Přihlášení | Registrace

napište » Zprávičky

včera 15:22 | IT novinky

Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

Přímý přenos z LinuxDays 2025

včera 05:22 | Komunita

Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

Ladislav Hagara | Komentářů: 8

Soud zrušil rekordní pokutu pro Avast

3.10. 22:44 | IT novinky

V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

… více »

Ladislav Hagara | Komentářů: 3

Google Chrome 141

3.10. 19:00 | Nová verze

Google Chrome 141 byl prohlášen za stabilní. Nejnovější stabilní verze 141.0.7390.54 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 21 bezpečnostních chyb. Za nejvážnější z nich (Heap buffer overflow in WebGPU) bylo vyplaceno 25 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

Ladislav Hagara | Komentářů: 0

eDoklady mají kvůli vysoké zátěži technické potíže

3.10. 17:11 | Upozornění

eDoklady mají kvůli vysoké zátěži technické potíže. Ministerstvo vnitra doporučuje vzít si sebou klasický občanský průkaz nebo pas.

Ladislav Hagara | Komentářů: 7

Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling

3.10. 17:00 | Komunita

Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling.

Ladislav Hagara | Komentářů: 1

Vývoj webového prohlížeče Ladybird (09/2025)

3.10. 14:33 | Komunita

Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za září (YouTube).

Ladislav Hagara | Komentářů: 0

Vyšla kniha Počítačové programy a autorské právo

3.10. 12:33 | Upozornění

Vyšla kniha Počítačové programy a autorské právo. Podle internetových stránek nakladatelství je v knize "Významný prostor věnován otevřenému a svobodnému softwaru, jeho licencím, důsledkům jejich porušení a rizikům „nakažení“ proprietárního kódu režimem open source."

javokajifeng | Komentářů: 0

Neoprávněný přístup do GitLab instance používané konzultačním týmem Red Hatu

3.10. 01:11 | Bezpečnostní upozornění

Red Hat řeší bezpečnostní incident, při kterém došlo k neoprávněnému přístupu do GitLab instance používané svým konzultačním týmem.

Ladislav Hagara | Komentářů: 0

Immich 2.0.0

2.10. 23:33 | Nová verze

Immich byl vydán v první stabilní verzi 2.0.0 (YouTube). Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.

Ladislav Hagara | Komentářů: 2

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (38%)

Gitlab (45%)

Atlassian (15%)

Bitbucket (17%)

Gitea (20%)

Mercurial (15%)

jen git (17%)

jen svn (16%)

Jiné (uvedu v diskusi) (15%)

Celkem 175 hlasů

Komentářů: 12, poslední včera 20:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Info k DDOS utokum - podvrzeni zdrojove IP

Štítky: BGP, DDos, Internet, nesmysly, síť, sítě

Dotaz: Info k DDOS utokum - podvrzeni zdrojove IP

7.3.2013 11:15 hermelin | skóre: 21
Info k DDOS utokum - podvrzeni zdrojove IP

Přečteno: 1605×

Odpovědět | Admin

Ahoj

Precetl jsem si clanek http://www.csirt.cz/page/1351/vyjadreni-csirt.cz-k-probihajicim-ddos-utokum/.

Neni mi jasne jak je mozne podvrhnout zdrojou IP adresu na verejnem internetu. To si routery nekontroluji z jakych IP k nim paket dorazil a zda se s nim maji vubec zabyvat ? Kazdy poskytoval si preci hlida aby od nej ze site nesly jine adresy nez jake ma prirazene ne ? Pripadne jeho nadrazeny poskytovatel by mel zjistit ze k nemu chodi nesmysly.

Nebo je tim mysleno ze podvrzene ip adresy jsou ze stejne podsite ? Pak bych chapal ze hackeri si maskujou sve zombie tim ze meni zdrojovou ip pouze v ramci podsite.

Protoze routovani BGP protokolem apod. nerozumim tak jestli by mi nekdo jednoduse vysvetlil jak je mozne do internetu poslat paket ktery bude mit uplne jinou IP nez sit ze ktere jsem pripojen.

Kdyby tohle bylo tak jednoduse mozne tak se divim ze internet jeste zije :-)

Diky

Nástroje: Začni sledovat (0) ?

Odpovědi

7.3.2013 11:39 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Neni mi jasne jak je mozne podvrhnout zdrojou IP adresu na verejnem internetu. To si routery nekontroluji z jakych IP k nim paket dorazil a zda se s nim maji vubec zabyvat ? Kazdy poskytoval si preci hlida aby od nej ze site nesly jine adresy nez jake ma prirazene ne ? Pripadne jeho nadrazeny poskytovatel by mel zjistit ze k nemu chodi nesmysly.

