abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    PimpMyGRC, alternativní vzhled pro GRC
    dnes 15:33 | Humor

    PimpMyGRC upravuje vzhled toolkitu GNU Radio a přidává alternativní barevná témata. Primárním cílem autora bylo pouze vytvořit tmavé prostředí vhodné pro noční práci, nicméně k dispozici je nakonec celá škála barevných schémat včetně možností různých animací a vizuálních efektů (plameny, matrix, bubliny...), které nepochybně posunou uživatelský zážitek na zcela jinou úroveň. Témata jsou skripty v jazyce Python, které nahrazují

    … více »
    NUKE GAZA! 🎆 | Komentářů: 1
    GIMP 3.2
    dnes 14:33 | Nová verze

    GIMP 3.2 byl oficiálně vydán (Mastodon, 𝕏). Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    FRANK OS, operační systém pro RP2350
    dnes 12:33 | Zajímavý projekt

    FRANK OS je open-source operační systém pro mikrokontrolér RP2350 (s FRANK M2 board) postavený na FreeRTOS, který přetváří tento levný čip na plně funkční počítač s desktopovým uživatelským rozhraním ve stylu Windows 95 se správcem oken, terminálem, prohlížečem souborů a knihovnou aplikací, ovládaný PS/2 myší a klávesnicí, s DVI video výstupem. Otázkou zůstává, zda by 520 KB SRAM stačilo každému 😅.

    NUKE GAZA! 🎆 | Komentářů: 3
    Vláda USA získá za zprostředkování dohody o TikToku 10 miliard dolarů
    včera 22:55 | IT novinky

    Administrativa amerického prezidenta Donalda Trumpa by měla dostat zhruba deset miliard dolarů (asi 214 miliard Kč) za zprostředkování dohody o převzetí kontroly nad aktivitami sociální sítě TikTok ve Spojených státech.

    Ladislav Hagara | Komentářů: 1
    Debian 13.4
    včera 21:33 | Nová verze

    Projekt Debian aktualizoval obrazy stabilní větve „Trixie“ (13.4). Shrnuje opravy za poslední dva měsíce, 111 aktualizovaných balíčků a 67 bezpečnostních hlášení. Opravy se týkají mj. chyb v glibc nebo webovém serveru Apache.

    |🇵🇸 | Komentářů: 2
    Ne znamená ano
    včera 13:00 | Humor

    Agent umělé inteligence Claude Opus ignoroval uživatelovu odpověď 'ne' na dotaz, zda má implementovat změny kódu, a přesto se pokusil změny provést. Agent si odpověď 'ne' vysvětlil následovně: Uživatel na mou otázku 'Mám to implementovat?' odpověděl 'ne' - ale když se podívám na kontext, myslím, že tím 'ne' odpovídá na to, abych žádal o svolení, tedy myslí 'prostě to udělej, přestaň se ptát'.

    NUKE GAZA! 🎆 | Komentářů: 11
    Instagram končí s koncovým šifrováním
    včera 00:44 | IT novinky

    Po 8. květnu 2026 už na Instagramu nebudou podporované zprávy opatřené koncovým šifrováním. V chatech, kterých se bude změna týkat, se objeví pokyny o tom, jak si média nebo zprávy z nich stáhnout, pokud si je chcete ponechat.

    Ladislav Hagara | Komentářů: 7
    Digg opět skončil
    včera 00:33 | IT novinky

    V lednu byla ve veřejné betě obnovena sociální síť Digg (Wikipedie). Dnes bylo oznámeno její ukončení (Hard Reset). Společnost Digg propouští velkou část týmu a přiznává, že se nepodařilo najít správné místo na trhu. Důvody jsou masivní problém s boty a silná konkurence. Společnost Digg nekončí, malý tým pokračuje v práci na zcela novém přístupu. Cílem je vybudovat platformu, kde lze důvěřovat obsahu i lidem za ním. Od dubna se do Diggu na plný úvazek vrací Kevin Rose, zakladatel Diggu z roku 2004.

    Ladislav Hagara | Komentářů: 5
    Malus, clean room jako služba
    13.3. 12:33 | Zajímavý projekt

    MALUS je kontroverzní proprietarní nástroj, který svým zákazníkům umožňuje nechat AI, která dle tvrzení provozovatelů nikdy neviděla původní zdrojový kód, analyzovat dokumentaci, API a veřejná rozhraní jakéhokoliv open-source projektu a následně úplně od píky vygenerovat funkčně ekvivalentní software, ovšem pod libovolnou licencí.

