Zdravím, zajímal by mi váš názor na pár věcí: Jaké máte zkušenosti s DDoS proti vašemu serveru/VPSce ? Popř. jak ste je řešili/vyřešili ?
Jak lze zabezpečit VPSku proti DDoS ?
Je řešením po druhém DDoS útoku proti VPSce pozastavit členství (vyhodit člena) ? (ano týká se to mě)
Lze nějak omezit přístup na VPSku pouze pro IPčka z ČR/SK pro vybranou službu ?
Myslíte si že je aplikace "TeamSpeak" problematická ? (rok sem ji provozoval bez problémů, včera a dnes DDoS)
David
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
je videt, ze vubec nechapes, o co pri vetsine floodovacich DDoSu jde.
Tak ti to popisu na prikladu.
Predstav si, ze mezi nasi siti a zbytkem svete je trubka, ktera ma kapacitu 1Gbit (1 litr vody / sekunda). Kdyz prijde DDoS, zacne se na tu trubku ze sveta valit X-nasobne vic.
A ty se na druhym konci ty trubky, tam, kde mas svoje routery, muzes akorat smutne divat, jak ti mezi tou tunou bordelu obcas prijde normalni legitimni packet.
Proti tomuhle se neda branit nijak.
Existujou metody, jak kooperovat s vyssim ISP (tzn. poskytovatelskym koncem trubky) a donutit je zahazovat traffic na danou IP. Nebo existujou zarizeni jako napr:
http://www.fortinet.com/products/fortiddos/
ktery musis ale dat na tu silnou stranu, kde zvladnes vsechen traffic, vcetne nelegitimniho prijmout a jenom ho profiltrujes na legitimni.
A ano, TeamSpeak a konkretne skupina lidi, kteri TeamSpeak pouzivaji jsou rizikova skupina, protoze se mezi nima pohybujou mlady hovada, kteri si zaplacenim botnetu na par hodin mezi sebou vyrizuji ucty. Vitej ve svete modernich 13ti-letych fakanu.
Jedinym resenim je pro nas takove rizikove skupiny lidi si sem vubec nepoustet.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/01/2014 09:18 PM, D.Hanzlik@seznam.cz wrote:
Zdravím, zajímal by mi váš názor na pár věcí: Jaké máte zkušenosti s DDoS proti vašemu serveru/VPSce ? Popř. jak ste je řešili/vyřešili ?
Jak lze zabezpečit VPSku proti DDoS ?
Je řešením po druhém DDoS útoku proti VPSce pozastavit členství (vyhodit člena) ? (ano týká se to mě)
Lze nějak omezit přístup na VPSku pouze pro IPčka z ČR/SK pro vybranou službu ?
Myslíte si že je aplikace "TeamSpeak" problematická ? (rok sem ji provozoval bez problémů, včera a dnes DDoS)
David
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
mam to chapat tak, ze TeamSpeak server patri medzi zakazane sluzby?
Ahoj,
pokud se nekdo bavi tim, ze hleda TeamSpeak servery a flooduje je, tak co nahodit trebas OpenVPN (ciste teoreticky, nezkousel jsem ji zatim na VPS zprovoznit) a TS jet skrze ni. Na desktopu pro uzivatele je to jen par kliknuti navic a smartphony/tablety to umi taky. A zvenci by pak o TeamSpeaku nikdo nevedel. To by pro tebe nefungovalo?
Vojta
Dne 2. dubna 2014 9:19 Martin Seman semanmar@gmail.com napsal(a):
Ahoj,
mam to chapat tak, ze TeamSpeak server patri medzi zakazane sluzby?
-- S pozdravom/Kind regards Martin Seman
2014-04-01 21:27 GMT+02:00 Pavel Snajdr snajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
je videt, ze vubec nechapes, o co pri vetsine floodovacich DDoSu jde.
Tak ti to popisu na prikladu.
Predstav si, ze mezi nasi siti a zbytkem svete je trubka, ktera ma kapacitu 1Gbit (1 litr vody / sekunda). Kdyz prijde DDoS, zacne se na tu trubku ze sveta valit X-nasobne vic.
A ty se na druhym konci ty trubky, tam, kde mas svoje routery, muzes akorat smutne divat, jak ti mezi tou tunou bordelu obcas prijde normalni legitimni packet.
Proti tomuhle se neda branit nijak.
Existujou metody, jak kooperovat s vyssim ISP (tzn. poskytovatelskym koncem trubky) a donutit je zahazovat traffic na danou IP. Nebo existujou zarizeni jako napr:
http://www.fortinet.com/products/fortiddos/
ktery musis ale dat na tu silnou stranu, kde zvladnes vsechen traffic, vcetne nelegitimniho prijmout a jenom ho profiltrujes na legitimni.
A ano, TeamSpeak a konkretne skupina lidi, kteri TeamSpeak pouzivaji jsou rizikova skupina, protoze se mezi nima pohybujou mlady hovada, kteri si zaplacenim botnetu na par hodin mezi sebou vyrizuji ucty. Vitej ve svete modernich 13ti-letych fakanu.
Jedinym resenim je pro nas takove rizikove skupiny lidi si sem vubec nepoustet.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/01/2014 09:18 PM, D.Hanzlik@seznam.cz wrote:
Zdravím, zajímal by mi váš názor na pár věcí: Jaké máte zkušenosti s DDoS proti vašemu serveru/VPSce ? Popř. jak ste je řešili/vyřešili ?
Jak lze zabezpečit VPSku proti DDoS ?
Je řešením po druhém DDoS útoku proti VPSce pozastavit členství (vyhodit člena) ? (ano týká se to mě)
Lze nějak omezit přístup na VPSku pouze pro IPčka z ČR/SK pro vybranou službu ?
Myslíte si že je aplikace "TeamSpeak" problematická ? (rok sem ji provozoval bez problémů, včera a dnes DDoS)
David
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlM7ExAACgkQMBKdi9lkZ6rQhwD/RJYCu+DQZKa36t+F/0mkzAku o6BSif6OX6oygJI7U88A/248W6hhx0idjbq8K5DLcZaQ6WzXOksE4G+YUc/Q6q2S =yhCn -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
openvpn funguje bez problemov, sam ho pouzivam. ale problem ddosov to nijako neriesi. ked nejaky fagan ma tvoju ipcku, tak bezohladu na to ci pristupujes na TS cez vpnku alebo nie, vydosuje to aj tak...