Když se najde síť, kde se to nekontroluje, tak je podvržení možné. Nejinak je tomu i u jiných sítí, např. pro velké provozovatele VoIP je také snadné uskutečnit přes PSTN hovor s podvrženým volajícím.

7.3.2013 11:40 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Myslím, že routre sú nastavené tak aby routovali prevádzku. Neviem o tom, že by routre riešili akú to má zdrojovú IP.

Root v linuxe : "Root povedal, linux vykona."

7.3.2013 16:50 nonsense
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

7.3.2013 21:45 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Asi tak. Kdyby se místo paketů posílali koně, tak se routují koně. Není důležité co routuješ, ale kolik toho uroutuješ.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

7.3.2013 11:46 beer | skóre: 15
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

http://cs.wikipedia.org/wiki/IP_spoofing

http://www.root.cz/clanky/nocni-mura-jmenem-syn-flooding/

7.3.2013 11:53 Ivan
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Neni to tak jednoduchy. Dneska uz se to skoro nedela. Prinaselo by to totiz spoustu provoznich problemu a falesnych alarmu. Jedno reseny bylo, ze si provideri (naproklad v ramci NIXu) vymenovali pres email informace o tom jake prefixy maji prideleny. Druhym resenim je pravidelna synchronizace BGP filtru na zaklade informaci z RIPE.

Pokud v tom ale ma nekdo bordel, tak je nakonec bit nekdo jinej, kdo za to nemuze. Takze to pak dopada tak, ze neco se kontroluje a neco zase ne.

7.3.2013 12:18 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

mno me z toho vseho vychazi ze podvrzeni IP je umozneny diky nespravne nastavenym branam a routeru nekterych poskytovatelu ktery umoznuji pres ne posilat nesmyslne zdrojove IP :-)

takze by asi nebylo od veci na takovy poskytovatele si postvitit :-)

sice by to (D)DOS nezabranilo ale podstatne lip by se lokalizoval

7.3.2013 15:58 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Ehm ... tak se poinformuj (a i ostatni vejs) jako funguje internet. Ty mas trubku A, B, C ... a nemuzes vedet (prakticky nikdy) zda ti src a.b.c.d prijde z A, B nebo C. To zalezi na spouste vnejsich okolnosti. A pokud ty dovolujes provoz mez A, B a C (coz dovoluje spousta ucastniku - bez toho by internet jaksi nefungoval, protoze by kazdej musel by spojen s kazdym extra dratem), tak nemuzes IPcka filtrovat.

Vice nez jednu trubku ma pak prakticky kazdy isp.

Tudiz o nejakm spatnem nebo vadnem nastaveni nemuze byt ani reci.

7.3.2013 16:07 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

ehm ehm

kazdej ISP by mel mit pod kontrolou svoji sit. A je jedno jestli ma trubku jednu nebo deset.

Nebavime se o filtrovani prichoziho provozu ale o provozu odchozim ze site ISP. Pokud ma ISP sit rozsah aaa.bbb.xxx.xxx/16 nemuzou jeho routery a brany odesilat nesmyslne pakety ktere maji src IP ccc.ddd.eee.ffff/32

7.3.2013 19:37 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Tak znova, nauc se cist, prakticky kazdej ISP funguje jako tranzit a nektery jsou tranzit only => negenerujou zadnej vlastni traffic. Takze ISP s tim vazne nic delat nemuze (nebavime se o frantovi z kotehulek, co na svoje DSL pripojil cely kotehulky).

Navic mi rekni jeden jedine duvod, proc by to mel ISP resit? ISP je prodavac trubek. Proda ti nejak tlustou trubku a je mu sumafuk, jestli pres ni budes tlacit ropu nebo vodu. Problem maj tak leda provozovatele (a tady si vypujcim nazev) srackometu => at si svuj problem vyresej.

Naopak vis co se stane, kdyz ISP A zablokuje nejakej rozsah? Mno sit to z logiky veci posle pres B a C => B a C se seberou a pujdou A rozbit cifernik.

7.3.2013 20:45 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Ono je to presne naopak. ISP ma trubky a zakaznici mu tam cpou vodu.
Jestli se nekde objevi typek, ktery jim do vody pridava methanol, meli by ho najit a odpojit. Proste na hranici cizich trubek by mely byt detektor metanolu.
Ja ted dostal novy blok adres pro nase AS a dokud nebudu mit korektne nastaveny route object, tak si ani neprdnu, protoze nasi BGP peerove maji samozrejme filtry generovane z RIPE databaze. Ale tak by to museli mit vsichni, jinak to nebude fungovat.

7.3.2013 23:04 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Vysel super clanek:

http://www.security-portal.cz/clanky/seznamte-se-%E2%80%93-dos-ddos-%C3%BAtoky

Je zde uplne na konci clanku zmineno to co pisu jiz v dotazu "Kdyby všichni ISP zapnuli anti-spoofing filtry na svých routerech, tak tyto útoky nemohou existovat.....".

