routre sú nastavené tak aby routovali prevádzku. Neviem o tom, že by routre riešili akú to má zdrojovú IP.

Root v linuxe : "Root povedal, linux vykona."

7.3.2013 16:50 nonsense
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

7.3.2013 21:45 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Asi tak. Kdyby se místo paketů posílali koně, tak se routují koně. Není důležité co routuješ, ale kolik toho uroutuješ.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

7.3.2013 11:46 beer | skóre: 15
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

http://cs.wikipedia.org/wiki/IP_spoofing

http://www.root.cz/clanky/nocni-mura-jmenem-syn-flooding/

7.3.2013 11:53 Ivan
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Neni to tak jednoduchy. Dneska uz se to skoro nedela. Prinaselo by to totiz spoustu provoznich problemu a falesnych alarmu. Jedno reseny bylo, ze si provideri (naproklad v ramci NIXu) vymenovali pres email informace o tom jake prefixy maji prideleny. Druhym resenim je pravidelna synchronizace BGP filtru na zaklade informaci z RIPE.

Pokud v tom ale ma nekdo bordel, tak je nakonec bit nekdo jinej, kdo za to nemuze. Takze to pak dopada tak, ze neco se kontroluje a neco zase ne.

7.3.2013 12:18 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

mno me z toho vseho vychazi ze podvrzeni IP je umozneny diky nespravne nastavenym branam a routeru nekterych poskytovatelu ktery umoznuji pres ne posilat nesmyslne zdrojove IP :-)

takze by asi nebylo od veci na takovy poskytovatele si postvitit :-)

sice by to (D)DOS nezabranilo ale podstatne lip by se lokalizoval

7.3.2013 15:58 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Ehm ... tak se poinformuj (a i ostatni vejs) jako funguje internet. Ty mas trubku A, B, C ... a nemuzes vedet (prakticky nikdy) zda ti src a.b.c.d prijde z A, B nebo C. To zalezi na spouste vnejsich okolnosti. A pokud ty dovolujes provoz mez A, B a C (coz dovoluje spousta ucastniku - bez toho by internet jaksi nefungoval, protoze by kazdej musel by spojen s kazdym extra dratem), tak nemuzes IPcka filtrovat.

Vice nez jednu trubku ma pak prakticky kazdy isp.

Tudiz o nejakm spatnem nebo vadnem nastaveni nemuze byt ani reci.

7.3.2013 16:07 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

ehm ehm

kazdej ISP by mel mit pod kontrolou svoji sit. A je jedno jestli ma trubku jednu nebo deset.

Nebavime se o filtrovani prichoziho provozu ale o provozu odchozim ze site ISP. Pokud ma ISP sit rozsah aaa.bbb.xxx.xxx/16 nemuzou jeho routery a brany odesilat nesmyslne pakety ktere maji src IP ccc.ddd.eee.ffff/32

7.3.2013 19:37 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Tak znova, nauc se cist, prakticky kazdej ISP funguje jako tranzit a nektery jsou tranzit only => negenerujou zadnej vlastni traffic. Takze ISP s tim vazne nic delat nemuze (nebavime se o frantovi z kotehulek, co na svoje DSL pripojil cely kotehulky).

Navic mi rekni jeden jedine duvod, proc by to mel ISP resit? ISP je prodavac trubek. Proda ti nejak tlustou trubku a je mu sumafuk, jestli pres ni budes tlacit ropu nebo vodu. Problem maj tak leda provozovatele (a tady si vypujcim nazev) srackometu => at si svuj problem vyresej.

Naopak vis co se stane, kdyz ISP A zablokuje nejakej rozsah? Mno sit to z logiky veci posle pres B a C => B a C se seberou a pujdou A rozbit cifernik.

7.3.2013 20:45 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Ono je to presne naopak. ISP ma trubky a zakaznici mu tam cpou vodu.
Jestli se nekde objevi typek, ktery jim do vody pridava methanol, meli by ho najit a odpojit. Proste na hranici cizich trubek by mely byt detektor metanolu.
Ja ted dostal novy blok adres pro nase AS a dokud nebudu mit korektne nastaveny route object, tak si ani neprdnu, protoze nasi BGP peerove maji samozrejme filtry generovane z RIPE databaze. Ale tak by to museli mit vsichni, jinak to nebude fungovat.

7.3.2013 23:04 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Vysel super clanek:

http://www.security-portal.cz/clanky/seznamte-se-%E2%80%93-dos-ddos-%C3%BAtoky

Je zde uplne na konci clanku zmineno to co pisu jiz v dotazu "Kdyby všichni ISP zapnuli anti-spoofing filtry na svých routerech, tak tyto útoky nemohou existovat.....".