2014-04-02 10:20 GMT+02:00 Vojtěch Sigler vojta@sigler.cz:
Ahoj,
pokud se nekdo bavi tim, ze hleda TeamSpeak servery a flooduje je, tak co nahodit trebas OpenVPN (ciste teoreticky, nezkousel jsem ji zatim na VPS zprovoznit) a TS jet skrze ni. Na desktopu pro uzivatele je to jen par kliknuti navic a smartphony/tablety to umi taky. A zvenci by pak o TeamSpeaku nikdo nevedel. To by pro tebe nefungovalo?
Vojta
Dne 2. dubna 2014 9:19 Martin Seman semanmar@gmail.com napsal(a):
Ahoj,
mam to chapat tak, ze TeamSpeak server patri medzi zakazane sluzby?
-- S pozdravom/Kind regards Martin Seman
2014-04-01 21:27 GMT+02:00 Pavel Snajdr snajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
je videt, ze vubec nechapes, o co pri vetsine floodovacich DDoSu jde.
Tak ti to popisu na prikladu.
Predstav si, ze mezi nasi siti a zbytkem svete je trubka, ktera ma kapacitu 1Gbit (1 litr vody / sekunda). Kdyz prijde DDoS, zacne se na tu trubku ze sveta valit X-nasobne vic.
A ty se na druhym konci ty trubky, tam, kde mas svoje routery, muzes akorat smutne divat, jak ti mezi tou tunou bordelu obcas prijde normalni legitimni packet.
Proti tomuhle se neda branit nijak.
Existujou metody, jak kooperovat s vyssim ISP (tzn. poskytovatelskym koncem trubky) a donutit je zahazovat traffic na danou IP. Nebo existujou zarizeni jako napr:
http://www.fortinet.com/products/fortiddos/
ktery musis ale dat na tu silnou stranu, kde zvladnes vsechen traffic, vcetne nelegitimniho prijmout a jenom ho profiltrujes na legitimni.
A ano, TeamSpeak a konkretne skupina lidi, kteri TeamSpeak pouzivaji jsou rizikova skupina, protoze se mezi nima pohybujou mlady hovada, kteri si zaplacenim botnetu na par hodin mezi sebou vyrizuji ucty. Vitej ve svete modernich 13ti-letych fakanu.
Jedinym resenim je pro nas takove rizikove skupiny lidi si sem vubec nepoustet.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/01/2014 09:18 PM, D.Hanzlik@seznam.cz wrote:
Zdravím, zajímal by mi váš názor na pár věcí: Jaké máte zkušenosti s DDoS proti vašemu serveru/VPSce ? Popř. jak ste je řešili/vyřešili ?
Jak lze zabezpečit VPSku proti DDoS ?
Je řešením po druhém DDoS útoku proti VPSce pozastavit členství (vyhodit člena) ? (ano týká se to mě)
Lze nějak omezit přístup na VPSku pouze pro IPčka z ČR/SK pro vybranou službu ?
Myslíte si že je aplikace "TeamSpeak" problematická ? (rok sem ji provozoval bez problémů, včera a dnes DDoS)
David
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlM7ExAACgkQMBKdi9lkZ6rQhwD/RJYCu+DQZKa36t+F/0mkzAku o6BSif6OX6oygJI7U88A/248W6hhx0idjbq8K5DLcZaQ6WzXOksE4G+YUc/Q6q2S =yhCn -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Asi tak. Teď ten mail nemůžu najít, ale mám zato, že Pavel to kdysi popisoval tak, že dřív si děcka na písečku rozbíjela bábovičky, dneska si DoSujou VPSka.
Martin Seman wrote:
openvpn funguje bez problemov, sam ho pouzivam. ale problem ddosov to nijako neriesi. ked nejaky fagan ma tvoju ipcku, tak bezohladu na to ci pristupujes na TS cez vpnku alebo nie, vydosuje to aj tak...
2014-04-02 10:20 GMT+02:00 Vojtěch Siglervojta@sigler.cz:
Ahoj,
pokud se nekdo bavi tim, ze hleda TeamSpeak servery a flooduje je, tak co nahodit trebas OpenVPN (ciste teoreticky, nezkousel jsem ji zatim na VPS zprovoznit) a TS jet skrze ni. Na desktopu pro uzivatele je to jen par kliknuti navic a smartphony/tablety to umi taky. A zvenci by pak o TeamSpeaku nikdo nevedel. To by pro tebe nefungovalo?
Vojta
Dne 2. dubna 2014 9:19 Martin Semansemanmar@gmail.com napsal(a):
Ahoj,
mam to chapat tak, ze TeamSpeak server patri medzi zakazane sluzby?
-- S pozdravom/Kind regards Martin Seman
2014-04-01 21:27 GMT+02:00 Pavel Snajdrsnajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
je videt, ze vubec nechapes, o co pri vetsine floodovacich DDoSu jde.
Tak ti to popisu na prikladu.
Predstav si, ze mezi nasi siti a zbytkem svete je trubka, ktera ma kapacitu 1Gbit (1 litr vody / sekunda). Kdyz prijde DDoS, zacne se na tu trubku ze sveta valit X-nasobne vic.
A ty se na druhym konci ty trubky, tam, kde mas svoje routery, muzes akorat smutne divat, jak ti mezi tou tunou bordelu obcas prijde normalni legitimni packet.
Proti tomuhle se neda branit nijak.
Existujou metody, jak kooperovat s vyssim ISP (tzn. poskytovatelskym koncem trubky) a donutit je zahazovat traffic na danou IP. Nebo existujou zarizeni jako napr:
http://www.fortinet.com/products/fortiddos/
ktery musis ale dat na tu silnou stranu, kde zvladnes vsechen traffic, vcetne nelegitimniho prijmout a jenom ho profiltrujes na legitimni.