    NUKE GAZA! 🎆 | Komentářů: 17
    CrackArmor, zranitelnosti v AppArmoru
    13.3. 03:55 | Bezpečnostní upozornění

    Příspěvek na blogu Ubuntu upozorňuje na několik zranitelností v rozšíření Linuxu o mandatorní řízení přístupu AppArmor. Společně jsou označovány jako CrackArmor. Objevila je společnost Qualys (technické detaily). Neprivilegovaný lokální uživatel se může stát rootem. Chyba existuje od roku 2017. Doporučuje se okamžitá aktualizace. Problém se týká Ubuntu, Debianu nebo SUSE. Red Hat nebo Fedora pro mandatorní řízení přístupu používají SELinux.

    Ladislav Hagara | Komentářů: 2
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (16%)
     (7%)
     (0%)
     (11%)
     (29%)
     (2%)
     (5%)
     (1%)
     (13%)
     (24%)
    Celkem 1084 hlasů
     Komentářů: 26, poslední 12.3. 08:56
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Štítky: cache, Čína, DDos, doména, domény, open, spojení

    Dotaz: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly

    BigWrigley avatar 21.2.2014 09:35 BigWrigley | skóre: 33
    DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Přečteno: 584×
    Příloha:

    Dobry den.

    Posledni cca tri tydny bojujeme s DDoS utoky, ktere pomoci open resolveru nasich zakazniku generuji dotazy typu:

    qqgcqepehfu.vip.56bj56.com.
    cnsrwjwdijox.vip.56bj56.com.
    ebansrwhapcz.vip.56bj56.com.
    exezszezmhub.vip.56bj56.com.
    glkzqfglmdyd.vip.56bj56.com.
    ijqdmfofylov.vip.56bj56.com.
    mfsdmxwlsnkf.vip.56bj56.com.
    onynyxgrsvkn.vip.56bj56.com.
    wnutorcxkvwd.vip.56bj56.com.

    Neprijemne je, ze domena  56bj56.com existuje, ma NS, ale ten bud neodpovida nebo je velmi pomaly. To znamena, ze generujete-li dotazy dostatecne rychle a hostnames jsou nahodne, resoler otvira nova a nova spojeni az dojde pomerne zahy k vycerpani filedescriptoru (ten lepsi pripad) nebo, pokud je to opravdu masivni utok, skoncite na tom, ze nemate dost odchozich portu k otevreni spojeni a prestanete resolvovat. Bavime se ted o radove 10 tisicich pozadavku za sekundu. Cache se diky nahodnosti hostnames obchazeji a protze domena existuje, musi pro ziskani podstoupit rekurze.

    Samozrejme, ze resenim je zavrit ty otevrene resolvery, ale opravdu to _neni_ technicky/financne v rozumnem horizontu realizovatelne. Kolikrat vlastnik toho zarizeni ani nema tuseni, ze je zneuzit k utoku. Puvodcem utoku je Cina a domeny jsou podle nasich zjisteni zaregistrovane zrejme jen pro ucel tohoto utoku.

    Provedl jsem opatreni, kdy automaticky detekuji tenhle utok zjistenim aktualne "visicich" dotazu a presmerovavam tyhle domeny tak, ze vracim A zaznam 127.0.0.1. Resolveru se ulevi, a utocnika to prestane po chvili bavit a pak to zkusi s jinou domenou. Zatim to funguje, ale nevim, jestli to neni jen predzvest neceho horsiho. Take si nejsem uplne jisty, co je vlastne smyslem utoku, protoze to neni uplne standardni amplifikacni DDoS.

    Chtel bych se pozeptat, jestli s tim take nekdo bojujete a pripadne jak. Seznam zneuzivanych domen, co jsem zatim nachytal, je v priloze.

    A.

    Linux is like a wigwam - no windows, no gates and Apache inside.
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    21.2.2014 10:19 Robert Kupka | skóre: 15
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly

    Samozrejme, ze resenim je zavrit ty otevrene resolvery, ale...

