Potíže s dostupností portálu

Omlouváme se za zhoršenou dostupnost AbcLinuxu.cz a ostatních portálů. Občasný vysoký packet loss je zapříčiněn DDoS útokem (přes 20 Gbps) proti síti našeho serverhostingu.

Komentáře

Můj tip: puberťáci z Anonymous.

21.5.2012 19:15 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

20Gbps? To jim dost fandíš.

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

22.5.2012 11:41 AsciiWolf | skóre: 41 | blog: Blog
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

21.5.2012 19:21 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Aké porty alebo na čo konkrétne útočili.

Sú to nejaké sofistikované útoky alebo obyčajne ?

Root v linuxe : "Root povedal, linux vykona."

21.5.2012 19:25 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Já nevím

Takže je to jako tipovat na hokej.

21.5.2012 19:25 DK
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

za tim urcite bude stat firma Koch&Koch :)

21.5.2012 19:36 belisarivs | skóre: 22 | blog: Psychobláboly
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Furt lepsi, nez kdyby za tim byl Heckler&Koch :-D

IRC is just multiplayer notepad.

21.5.2012 19:39 DK
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

tak lepsi strilet do routeru se snahou, ze to nejak zasahne vzdaleny server, nez soutezit s firmou, ktera poskytuje hardwarove, ale hlavne softwarove reseni za pravdepodobne 2 miliony kc :)

21.5.2012 20:27 Solitary
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Cekal bych od tebe teda zasvecenejsi nazory, nez tohle demonizovani Anonymous vystrizene jak z TV Noha. Osobne bych tipoval spis konkurenci. Pokud teda dany serverhosting verejne neprohlasuje podporu ACTA, cenzuru na internetu apod. pak bys mohl mit pravdu.

21.5.2012 20:35 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Osobne bych tipoval spis konkurenci.

Konkurenci koho?

Pokud teda dany serverhosting verejne neprohlasuje podporu ACTA, cenzuru na internetu apod. pak bys mohl mit pravdu.

Vidíš. A právě proto považuju Anonymous za tlupu puberťáků. Ze začátku to mělo nějaký smysl jako taková demonstrace, ale pak už útočili na každého, kdo má jiný názor. I kdyby serverhosting veřejně podporoval ACTA, komunisty a cikány, tak to nevidím jako obhajitelný důvod pro útok.

22.5.2012 02:15 Solitary
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Konkurence daneho hostingu.

23.5.2012 18:59 Bubak | skóre: 16 | blog: Čtvrtá cenová
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Proc ne? Treba by nekteri uzivatele (hostingu), kteri by to neveeli, zjistili, jake ma jejich hostitel nazory a prehodnotili by vyhody a nevyhody jeho sluzeb?

... máš jen mrtvou kočku a poškrábanýho jezevčíka ...

Už hosting dal ban na tie IP, ktoré spôsobujú útok ?

NIe je obmedzené posielanie ICMP správ o nedostupnosti ?

Root v linuxe : "Root povedal, linux vykona."

21.5.2012 19:45 BFU
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Si to predstavujes jak Hurvinek valku :-D

21.5.2012 20:00 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

+1, napadlo mě to samý :-D

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

21.5.2012 20:58 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Myslíte iptables -A FORWARD -i eth0 -s 0/0 -j DROP?

21.5.2012 21:24 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

To by vysvětlovalo nedostupnost serveru, tedy po IPv4 :D

Priznajte sa kto busi do F5 na klavesnici. :D

21.5.2012 22:31 jehovista
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Ja se priznavam, ale moc to nepomaha.

22.5.2012 00:06 Stanislav Petr | skóre: 27 | Praha
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

No, to by znamenalo nejakejch 10 milionu uhozu na F5 kazdou sekundu.... :D Jinak se zda ze se uz utok podarilo kompletne odfiltrovat, takze budeme doufat ze to vydrzi.

No jo... Co bych cekal od systemu, kterej se vypina tlacitkem start... http://glux.org

22.5.2012 02:16 kris
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Jak se dá takový útok odfiltrovat? Nedávno jsem nad tím přemýšlel a došel jsem k závěru, že to vlastně ani nejde. Ty pakety na router doputují tak či tak, jen se třeba zahodí, ale linku to bude zatěžovat pořád. Jak jste tohle vyřešili?