A ano, TeamSpeak a konkretne skupina lidi, kteri TeamSpeak pouzivaji jsou rizikova skupina, protoze se mezi nima pohybujou mlady hovada, kteri si zaplacenim botnetu na par hodin mezi sebou vyrizuji ucty. Vitej ve svete modernich 13ti-letych fakanu.
Jedinym resenim je pro nas takove rizikove skupiny lidi si sem vubec nepoustet.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/01/2014 09:18 PM, D.Hanzlik@seznam.cz wrote:
Zdravím, zajímal by mi váš názor na pár věcí: Jaké máte zkušenosti s DDoS proti vašemu serveru/VPSce ? Popř. jak ste je řešili/vyřešili ?
Jak lze zabezpečit VPSku proti DDoS ?
Je řešením po druhém DDoS útoku proti VPSce pozastavit členství (vyhodit člena) ? (ano týká se to mě)
Lze nějak omezit přístup na VPSku pouze pro IPčka z ČR/SK pro vybranou službu ?
Myslíte si že je aplikace "TeamSpeak" problematická ? (rok sem ji provozoval bez problémů, včera a dnes DDoS)
David
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlM7ExAACgkQMBKdi9lkZ6rQhwD/RJYCu+DQZKa36t+F/0mkzAku o6BSif6OX6oygJI7U88A/248W6hhx0idjbq8K5DLcZaQ6WzXOksE4G+YUc/Q6q2S =yhCn -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Cílem ddosu se může stát každej, důvod může být i nějaká blbost, včetně "testování na náhodné oběti" a ubránit se tomu v podstatě (ekonomicky) nedá.
Jednou mi běžel útok na server přes týden a nezjistili jsme žádnou motivaci. Bylo to z botnetu, především Asie - Rusko, Čína. Možná to byl smokescreen pro něco jinýho, ale tehdy pomohlo jen server odpojit od Internetu. Jiný servery, v tomtéž IP rozsahu, ani ťuk. Ten server nebyl nijak zajímavej.
-miky
2014-04-02 10:27 GMT+02:00 Jirka Bourek trekker.dk@abclinuxu.cz:
Asi tak. Teď ten mail nemůžu najít, ale mám zato, že Pavel to kdysi popisoval tak, že dřív si děcka na písečku rozbíjela bábovičky, dneska si DoSujou VPSka.
Martin Seman wrote:
openvpn funguje bez problemov, sam ho pouzivam. ale problem ddosov to nijako neriesi. ked nejaky fagan ma tvoju ipcku, tak bezohladu na to ci pristupujes na TS cez vpnku alebo nie, vydosuje to aj tak...
2014-04-02 10:20 GMT+02:00 Vojtěch Siglervojta@sigler.cz:
Ahoj,
pokud se nekdo bavi tim, ze hleda TeamSpeak servery a flooduje je, tak co nahodit trebas OpenVPN (ciste teoreticky, nezkousel jsem ji zatim na VPS zprovoznit) a TS jet skrze ni. Na desktopu pro uzivatele je to jen par kliknuti navic a smartphony/tablety to umi taky. A zvenci by pak o TeamSpeaku nikdo nevedel. To by pro tebe nefungovalo?
Vojta
Dne 2. dubna 2014 9:19 Martin Semansemanmar@gmail.com napsal(a):
Ahoj,
mam to chapat tak, ze TeamSpeak server patri medzi zakazane sluzby?
-- S pozdravom/Kind regards Martin Seman
2014-04-01 21:27 GMT+02:00 Pavel Snajdrsnajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahoj,
je videt, ze vubec nechapes, o co pri vetsine floodovacich DDoSu jde.
Tak ti to popisu na prikladu.
Predstav si, ze mezi nasi siti a zbytkem svete je trubka, ktera ma kapacitu 1Gbit (1 litr vody / sekunda). Kdyz prijde DDoS, zacne se na tu trubku ze sveta valit X-nasobne vic.
A ty se na druhym konci ty trubky, tam, kde mas svoje routery, muzes akorat smutne divat, jak ti mezi tou tunou bordelu obcas prijde normalni legitimni packet.
Proti tomuhle se neda branit nijak.
Existujou metody, jak kooperovat s vyssim ISP (tzn. poskytovatelskym koncem trubky) a donutit je zahazovat traffic na danou IP. Nebo existujou zarizeni jako napr:
http://www.fortinet.com/products/fortiddos/
ktery musis ale dat na tu silnou stranu, kde zvladnes vsechen traffic, vcetne nelegitimniho prijmout a jenom ho profiltrujes na legitimni.
A ano, TeamSpeak a konkretne skupina lidi, kteri TeamSpeak pouzivaji jsou rizikova skupina, protoze se mezi nima pohybujou mlady hovada, kteri si zaplacenim botnetu na par hodin mezi sebou vyrizuji ucty. Vitej ve svete modernich 13ti-letych fakanu.
Jedinym resenim je pro nas takove rizikove skupiny lidi si sem vubec nepoustet.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/01/2014 09:18 PM, D.Hanzlik@seznam.cz wrote:
Zdravím, zajímal by mi váš názor na pár věcí: Jaké máte zkušenosti s DDoS proti vašemu serveru/VPSce ? Popř. jak ste je řešili/vyřešili ?
Jak lze zabezpečit VPSku proti DDoS ?
Je řešením po druhém DDoS útoku proti VPSce pozastavit členství (vyhodit člena) ? (ano týká se to mě)
Lze nějak omezit přístup na VPSku pouze pro IPčka z ČR/SK pro vybranou službu ?
Myslíte si že je aplikace "TeamSpeak" problematická ? (rok sem ji provozoval bez problémů, včera a dnes DDoS)
David
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlM7ExAACgkQMBKdi9lkZ6rQhwD/RJYCu+DQZKa36t+F/0mkzAku o6BSif6OX6oygJI7U88A/248W6hhx0idjbq8K5DLcZaQ6WzXOksE4G+YUc/Q6q2S =yhCn -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Nemyslel jsem VPN jako prevenci DDoS, ale spis jako jakousi prevenci toho, ze nekdo nahodne objevi nejakou "popularni" sluzbu a rekne si "jee, hezky okno, hodim tam sutr".