Autorovi mockrat diky.

Pro "j" - ted se muzes naucit cist a jak funguje internet ty :-)

8.3.2013 16:41 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Boze, mam rad lidi, kteri pindaj o vecech o kterych nemaj ani paru, a jeste radsi ty, kteri o to pisou radoby odborny clanky.

Vis co ti udela anti-spoofing? Nevis, jinak bys takovou hovadinu nemoh napsat. Kdyz budu mit i DOMA dve linky, tak to NEMUZU mit zaply. A vis ty proc? Mno proze routovani. To ze odesles paket pres interface A vubec neznamena, ze ti odpoved prijde pres A zpet a to je presne to, co dela tohle nastaveni - odmita pakety, ktery prijdou jinou cestou.

A vis ty co se deje na routeru, kterej vidi trebas 10 cest a ma kompleti routovani? Neustale se mu menej cesty odkud a kam pakety chodej, respektive ten router vubec nezajima odkud mu co prijde, protoze NENI jeho ukolem to resit, jeho ukolem je to poslat na spravnej cil. A ten muze byt (pro tebe velke prekvapeni) pokazdy jina z tech 10 cest a to i pro STEJNOU cilovou IP. A (kupodivu) kazda z tech 10ti cest muze(a taky vede) k jinemu ISP, ktery ty pakety zase jen veme a posle dal, podle toho, co zrovna router spocital jako optimalni cestu.

To tvoje krasny a jednoduchy "reseni" by fungovalo jen v pripade, ze se vratime o nejakych 30let zpet ke statickymu routovani, coz chci videt jak realizujes, a hlavne jak pri tom bude ta sit fungovat dyl nez par minut.

Mimochodem, ja se tim (zjevne narozdil od tebe) zivim.

8.3.2013 17:36 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Ty nam vazne tvrdis, ze pokud bys byl DOMA pripojeny pres dva ruzne ISP (DOMA beru jako ze zadne multihop BGP a podobne), tak ti muzou chodit pakety z jednoho spojeni pres obe cesty?

8.3.2013 21:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

A i kdyby, tak přece řešíme spoofing odchozích paketů, ne?

8.3.2013 21:41 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Možná to ani ne, ale velmi si dokážu představit, že pakety jednou cestou odchází a jinou přichází. Směrování je vlastně nastavení jednosměrných linek. Takže lokální směrovací tabulka rozhodně neznamená, že když směrem X odchází pakety pro adresu/síť A.B.C.D tak paket z A.B.C.D přicházející ze zcela jiného směru je špatný nebo podvržený.

8.3.2013 21:47 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Ale my se opravdu bavime pouze o odchozich paketech - nikoliv o prichozich. A to na urovni ISP. Proste kdyby vsichni ISP meli spravne nastavene hranicni routery z jejich siti do tranzitu pak by skoncil problem se spoof IP.

12.3.2013 23:25 Chulda | skóre: 20
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

opravdu? A když někdo použije jiné adresy patřící tomuto ISP, tak se stane co? Tak je tohle řešení k prdu, musel by to řešit na úrovni jednotlivých přípojek a nabrat k tomu tunu lidí, kteří by udržovali jen tohleto v chodu.

BTW, útok přišel asi přes ruského ISP, který je velkým transitem. I když víte, že to jde od něj, tak máte smůlu, protože on nepozná, odkud mu to teče. Anebo je mu u prdele. A jste zase v hajzlu.

8.3.2013 21:12 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

jestli se tim zivis tak uz se nedivim ze to pri DDOS utocich se spoof adresama dopada jak to dopada :-)

8.3.2013 21:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Nechápu.

Jsem hraniční router UPC.
Mám rozhraní eth0 a eth1 připojené do Internetu (NIX a tranzit) a eth2 mířící do sítě UPC.
UPC má přidělené rozsahy 127.128.0.0/16 a 127.192.0.0/14
Teď mi přijde na eth2 paket se src adresou 193.179.158.14
Můžu ho normálně zahodit, protože je spoofnutý, ne?

8.3.2013 21:40 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Presne tak - zahodit muzes. Nejlepsim resenim by bylo kdybys zahodit musel ! :-)

9.3.2013 00:25 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

JJ. Tak ako sa maju zahadzovat privatne IP tak tak sa ma zahadzovat aj ten spoofnuty bordel. Len dnes je v mode srat na vsetko.