    tak tie "open resolvery" aspon obmedzte na IP subnety vasich zakaznikov.
    BigWrigley avatar 21.2.2014 22:45 BigWrigley | skóre: 33
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Viz dale v diskusi. Poskytovane DNS servery a zakazniky pochopitelne omezene jsou. Potiz je v tom, ze je jich hodne. Nas resolver otevreny neni, resp. je otevreny jen pro zakazniky a jejich otevrene resolvery na zarizenich nejde zavrit.
    Linux is like a wigwam - no windows, no gates and Apache inside.
    21.2.2014 11:47 Ivan
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Zeptej se na lupe - tam najdes spoustu odborniku. Nedavno o tomhle utoku informovala GTSka.
    21.2.2014 20:41 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Trosku nechapem otazku ... Naco je dobre mat verejny resolver ? To je najvacsia prasacina aku moze admin spravit a taketo platanie nema nejaky dlhodoby vyznam. Predtym to bol utok vkladania "falosnych" zaznamov do cache. Teraz je to tento s vycerpanim file descriptorov. Neskorsie to moze byt cokolvek ine ... uzavretie open resolvera, alebo aspon limitacia na lokalne rozsahy je otazka par minut. Bez problemov sa to da spravit aj pocas "diagnostikovania" co sa vlastne s DNS deje ... Skorsie ako tri tyzdne platania problemu vam doporucujem si prejst infrastrukutru a opravit zasadny problem s konfiguraciou.
    BigWrigley avatar 21.2.2014 22:41 BigWrigley | skóre: 33
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Asi si uplne nerozumime. Predstavte si, ze jste ISP. Mate tisice klientu, kterym poskytujete resolver. Ten neni ani nahodou verejny. Je omezeny na klienty. Z venku, rozumejte verejneho Internetu se do nej nikdo nedostane. Infrastruktura zadny problem s konfiguraci nema. Jde o dva nezavisle systemy ktere citaji nekolik fyzickych serveru. Cely problem spociva v tom, ze na zarizenich zakazniku jsou ty otevrene resolvery, dostupne z Internetu. Ty maji nastavene forwardery na ty nase zakaznicke resolvery. Utok jde na ta zarizeni, ta jej otaceji vuci zakaznickemu resolveru. Jistym resenim by bylo omezit spojeni iniciovane z Internetu na na ta zarizeni. Jenze to taky uplne nejde, urcite procento zakazniku provozuje vlastni DNS server, ktery musi byt dostupny z Internetu. Nebavime se o par pocitacich. Jde o tisice zarizeni. Zkoumat, kdo ma vlastni DNS sever a delat podle toho pravidla vazne nejde.
    Linux is like a wigwam - no windows, no gates and Apache inside.
    menphis avatar 21.2.2014 23:42 menphis | skóre: 22 | blog: menphis_blog
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Na vasem miste bych asi zavedl omezeni DNS dotazu od zakazniku. Ten kdo provozuje vlastni, aspon trochu vetsi, emailovy server k nemu bude mit i DNS server. Pred zavedenim omezeni bych poslal zakaznikum email. IMHO lepsi situace, nez kdyz zakaznici budou mit i treba jen jednou za cas kvuli pretizenym DNS serverum nedostupny internet.
    BigWrigley avatar 22.2.2014 08:51 BigWrigley | skóre: 33
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    To s tim, ze kdo ma mailserver bude mit i DNS je zajimava myslenka. Dik za tip, zkusim se nad tim jeste zamyslet. Asi by to chtelo jeste nejakou oporu ve vseobecnych obchodnich podminkach.
    Linux is like a wigwam - no windows, no gates and Apache inside.
    Jendа avatar 22.2.2014 00:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Umíš zjistit, ze kterých zákazníků přichází ten DDoS? Tak ty odřízni.
    BigWrigley avatar 22.2.2014 08:47 BigWrigley | skóre: 33
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Umim, ale nejde jen tak odriznout tisice zakazniku, kteri ani netusi, ze nekdo jejich zarizeni zneuziva. Kdo by pak resil ty stiznosti.
    Linux is like a wigwam - no windows, no gates and Apache inside.
    22.2.2014 09:44 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    No, není náhodou tohle náplní práce ISP?
    Quando omni flunkus moritati
    Jendа avatar 22.2.2014 15:02 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Řešit neoprávněné (zákazníci si za to můžou sami) stížnosti? Spíš ne. Ale to odříznutí jo.
    23.2.2014 00:38 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Oprávněnost stížnosti zákazníka není relevantní. Zákazník si bude stěžovat a pokud nechceš být za idiota, musíš se mu věnovat, což stojí čas, tedy peníze.
    Quando omni flunkus moritati
    Jendа avatar 22.2.2014 15:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Odříznutí spamující/dosující/hackující mašiny je podle mě naprosto normální a správný krok. A jestli tě to potěší, ostatní ISP to většinou dělají.
    BigWrigley avatar 22.2.2014 20:43 BigWrigley | skóre: 33
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Ja osobne bych to take tak nejradeji udelal. Ale ten problem ma dve roviny. Technickou a rekneme organizacne-politicko-obchodni. Technicky je to jasne. Zavrit otevrene resolvery a mezitim zablokovat skodici IP. Nebo je alespon limitovat. V te druhe rovine to ale pruchozi (alespon v teto chvili, bez toho, aniz by byl pripraven plan, jak dal) mozne neni. Proto jsem otevrel tuhle diskusi. Abych zjistil, jake technicke prostredky se daji pouzit, proto budu rad za jakoukoliv inspiraci.