Pokud jsou DDoS utoky casto nahodile, nema prilis vyznam nejak postihovat cloveka, jemuz VPS patri, na kterou miri DDoS, stejne jako delat blacklist typu "tyhle aplikace tu nechceme, muzou prilakat utok".
Dne 2. dubna 2014 10:39 Jakub Fišer kuba@ufiseru.cz napsal(a):
Cílem ddosu se může stát každej, důvod může být i nějaká blbost, včetně "testování na náhodné oběti" a ubránit se tomu v podstatě (ekonomicky) nedá.
Jednou mi běžel útok na server přes týden a nezjistili jsme žádnou motivaci. Bylo to z botnetu, především Asie - Rusko, Čína. Možná to byl smokescreen pro něco jinýho, ale tehdy pomohlo jen server odpojit od Internetu. Jiný servery, v tomtéž IP rozsahu, ani ťuk. Ten server nebyl nijak zajímavej.
-miky
2014-04-02 10:27 GMT+02:00 Jirka Bourek trekker.dk@abclinuxu.cz:
Asi tak. Teď ten mail nemůžu najít, ale mám zato, že Pavel to kdysi popisoval tak, že dřív si děcka na písečku rozbíjela bábovičky, dneska si DoSujou VPSka.
Martin Seman wrote:
openvpn funguje bez problemov, sam ho pouzivam. ale problem ddosov to nijako neriesi. ked nejaky fagan ma tvoju ipcku, tak bezohladu na to ci pristupujes na TS cez vpnku alebo nie, vydosuje to aj tak...
2014-04-02 10:20 GMT+02:00 Vojtěch Siglervojta@sigler.cz:
Ahoj,
pokud se nekdo bavi tim, ze hleda TeamSpeak servery a flooduje je, tak co nahodit trebas OpenVPN (ciste teoreticky, nezkousel jsem ji zatim na VPS zprovoznit) a TS jet skrze ni. Na desktopu pro uzivatele je to jen par kliknuti navic a smartphony/tablety to umi taky. A zvenci by pak o TeamSpeaku nikdo nevedel. To by pro tebe nefungovalo?
Vojta
Dne 2. dubna 2014 9:19 Martin Semansemanmar@gmail.com napsal(a):
Ahoj,
mam to chapat tak, ze TeamSpeak server patri medzi zakazane sluzby?
-- S pozdravom/Kind regards Martin Seman
2014-04-01 21:27 GMT+02:00 Pavel Snajdrsnajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
je videt, ze vubec nechapes, o co pri vetsine floodovacich DDoSu jde.
Tak ti to popisu na prikladu.
Predstav si, ze mezi nasi siti a zbytkem svete je trubka, ktera ma kapacitu 1Gbit (1 litr vody / sekunda). Kdyz prijde DDoS, zacne se na tu trubku ze sveta valit X-nasobne vic.
A ty se na druhym konci ty trubky, tam, kde mas svoje routery, muzes akorat smutne divat, jak ti mezi tou tunou bordelu obcas prijde normalni legitimni packet.
Proti tomuhle se neda branit nijak.
Existujou metody, jak kooperovat s vyssim ISP (tzn. poskytovatelskym koncem trubky) a donutit je zahazovat traffic na danou IP. Nebo existujou zarizeni jako napr:
http://www.fortinet.com/products/fortiddos/
ktery musis ale dat na tu silnou stranu, kde zvladnes vsechen traffic, vcetne nelegitimniho prijmout a jenom ho profiltrujes na legitimni.
A ano, TeamSpeak a konkretne skupina lidi, kteri TeamSpeak pouzivaji jsou rizikova skupina, protoze se mezi nima pohybujou mlady hovada, kteri si zaplacenim botnetu na par hodin mezi sebou vyrizuji ucty. Vitej ve svete modernich 13ti-letych fakanu.
Jedinym resenim je pro nas takove rizikove skupiny lidi si sem vubec nepoustet.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/01/2014 09:18 PM, D.Hanzlik@seznam.cz wrote: > > Zdravím, zajímal by mi váš názor na pár věcí: Jaké máte zkušenosti > s DDoS proti vašemu serveru/VPSce ? Popř. jak ste je > řešili/vyřešili ? > > Jak lze zabezpečit VPSku proti DDoS ? > > Je řešením po druhém DDoS útoku proti VPSce pozastavit členství > (vyhodit člena) ? (ano týká se to mě) > > Lze nějak omezit přístup na VPSku pouze pro IPčka z ČR/SK pro > vybranou službu ? > > Myslíte si že je aplikace "TeamSpeak" problematická ? (rok sem ji > provozoval bez problémů, včera a dnes DDoS) > > David > > > > _______________________________________________ Community-list > mailing list Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list > -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlM7ExAACgkQMBKdi9lkZ6rQhwD/RJYCu+DQZKa36t+F/0mkzAku o6BSif6OX6oygJI7U88A/248W6hhx0idjbq8K5DLcZaQ6WzXOksE4G+YUc/Q6q2S =yhCn -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Jakub Fišer IT & Security consulting kuba@ufiseru.cz
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Presne proto zadnej blacklist neni a bohuzel pak musim s konkretnima lidma resit, ze musi jit hostovat jinam, protoze nemame a] proaktivni ochranu proti DDoSum, b] ani nemame 24/7 support schopny reagovat ve vterinach. Moje reakcni doba, stejne jako vetsiny, je v desitkach minut, coz je normalni, kdyz nemam na starosti jenom hlidani prichozich SMS od monitoringu...
Cili aktualne jsme proti DDoSum bezbranni, jako vetsina provideru podobne velikosti, jako je nase sdruzrni, protoze nejblizsi device, co by nam stihal pomoct, stoji stejne jako vsechen nas produkcni hardware dohromady, a to jeste za predpokladu, ze by se vubec podarilo Master donutit si to dat na jejich stranu trubky k nam, tzn.jeste pred to, co nam prideluje zaplacenou sirku pasma.
Nicmene vcera vecer jsme s kamaradem zacali vymejslet, ze by to slo udelat i s x86 v kombinaci s bridge nebo port mirror na switchi, iptables na analyzu toho trafficu (nejlepsi hack, co kdy vymyslim - na co psat parser a analzpyzator IP trafficu, kdyz uz v jadre jeden je, staci ho ovladat), coz by bylo zakladem sberu dat pro automatickej BGP blackholing. Nekdo se znalosti C a motivaci pomoct pri implementaci neceho takovyho?