Autorovi mockrat diky.

Pro "j" - ted se muzes naucit cist a jak funguje internet ty :-)

8.3.2013 16:41 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Boze, mam rad lidi, kteri pindaj o vecech o kterych nemaj ani paru, a jeste radsi ty, kteri o to pisou radoby odborny clanky.

Vis co ti udela anti-spoofing? Nevis, jinak bys takovou hovadinu nemoh napsat. Kdyz budu mit i DOMA dve linky, tak to NEMUZU mit zaply. A vis ty proc? Mno proze routovani. To ze odesles paket pres interface A vubec neznamena, ze ti odpoved prijde pres A zpet a to je presne to, co dela tohle nastaveni - odmita pakety, ktery prijdou jinou cestou.

A vis ty co se deje na routeru, kterej vidi trebas 10 cest a ma kompleti routovani? Neustale se mu menej cesty odkud a kam pakety chodej, respektive ten router vubec nezajima odkud mu co prijde, protoze NENI jeho ukolem to resit, jeho ukolem je to poslat na spravnej cil. A ten muze byt (pro tebe velke prekvapeni) pokazdy jina z tech 10 cest a to i pro STEJNOU cilovou IP. A (kupodivu) kazda z tech 10ti cest muze(a taky vede) k jinemu ISP, ktery ty pakety zase jen veme a posle dal, podle toho, co zrovna router spocital jako optimalni cestu.

To tvoje krasny a jednoduchy "reseni" by fungovalo jen v pripade, ze se vratime o nejakych 30let zpet ke statickymu routovani, coz chci videt jak realizujes, a hlavne jak pri tom bude ta sit fungovat dyl nez par minut.

Mimochodem, ja se tim (zjevne narozdil od tebe) zivim.

8.3.2013 17:36 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Ty nam vazne tvrdis, ze pokud bys byl DOMA pripojeny pres dva ruzne ISP (DOMA beru jako ze zadne multihop BGP a podobne), tak ti muzou chodit pakety z jednoho spojeni pres obe cesty?

8.3.2013 21:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

A i kdyby, tak přece řešíme spoofing odchozích paketů, ne?

8.3.2013 21:41 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Možná to ani ne, ale velmi si dokážu představit, že pakety jednou cestou odchází a jinou přichází. Směrování je vlastně nastavení jednosměrných linek. Takže lokální směrovací tabulka rozhodně neznamená, že když směrem X odchází pakety pro adresu/síť A.B.C.D tak paket z A.B.C.D přicházející ze zcela jiného směru je špatný nebo podvržený.

8.3.2013 21:47 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Ale my se opravdu bavime pouze o odchozich paketech - nikoliv o prichozich. A to na urovni ISP. Proste kdyby vsichni ISP meli spravne nastavene hranicni routery z jejich siti do tranzitu pak by skoncil problem se spoof IP.

12.3.2013 23:25 Chulda | skóre: 20
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

opravdu? A když někdo použije jiné adresy patřící tomuto ISP, tak se stane co? Tak je tohle řešení k prdu, musel by to řešit na úrovni jednotlivých přípojek a nabrat k tomu tunu lidí, kteří by udržovali jen tohleto v chodu.

BTW, útok přišel asi přes ruského ISP, který je velkým transitem. I když víte, že to jde od něj, tak máte smůlu, protože on nepozná, odkud mu to teče. Anebo je mu u prdele. A jste zase v hajzlu.

8.3.2013 21:12 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

jestli se tim zivis tak uz se nedivim ze to pri DDOS utocich se spoof adresama dopada jak to dopada :-)

8.3.2013 21:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Nechápu.

Jsem hraniční router UPC.
Mám rozhraní eth0 a eth1 připojené do Internetu (NIX a tranzit) a eth2 mířící do sítě UPC.
UPC má přidělené rozsahy 127.128.0.0/16 a 127.192.0.0/14
Teď mi přijde na eth2 paket se src adresou 193.179.158.14
Můžu ho normálně zahodit, protože je spoofnutý, ne?

8.3.2013 21:40 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Presne tak - zahodit muzes. Nejlepsim resenim by bylo kdybys zahodit musel ! :-)

9.3.2013 00:25 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

JJ. Tak ako sa maju zahadzovat privatne IP tak tak sa ma zahadzovat aj ten spoofnuty bordel. Len dnes je v mode srat na vsetko.