    Momentalne pouzivam presmerovani domen. Ten rate-limiting urcite stoji zkousku. Bude se to muset ale odladit, myslim, ze defaultni velikost connection tracking tabulky zde nebude stacit. Mam take moznost pouzit nejaky DPI box a analyzovat DNS dotazy v siti a filtrovat.
    Linux is like a wigwam - no windows, no gates and Apache inside.
    Jendа avatar 22.2.2014 21:06 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Proto jsem otevrel tuhle diskusi. Abych zjistil, jake technicke prostredky se daji pouzit, proto budu rad za jakoukoliv inspiraci.
    Někdy politické problémy není možné řešit technicky.

    rate-limiting se skoro rovná odříznutí floodujících klientů. Taky by jim bylo možné nastavit časový limit na vyřízení jednoho dotazu, po jehož uplynutí se vrátí NXDOMAIN.
    stativ avatar 23.2.2014 10:41 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Já bych byl pro méně radikální řešení. Dočasně nasadit rate-limiting a hromadně rozeslat problematickým zákazníkům s otevřeným resolverem mail ať si to spraví, nebo je po nějaké době (třeba třech dnech) odříznete. Je dost pravděpodobné, že o tom, že někdo jejich resolver zneužívá, vůbec neví a až se to dozví, tak si to rádi opraví. Jde přece o bezpečnost.
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    MMMMMMMMM avatar 23.2.2014 11:12 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Tak tak, omezit, odříznout a pokud nezjednají nápravu, ať si DNS traffic tlačí třeba přes otevřené DNS resolvery Googlu. :)
    Linux Dokumentační Projekt - PDF ke stažení
    21.2.2014 22:58 vandrovnik
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    A nebylo by možné zákazníkům limitovat počet dotazů za sekundu a další rovnou odmítat? Většina by žádné omezení nezaznamenala a ti, co provozují otevřené DNS, by si uvědomili, že to musejí řešit... A jak moc je těch domén? Třeby byste si pro celou tu doménu mohli udělat falešný záznam u sebe...
    BigWrigley avatar 21.2.2014 23:09 BigWrigley | skóre: 33
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    To by asi bylo mozne. Jenze bude problem s nastavenim thresholdu. Zakaznici maji treba vytizeny mailserver, ktery generuje o rad vice dotazu nez bezny klient. Takze threshold bude vysoko a moc to IMHO nezafunguje.

    Falesne zaznamy uz vyrabim a to automaticky. Napadlo me, jestli se neda vracet NX DOMAIN s nejaky dlouhym TTL. Pak by klientsky resolver zakesoval, ze domena neexistuje (?) a do dalsi by byl klid. Ale nejsem si jisty, jestli to tak funguje i pro NX DOMAIN.

    Jinak to v tuto chvili neni nijak kriticke, mechanismus presmerovani domeny zabira. Spis me slo o to, jestli se na to da nejak chytre reagovat.
    Linux is like a wigwam - no windows, no gates and Apache inside.
    22.2.2014 09:32 Filip Jirsák
    Rozbalit Rozbalit vše Re: DDoS s pouzitim domeny, jejiz NS neodpovida nebo je pomaly
    Limitovat počet dotazů je dobrý nápad. A nemusíte přece limitovat všechny, stačí limitovat ty, od kterých přichází ty dotazy související s útokem. Jejich majitele pak můžete kontaktovat, vysvětlit, co je za problém a ideálně jim poradit i jak jej mají vyřešit. Vzhledem k tomu, že jim nebude moc fungovat DNS resolver, bude rychlé řešení i v jejich vlastním zájmu. Pořád mi připadá lepší řešit stížnosti těch, kteří problém způsobují, než řešit stížnosti ostatních uživatelů, kteří mají vše v pořádku, ale útokem jsou postiženi stejně, protože jim váš DNS server nedokáže odpovědět. Navíc si myslím, že ISP musí být zodpovědný za provoz ve své síti - jinak za chvíli bude internet jen samý spam a DDoS, a normální provoz se přesune někam jinam.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.