Sent from your iPad
On Apr 2, 2014, at 10:50, Vojtěch Sigler vojta@sigler.cz wrote:
Nemyslel jsem VPN jako prevenci DDoS, ale spis jako jakousi prevenci toho, ze nekdo nahodne objevi nejakou "popularni" sluzbu a rekne si "jee, hezky okno, hodim tam sutr".
Pokud jsou DDoS utoky casto nahodile, nema prilis vyznam nejak postihovat cloveka, jemuz VPS patri, na kterou miri DDoS, stejne jako delat blacklist typu "tyhle aplikace tu nechceme, muzou prilakat utok".
Dne 2. dubna 2014 10:39 Jakub Fišer kuba@ufiseru.cz napsal(a):
Cílem ddosu se může stát každej, důvod může být i nějaká blbost, včetně "testování na náhodné oběti" a ubránit se tomu v podstatě (ekonomicky) nedá.
Jednou mi běžel útok na server přes týden a nezjistili jsme žádnou motivaci. Bylo to z botnetu, především Asie - Rusko, Čína. Možná to byl smokescreen pro něco jinýho, ale tehdy pomohlo jen server odpojit od Internetu. Jiný servery, v tomtéž IP rozsahu, ani ťuk. Ten server nebyl nijak zajímavej.
-miky
2014-04-02 10:27 GMT+02:00 Jirka Bourek trekker.dk@abclinuxu.cz:
Asi tak. Teď ten mail nemůžu najít, ale mám zato, že Pavel to kdysi popisoval tak, že dřív si děcka na písečku rozbíjela bábovičky, dneska si DoSujou VPSka.
Martin Seman wrote:
openvpn funguje bez problemov, sam ho pouzivam. ale problem ddosov to nijako neriesi. ked nejaky fagan ma tvoju ipcku, tak bezohladu na to ci pristupujes na TS cez vpnku alebo nie, vydosuje to aj tak...
2014-04-02 10:20 GMT+02:00 Vojtěch Siglervojta@sigler.cz:
Ahoj,
pokud se nekdo bavi tim, ze hleda TeamSpeak servery a flooduje je, tak co nahodit trebas OpenVPN (ciste teoreticky, nezkousel jsem ji zatim na VPS zprovoznit) a TS jet skrze ni. Na desktopu pro uzivatele je to jen par kliknuti navic a smartphony/tablety to umi taky. A zvenci by pak o TeamSpeaku nikdo nevedel. To by pro tebe nefungovalo?
Vojta
Dne 2. dubna 2014 9:19 Martin Semansemanmar@gmail.com napsal(a):
Ahoj,
mam to chapat tak, ze TeamSpeak server patri medzi zakazane sluzby?
-- S pozdravom/Kind regards Martin Seman
2014-04-01 21:27 GMT+02:00 Pavel Snajdrsnajpa@snajpa.net:
> -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > Ahoj, > > je videt, ze vubec nechapes, o co pri vetsine floodovacich DDoSu jde. > > Tak ti to popisu na prikladu. > > Predstav si, ze mezi nasi siti a zbytkem svete je trubka, ktera ma > kapacitu 1Gbit (1 litr vody / sekunda). Kdyz prijde DDoS, zacne se na > tu trubku ze sveta valit X-nasobne vic. > > A ty se na druhym konci ty trubky, tam, kde mas svoje routery, muzes > akorat smutne divat, jak ti mezi tou tunou bordelu obcas prijde > normalni legitimni packet. > > Proti tomuhle se neda branit nijak. > > Existujou metody, jak kooperovat s vyssim ISP (tzn. poskytovatelskym > koncem trubky) a donutit je zahazovat traffic na danou IP. > Nebo existujou zarizeni jako napr: > > http://www.fortinet.com/products/fortiddos/ > > ktery musis ale dat na tu silnou stranu, kde zvladnes vsechen traffic, > vcetne nelegitimniho prijmout a jenom ho profiltrujes na legitimni. > > A ano, TeamSpeak a konkretne skupina lidi, kteri TeamSpeak pouzivaji > jsou rizikova skupina, protoze se mezi nima pohybujou mlady hovada, > kteri si zaplacenim botnetu na par hodin mezi sebou vyrizuji ucty. > Vitej ve svete modernich 13ti-letych fakanu. > > Jedinym resenim je pro nas takove rizikove skupiny lidi si sem vubec > nepoustet. > > S pozdravem / Best regards, > > Pavel Snajdr > > +421 948 816 186 | +420 720 107 791 | 110-010-956 > CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE > http://relbit.com | http://vpsfree.cz | https://www.redhat.com > >> On 04/01/2014 09:18 PM, D.Hanzlik@seznam.cz wrote: >> >> Zdravím, zajímal by mi váš názor na pár věcí: Jaké máte zkušenosti >> s DDoS proti vašemu serveru/VPSce ? Popř. jak ste je >> řešili/vyřešili ? >> >> Jak lze zabezpečit VPSku proti DDoS ? >> >> Je řešením po druhém DDoS útoku proti VPSce pozastavit členství >> (vyhodit člena) ? (ano týká se to mě) >> >> Lze nějak omezit přístup na VPSku pouze pro IPčka z ČR/SK pro >> vybranou službu ? >> >> Myslíte si že je aplikace "TeamSpeak" problematická ? (rok sem ji >> provozoval bez problémů, včera a dnes DDoS) >> >> David >> >> >> >> _______________________________________________ Community-list >> mailing list Community-list@lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1 > Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ > > iF4EAREIAAYFAlM7ExAACgkQMBKdi9lkZ6rQhwD/RJYCu+DQZKa36t+F/0mkzAku > o6BSif6OX6oygJI7U88A/248W6hhx0idjbq8K5DLcZaQ6WzXOksE4G+YUc/Q6q2S > =yhCn > -----END PGP SIGNATURE----- > _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Jakub Fišer IT & Security consulting kuba@ufiseru.cz
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
DDoS utoky se daji pomerne efektivne a hlavne levne resit i na chytrejsich routing-switchich které mají moznosti firewallu primo v ASIC. Napr. ja mam v tomhle smeru velice dobry zkusenosti s filtrovanim provozu na Juniper EX4200 zapojeny jako virtual chasis a uplinkem resenym jako LACP tak aby se rovnou na tom propoji rozdeloval ten provoz do bice krabic.