22.5.2012 07:41 cigi | skóre: 2
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Pokud je útok silnější, než linka / router, nic moc se s tím udělat nedá. Útoky však častěji bývají cíleny na jiné (slabší) cíle za routerem - a tedy pokud je na routeru odfiltrujeme, nemáme sice vyhráno, ale je to lepší.. Také nejde jen o datový tok útoku, ale spíše o počet paketů - a s tím si pořádný router určitě poradí lépe, než třeba takový webserver.

Kdyby se jednalo o opravdu distribuovaný ddos z tísíců zrdojů po celém světě, odfiltrujeme ho těžko (i když pokud budou všichni posílat stovky UDP paketů za vteřinu, až takový problém to nebude). Dost často jsou ale zdrojů spíše jednotky až desítky a to už se dá.

22.5.2012 08:06 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Útoky však častěji bývají cíleny na jiné (slabší) cíle za routerem

To by ale nebylo nazváno útokem na síť, ne? I když je možné, že to je Lubošova formulace a někde cestou od techniků hostingu došlo ke zkreslení.

Dost často jsou ale zdrojů spíše jednotky až desítky a to už se dá.

Tomu se říká DDoS? Já tedy DoS/DDoS rozlišuju podle toho, zda jde o neidentifikovatelné množství zdrojů (DDoS), nebo zda množství zdrojů je omezené a dají se identifikovat (včetně případného přibývání útočících zdrojů) – pak je to „jen“ DoS.

22.5.2012 08:31 cigi | skóre: 2
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Utok probuha v UDP paketech na ruzne cilove adresy a porty subnetu ve kterem je mimo jine i abclinuxu.cz. Prubezne blokujeme hlavni zdroje DDoS utoku

Tomu se říká DDoS? ..

Každý tomu říká jinak a teoreticky, pokud je již cílů více než jeden.. Ale v zásadě souhlasím s tebou.

22.5.2012 08:15 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Kdyby se jednalo o opravdu distribuovaný ddos z tísíců zrdojů po celém světě, odfiltrujeme ho těžko

Když útok ucpe hraniční linku provozovatele, tak se to řeší vypropagováním prefixu z jiných autonomních systémů, tak aby se provoz rozdělil podle lokalit, tam se packety přefiltrují a co lze považovat za regulérní požadavky, se přepošle domů tunelem.

22.5.2012 08:27 Stanislav Petr | skóre: 27 | Praha
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Tohle bohuzel nejde, protoze dnes se bezne pouzivaji na BGP filtry ktere tohle znemozni - protoze tohle by bylo jinak brano jako "unos" adresy. Dalsi vec je ze se bezne filtruji v BGP routy mensi nez /24. Reseni jak se to dela jsem popsal o kousek niz.

No jo... Co bych cekal od systemu, kterej se vypina tlacitkem start... http://glux.org

22.5.2012 08:25 Stanislav Petr | skóre: 27 | Praha
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Moznosti reseni je vice, jednak se da provoz na routerech filtrovat (pokud to linka stiha), pokud utok zacne byt prilis masivni resi se to blackhollingem, tak ze se IP adresa na kterou jde utok propaguje dalsim AS prez ktere utok prichazi s dohodnutym community flagem ktery zpusobi nastaveni blackhole route a stejnoy postup se opakuje na dalsi AS se kterymi dane tranzitni AS peeruje.

No jo... Co bych cekal od systemu, kterej se vypina tlacitkem start... http://glux.org

22.5.2012 09:09 j
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Tj, ale tim docilite presne toho, o co utocnikum jde - sice to nesejme servery, ale budou nedostupny. Nehlede na to, ze velmi efektivni DDOS lze na vetsinu cilu vygenerovat i bez sofistikovanych nastroju - staci akce typu "neco tam rozdavaji zadarmo" ... ;D.

22.5.2012 09:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

Servery pak budou dostupné alespoň odněkud, což je pořád lepší, než když jsou nedostupné odevšad.

22.5.2012 20:09 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Potíže s dostupností portálu

No hlavně tím kvůli útoku na jeden server v AS neodstavíš celou síť, ale jen jeden (případně více, pokud DDoS cílí na více serverů které jsou v ruzných subnetech) /24 subnet...