11.3.2013 14:25 Marble | skóre: 27 | blog: marble
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Mám doma dva "dráty" od ISP A a ISB B. Řekněme, že ISP A umí zajistit velkou spolehlivost, ale má omezení pro datové přenosy, rychlost uplinku, whatever. Poskytovatel B nabízí velkou rychlost a menší spolehlivost. Můj počítač má tedy jednu IP od ISP A a druhou od ISP B. Pro větší spolehlivost chci "zveřejnit" (třeba přes DNS) IP adresu "A", ale data, co si někdo bude stahovat ze serveru chci odesílat přes spojení "B", pokud toto zrovna běží.

Považuješ za vhodné mít možnost třeba zrovna takovouto konfiguraci postavit? Pokud ano, tak ISP B nesmí zahazovat odchozí pakety se zdrojovou IP poskytovatele "A".

11.3.2013 15:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Považuji za vhodné se v tomto případě s ISP B domluvit, aby můj rozsah z A přidal do whitelistu.

11.3.2013 18:48 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Lol, do jakeho whitelistu?
To by si ISP musel v RIPE databazi pridat druheho ISP u sveho route objectu do mnt-by.
J neni jediny, kdo je tu mimo panove.

12.3.2013 16:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Nemyslel jsem, že by se tento filtr měl aplikovat na tranzitu, ale na úrovni „end user“ ISP.

11.3.2013 16:25 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Pokud nekdo kdo nema vlastni AS chce toto reseni tak presne jak pise Jenda by si mel dojednat s ISP

7.3.2013 12:57 Sten
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Tohle mohou kontrolovat jen ISP, protože tam je jasné, jaké zdrojové IP adresy mohou očekávat, ale když vidím třeba našeho schopného poskytovatele připojení, který nezvládl za měsíc opravit routování IPv6 (takže nedostane zaplaceno), tak se ani nedivím, že na takové pokročilé operace jich spousta peče.

BGP routery mohou (kvůli dynamickému síťování v Internetu) legálně dostávat libovolné pakety z libovolných tranzitních cest. Škoda, že RFC 3514 neprošlo :-)

7.3.2013 13:04 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Presne tak to myslim - odriznout ISP ktery posilaji bordel do internetu a umoznuji tyhle osklive veci :-)

7.3.2013 15:59 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Viz vejs, to plyne z toho, ze zjevne vubec netusis, jak net funguje.

8.3.2013 00:43 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Já si myslím že každý slušný ISP si to v rámci možností hlídá.

Ovšem jeden ISP není jeden rozsah IP a tak se díra vždy najde.

A za druhé jim jde o napadení sítě takže jim stačí posílat do sítě pakety s vymyšlenou IP, protože nečekají odpovědi a je napaden jeden PC a odpovědi budou chodit spět druhému atd...

Tak stejně můžu říct kdyby uživatelé nestahovaly a neinstalovaly různé svinstva tak piráti nemůžou ovládat tolik PC a nemůžou s nimi útočit. Takže je to věc uživatelů že si nekontrolují své PC a mají tam plno bordelu a umožňují pirátům je používat.

11.3.2013 20:53 milda
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Kazdy autonomni system ma sve hranicni routery, kterymi je pripojen k jinym peerum. Kazdy AS ma prideleny od RIPE nejake subnety a je zodpovedny za to, ze propaguje pres BGP ke svym peerum jenom tyto subnety a vse ostatni (zdrojova adresa neni z jeho rozsahu a tvari se to tak, ze to ma byt originovano v tomto AS) zahazuje. Totez se deje jestlize nejakemu svemu BGP zakaznikovi umozni multihome BGP a peeruje s nim na privatnim AS. V tomto pripade prideli tento spravce AS svemu zakaznikovi napriklad 2x /24. Tento zakaznik potom pres BGP tyto 2 cecka propaguje smerem k tomu AS pres ten privatni peering. Spravce AS potom nedovoli tomu zakaznikovi, aby mu propagoval neco jineho nez tyto 2x /24.

11.3.2013 21:13 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

To vykládejte v Americe. Po dva týdny na mě byl veden útok z rozsahu, který ARIN nikdy nikomu nepřidělil. Majitel autonomního systému šířící tento prefix nereagoval. ARIN m řekl, že je to smutné, ale nic s tím nemůže udělat. Nakonec udělal – rozsah přidělil někomu jinému, takže neoprávněnému uživateli adres spadl hřebínek.

11.3.2013 22:28 milda
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Co k tomu dodat, melo by to tak byt, a ze to tak nekdy neni, s tim nic nenadelam. Muzu maximalne zajistit, aby to tak bylo u site, za kterou jsem zodpovedny ja.

10.3.2013 07:24 Bill Gates
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Pokud mate na vyber mezi vice poskytovateli, pak je mozne si vyskakovat stylem "takže nedostane zaplaceno" :) Treba ja tuto moznost nemam. Teda mam ale mam na vyber mezi cenou X a 2x X.