Analyzu provozu delam pak pomoci sflow který bezi primo na tech switchich (EX4200 ma HW sflow sondu) a posila se do vedle stojici masiny kde je jako collector nainstalovany pmacct. Nad tim uz je jen par scriptu který provadej v realnym case sumarizace jednotlivých toku podle adres/siti a podle toho se dela protiopatreni - budto nasazeni filtrace (prez junoscript) nebo rovnou poslani blackhole, když je to vetsi nez kapacita uplinku - lokalne na ty masine bezi ještě bird a BGPckem se to z nej posle to tech routing-switchu a dal do upstreamu.
Funkcni, jednoduchy, levny a hlavne velice rychle reagujici.
-- Stanislav Petr Tel.: +420 602 620 026
-----Original Message----- From: community-list-bounces@lists.vpsfree.cz [mailto:community-list-bounces@lists.vpsfree.cz] On Behalf Of Pavel Snajdr Sent: Wednesday, April 02, 2014 11:05 AM To: vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] Co delat proti DDoS
Presne proto zadnej blacklist neni a bohuzel pak musim s konkretnima lidma resit, ze musi jit hostovat jinam, protoze nemame a] proaktivni ochranu proti DDoSum, b] ani nemame 24/7 support schopny reagovat ve vterinach. Moje reakcni doba, stejne jako vetsiny, je v desitkach minut, coz je normalni, kdyz nemam na starosti jenom hlidani prichozich SMS od monitoringu...
Cili aktualne jsme proti DDoSum bezbranni, jako vetsina provideru podobne velikosti, jako je nase sdruzrni, protoze nejblizsi device, co by nam stihal pomoct, stoji stejne jako vsechen nas produkcni hardware dohromady, a to jeste za predpokladu, ze by se vubec podarilo Master donutit si to dat na jejich stranu trubky k nam, tzn.jeste pred to, co nam prideluje zaplacenou sirku pasma.
Nicmene vcera vecer jsme s kamaradem zacali vymejslet, ze by to slo udelat i s x86 v kombinaci s bridge nebo port mirror na switchi, iptables na analyzu toho trafficu (nejlepsi hack, co kdy vymyslim - na co psat parser a analzpyzator IP trafficu, kdyz uz v jadre jeden je, staci ho ovladat), coz by bylo zakladem sberu dat pro automatickej BGP blackholing. Nekdo se znalosti C a motivaci pomoct pri implementaci neceho takovyho?
Sent from your iPad
On Apr 2, 2014, at 10:50, Vojtěch Sigler vojta@sigler.cz wrote:
Nemyslel jsem VPN jako prevenci DDoS, ale spis jako jakousi prevenci toho, ze nekdo nahodne objevi nejakou "popularni" sluzbu a rekne si "jee, hezky okno, hodim tam sutr".
Pokud jsou DDoS utoky casto nahodile, nema prilis vyznam nejak postihovat cloveka, jemuz VPS patri, na kterou miri DDoS, stejne jako delat blacklist typu "tyhle aplikace tu nechceme, muzou prilakat utok".
Dne 2. dubna 2014 10:39 Jakub Fišer kuba@ufiseru.cz napsal(a):
Cílem ddosu se může stát každej, důvod může být i nějaká blbost, včetně "testování na náhodné oběti" a ubránit se tomu v podstatě (ekonomicky) nedá.
Jednou mi běžel útok na server přes týden a nezjistili jsme žádnou motivaci. Bylo to z botnetu, především Asie - Rusko, Čína. Možná to byl smokescreen pro něco jinýho, ale tehdy pomohlo jen server odpojit od Internetu. Jiný servery, v tomtéž IP rozsahu, ani ťuk. Ten server nebyl nijak zajímavej.
-miky
2014-04-02 10:27 GMT+02:00 Jirka Bourek trekker.dk@abclinuxu.cz:
Asi tak. Teď ten mail nemůžu najít, ale mám zato, že Pavel to kdysi popisoval tak, že dřív si děcka na písečku rozbíjela bábovičky, dneska si DoSujou VPSka.
Martin Seman wrote:
openvpn funguje bez problemov, sam ho pouzivam. ale problem ddosov to nijako neriesi. ked nejaky fagan ma tvoju ipcku, tak bezohladu na to ci pristupujes na TS cez vpnku alebo nie, vydosuje to aj tak...
2014-04-02 10:20 GMT+02:00 Vojtěch Siglervojta@sigler.cz:
Ahoj,
pokud se nekdo bavi tim, ze hleda TeamSpeak servery a flooduje je, tak co nahodit trebas OpenVPN (ciste teoreticky, nezkousel jsem ji zatim na VPS zprovoznit) a TS jet skrze ni. Na desktopu pro uzivatele je to jen par kliknuti navic a smartphony/tablety to umi taky. A zvenci by pak o TeamSpeaku nikdo nevedel. To by pro tebe nefungovalo?
Vojta
Dne 2. dubna 2014 9:19 Martin Semansemanmar@gmail.com napsal(a):
Ahoj,
mam to chapat tak, ze TeamSpeak server patri medzi zakazane sluzby?