11.3.2013 14:25 Marble | skóre: 27 | blog: marble
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Mám doma dva "dráty" od ISP A a ISB B. Řekněme, že ISP A umí zajistit velkou spolehlivost, ale má omezení pro datové přenosy, rychlost uplinku, whatever. Poskytovatel B nabízí velkou rychlost a menší spolehlivost. Můj počítač má tedy jednu IP od ISP A a druhou od ISP B. Pro větší spolehlivost chci "zveřejnit" (třeba přes DNS) IP adresu "A", ale data, co si někdo bude stahovat ze serveru chci odesílat přes spojení "B", pokud toto zrovna běží.

Považuješ za vhodné mít možnost třeba zrovna takovouto konfiguraci postavit? Pokud ano, tak ISP B nesmí zahazovat odchozí pakety se zdrojovou IP poskytovatele "A".

11.3.2013 15:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Považuji za vhodné se v tomto případě s ISP B domluvit, aby můj rozsah z A přidal do whitelistu.

11.3.2013 18:48 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Lol, do jakeho whitelistu?
To by si ISP musel v RIPE databazi pridat druheho ISP u sveho route objectu do mnt-by.
J neni jediny, kdo je tu mimo panove.

12.3.2013 16:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Nemyslel jsem, že by se tento filtr měl aplikovat na tranzitu, ale na úrovni „end user“ ISP.

11.3.2013 16:25 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Pokud nekdo kdo nema vlastni AS chce toto reseni tak presne jak pise Jenda by si mel dojednat s ISP

7.3.2013 12:57 Sten
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Tohle mohou kontrolovat jen ISP, protože tam je jasné, jaké zdrojové IP adresy mohou očekávat, ale když vidím třeba našeho schopného poskytovatele připojení, který nezvládl za měsíc opravit routování IPv6 (takže nedostane zaplaceno), tak se ani nedivím, že na takové pokročilé operace jich spousta peče.

BGP routery mohou (kvůli dynamickému síťování v Internetu) legálně dostávat libovolné pakety z libovolných tranzitních cest. Škoda, že RFC 3514 neprošlo :-)

7.3.2013 13:04 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Presne tak to myslim - odriznout ISP ktery posilaji bordel do internetu a umoznuji tyhle osklive veci :-)

7.3.2013 15:59 j
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Viz vejs, to plyne z toho, ze zjevne vubec netusis, jak net funguje.

8.3.2013 00:43 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Já si myslím že každý slušný ISP si to v rámci možností hlídá.

Ovšem jeden ISP není jeden rozsah IP a tak se díra vždy najde.

A za druhé jim jde o napadení sítě takže jim stačí posílat do sítě pakety s vymyšlenou IP, protože nečekají odpovědi a je napaden jeden PC a odpovědi budou chodit spět druhému atd...

Tak stejně můžu říct kdyby uživatelé nestahovaly a neinstalovaly různé svinstva tak piráti nemůžou ovládat tolik PC a nemůžou s nimi útočit. Takže je to věc uživatelů že si nekontrolují své PC a mají tam plno bordelu a umožňují pirátům je používat.

11.3.2013 20:53 milda
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Kazdy autonomni system ma sve hranicni routery, kterymi je pripojen k jinym peerum. Kazdy AS ma prideleny od RIPE nejake subnety a je zodpovedny za to, ze propaguje pres BGP ke svym peerum jenom tyto subnety a vse ostatni (zdrojova adresa neni z jeho rozsahu a tvari se to tak, ze to ma byt originovano v tomto AS) zahazuje. Totez se deje jestlize nejakemu svemu BGP zakaznikovi umozni multihome BGP a peeruje s nim na privatnim AS. V tomto pripade prideli tento spravce AS svemu zakaznikovi napriklad 2x /24. Tento zakaznik potom pres BGP tyto 2 cecka propaguje smerem k tomu AS pres ten privatni peering. Spravce AS potom nedovoli tomu zakaznikovi, aby mu propagoval neco jineho nez tyto 2x /24.

11.3.2013 21:13 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

To vykládejte v Americe. Po dva týdny na mě byl veden útok z rozsahu, který ARIN nikdy nikomu nepřidělil. Majitel autonomního systému šířící tento prefix nereagoval. ARIN m řekl, že je to smutné, ale nic s tím nemůže udělat. Nakonec udělal – rozsah přidělil někomu jinému, takže neoprávněnému uživateli adres spadl hřebínek.

11.3.2013 22:28 milda
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Co k tomu dodat, melo by to tak byt, a ze to tak nekdy neni, s tim nic nenadelam. Muzu maximalne zajistit, aby to tak bylo u site, za kterou jsem zodpovedny ja.

10.3.2013 07:24 Bill Gates
Rozbalit Rozbalit vše Re: Info k DDOS utokum - podvrzeni zdrojove IP

Pokud mate na vyber mezi vice poskytovateli, pak je mozne si vyskakovat stylem "takže nedostane zaplaceno" :) Treba ja tuto moznost nemam. Teda mam ale mam na vyber mezi cenou X a 2x X.