-- S pozdravom/Kind regards Martin Seman
2014-04-01 21:27 GMT+02:00 Pavel Snajdrsnajpa@snajpa.net:
> -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > Ahoj, > > je videt, ze vubec nechapes, o co pri vetsine floodovacich DDoSu jde. > > Tak ti to popisu na prikladu. > > Predstav si, ze mezi nasi siti a zbytkem svete je trubka, ktera > ma kapacitu 1Gbit (1 litr vody / sekunda). Kdyz prijde DDoS, > zacne se na tu trubku ze sveta valit X-nasobne vic. > > A ty se na druhym konci ty trubky, tam, kde mas svoje routery, > muzes akorat smutne divat, jak ti mezi tou tunou bordelu obcas > prijde normalni legitimni packet. > > Proti tomuhle se neda branit nijak. > > Existujou metody, jak kooperovat s vyssim ISP (tzn. > poskytovatelskym koncem trubky) a donutit je zahazovat traffic na danou IP. > Nebo existujou zarizeni jako napr: > > http://www.fortinet.com/products/fortiddos/ > > ktery musis ale dat na tu silnou stranu, kde zvladnes vsechen > traffic, vcetne nelegitimniho prijmout a jenom ho profiltrujes na legitimni. > > A ano, TeamSpeak a konkretne skupina lidi, kteri TeamSpeak > pouzivaji jsou rizikova skupina, protoze se mezi nima pohybujou > mlady hovada, kteri si zaplacenim botnetu na par hodin mezi sebou vyrizuji ucty. > Vitej ve svete modernich 13ti-letych fakanu. > > Jedinym resenim je pro nas takove rizikove skupiny lidi si sem > vubec nepoustet. > > S pozdravem / Best regards, > > Pavel Snajdr > > +421 948 816 186 | +420 720 107 791 | 110-010-956 > CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE > http://relbit.com | http://vpsfree.cz | https://www.redhat.com > >> On 04/01/2014 09:18 PM, D.Hanzlik@seznam.cz wrote: >> >> Zdravím, zajímal by mi váš názor na pár věcí: Jaké máte >> zkušenosti s DDoS proti vašemu serveru/VPSce ? Popř. jak ste je >> řešili/vyřešili ? >> >> Jak lze zabezpečit VPSku proti DDoS ? >> >> Je řešením po druhém DDoS útoku proti VPSce pozastavit členství >> (vyhodit člena) ? (ano týká se to mě) >> >> Lze nějak omezit přístup na VPSku pouze pro IPčka z ČR/SK pro >> vybranou službu ? >> >> Myslíte si že je aplikace "TeamSpeak" problematická ? (rok sem >> ji provozoval bez problémů, včera a dnes DDoS) >> >> David >> >> >> >> _______________________________________________ Community-list >> mailing list Community-list@lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1 > Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ > > iF4EAREIAAYFAlM7ExAACgkQMBKdi9lkZ6rQhwD/RJYCu+DQZKa36t+F/0mkzAku > o6BSif6OX6oygJI7U88A/248W6hhx0idjbq8K5DLcZaQ6WzXOksE4G+YUc/Q6q2S > =yhCn > -----END PGP SIGNATURE----- > _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Jakub Fišer IT & Security consulting kuba@ufiseru.cz
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Aha, co jsem nezminil. Ja uz nepremejslim nad resenim v ramci 1GE, ted pomalu upgradujeme uplink mezi nama a DC na 10GE (pristi vikend), potom pater atd., 1Gbit uz bude prilis malo.
Neverim, ze to bude umet delat rozumnej trending nad 10Gbit provozu, kdyz je to switch stavenej na prepinani gigabitu a 10GE ma akorat na uplink.
Nevim, no, co jsem premejslel a koukal, tak vsechno vychazi celkem zajimave draze - teda, pokud se nechceme omezit jenom na ochranu stylem "tece na tebe vic jak fixne Mbps nebo vic jak fixne pps, takze te bloknem".
Ten FortiDDoS je featurovej overkill, ale zase stavet reseni, ktery nas uchrani akorat vuci UDP floodu, navic staticky konfigurovany na switchi se slabouckym CPU... To muzeme ten traffic sondovat rovnou na hw nodech (koukat, co k nim az dotece) a az to spusti alarmy, tak tu VPS rovnou odstrelit (coz udela tu IP unreachable a pak se presne cykli packety na TTL timeouty) a jeste pro jistotu poslat tu IP do blackhole.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 04/02/2014 11:46 AM, Stanislav Petr wrote:
DDoS utoky se daji pomerne efektivne a hlavne levne resit i na chytrejsich routing-switchich které mají moznosti firewallu primo v ASIC. Napr. ja mam v tomhle smeru velice dobry zkusenosti s filtrovanim provozu na Juniper EX4200 zapojeny jako virtual chasis a uplinkem resenym jako LACP tak aby se rovnou na tom propoji rozdeloval ten provoz do bice krabic.
Analyzu provozu delam pak pomoci sflow který bezi primo na tech switchich (EX4200 ma HW sflow sondu) a posila se do vedle stojici masiny kde je jako collector nainstalovany pmacct. Nad tim uz je jen par scriptu který provadej v realnym case sumarizace jednotlivých toku podle adres/siti a podle toho se dela protiopatreni - budto nasazeni filtrace (prez junoscript) nebo rovnou poslani blackhole, když je to vetsi nez kapacita uplinku - lokalne na ty masine bezi ještě bird a BGPckem se to z nej posle to tech routing-switchu a dal do upstreamu.
Funkcni, jednoduchy, levny a hlavne velice rychle reagujici.
-- Stanislav Petr Tel.: +420 602 620 026
-----Original Message----- From: community-list-bounces@lists.vpsfree.cz [mailto:community-list-bounces@lists.vpsfree.cz] On Behalf Of Pavel Snajdr Sent: Wednesday, April 02, 2014 11:05 AM To: vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] Co delat proti DDoS
Presne proto zadnej blacklist neni a bohuzel pak musim s konkretnima lidma resit, ze musi jit hostovat jinam, protoze nemame a] proaktivni ochranu proti DDoSum, b] ani nemame 24/7 support schopny reagovat ve vterinach. Moje reakcni doba, stejne jako vetsiny, je v desitkach minut, coz je normalni, kdyz nemam na starosti jenom hlidani prichozich SMS od monitoringu...
Cili aktualne jsme proti DDoSum bezbranni, jako vetsina provideru podobne velikosti, jako je nase sdruzrni, protoze nejblizsi device, co by nam stihal pomoct, stoji stejne jako vsechen nas produkcni hardware dohromady, a to jeste za predpokladu, ze by se vubec podarilo Master donutit si to dat na jejich stranu trubky k nam, tzn.jeste pred to, co nam prideluje zaplacenou sirku pasma.
Nicmene vcera vecer jsme s kamaradem zacali vymejslet, ze by to slo udelat i s x86 v kombinaci s bridge nebo port mirror na switchi, iptables na analyzu toho trafficu (nejlepsi hack, co kdy vymyslim - na co psat parser a analzpyzator IP trafficu, kdyz uz v jadre jeden je, staci ho ovladat), coz by bylo zakladem sberu dat pro automatickej BGP blackholing. Nekdo se znalosti C a motivaci pomoct pri implementaci neceho takovyho?
Sent from your iPad
On Apr 2, 2014, at 10:50, Vojtěch Sigler vojta@sigler.cz wrote:
Nemyslel jsem VPN jako prevenci DDoS, ale spis jako jakousi prevenci toho, ze nekdo nahodne objevi nejakou "popularni" sluzbu a rekne si "jee, hezky okno, hodim tam sutr".
Pokud jsou DDoS utoky casto nahodile, nema prilis vyznam nejak postihovat cloveka, jemuz VPS patri, na kterou miri DDoS, stejne jako delat blacklist typu "tyhle aplikace tu nechceme, muzou prilakat utok".
Dne 2. dubna 2014 10:39 Jakub Fišer kuba@ufiseru.cz napsal(a):
Cílem ddosu se může stát každej, důvod může být i nějaká blbost, včetně "testování na náhodné oběti" a ubránit se tomu v podstatě (ekonomicky) nedá.
Jednou mi běžel útok na server přes týden a nezjistili jsme žádnou motivaci. Bylo to z botnetu, především Asie - Rusko, Čína. Možná to byl smokescreen pro něco jinýho, ale tehdy pomohlo jen server odpojit od Internetu. Jiný servery, v tomtéž IP rozsahu, ani ťuk. Ten server nebyl nijak zajímavej.
-miky
2014-04-02 10:27 GMT+02:00 Jirka Bourek trekker.dk@abclinuxu.cz:
Asi tak. Teď ten mail nemůžu najít, ale mám zato, že Pavel to kdysi popisoval tak, že dřív si děcka na písečku rozbíjela bábovičky, dneska si DoSujou VPSka.
Martin Seman wrote:
openvpn funguje bez problemov, sam ho pouzivam. ale problem ddosov to nijako neriesi. ked nejaky fagan ma tvoju ipcku, tak bezohladu na to ci pristupujes na TS cez vpnku alebo nie, vydosuje to aj tak...
2014-04-02 10:20 GMT+02:00 Vojtěch Siglervojta@sigler.cz:
Ahoj,
pokud se nekdo bavi tim, ze hleda TeamSpeak servery a flooduje je, tak co nahodit trebas OpenVPN (ciste teoreticky, nezkousel jsem ji zatim na VPS zprovoznit) a TS jet skrze ni. Na desktopu pro uzivatele je to jen par kliknuti navic a smartphony/tablety to umi taky. A zvenci by pak o TeamSpeaku nikdo nevedel. To by pro tebe nefungovalo?
Vojta
Dne 2. dubna 2014 9:19 Martin Semansemanmar@gmail.com napsal(a): > > Ahoj, > > mam to chapat tak, ze TeamSpeak server patri medzi > zakazane sluzby? > > -- S pozdravom/Kind regards Martin Seman > > > 2014-04-01 21:27 GMT+02:00 Pavel > Snajdrsnajpa@snajpa.net: >
Ahoj,
je videt, ze vubec nechapes, o co pri vetsine floodovacich DDoSu jde.
Tak ti to popisu na prikladu.
Predstav si, ze mezi nasi siti a zbytkem svete je trubka, ktera ma kapacitu 1Gbit (1 litr vody / sekunda). Kdyz prijde DDoS, zacne se na tu trubku ze sveta valit X-nasobne vic.
A ty se na druhym konci ty trubky, tam, kde mas svoje routery, muzes akorat smutne divat, jak ti mezi tou tunou bordelu obcas prijde normalni legitimni packet.
Proti tomuhle se neda branit nijak.
Existujou metody, jak kooperovat s vyssim ISP (tzn. poskytovatelskym koncem trubky) a donutit je zahazovat traffic na danou IP. Nebo existujou zarizeni jako napr:
http://www.fortinet.com/products/fortiddos/
ktery musis ale dat na tu silnou stranu, kde zvladnes vsechen traffic, vcetne nelegitimniho prijmout a jenom ho profiltrujes na legitimni.
A ano, TeamSpeak a konkretne skupina lidi, kteri TeamSpeak pouzivaji jsou rizikova skupina, protoze se mezi nima pohybujou mlady hovada, kteri si zaplacenim botnetu na par hodin mezi sebou vyrizuji ucty. Vitej ve svete modernich 13ti-letych fakanu.
Jedinym resenim je pro nas takove rizikove skupiny lidi si sem vubec nepoustet.
S pozdravem / Best regards,
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
>>>> On 04/01/2014 09:18 PM, D.Hanzlik@seznam.cz >>>> wrote: >>>> >>>> Zdravím, zajímal by mi váš názor na pár věcí: >>>> Jaké máte zkušenosti s DDoS proti vašemu >>>> serveru/VPSce ? Popř. jak ste je řešili/vyřešili >>>> ? >>>> >>>> Jak lze zabezpečit VPSku proti DDoS ? >>>> >>>> Je řešením po druhém DDoS útoku proti VPSce >>>> pozastavit členství (vyhodit člena) ? (ano týká >>>> se to mě) >>>> >>>> Lze nějak omezit přístup na VPSku pouze pro IPčka >>>> z ČR/SK pro vybranou službu ? >>>> >>>> Myslíte si že je aplikace "TeamSpeak" >>>> problematická ? (rok sem ji provozoval bez >>>> problémů, včera a dnes DDoS) >>>> >>>> David >>>> >>>> >>>> >>>> _______________________________________________ >>>> Community-list mailing list >>>> Community-list@lists.vpsfree.cz >>>> http://lists.vpsfree.cz/listinfo/community-list >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list > > > > > _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Jakub Fišer IT & Security consulting kuba@ufiseru.cz
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
D.Hanzlik@seznam.cz -
Jakub Fišer -
Jirka Bourek -
Martin Seman -
Pavel Snajdr -
Stanislav Petr -
Vojtěch Sigler