SVARFORUM.cz - forum o svářečkách a svařováníChcete-li přispívat do fóra, musíte se zaregistrovat ! Navštivte také: SVAR INFO |
Nejste přihlášen(a)
Charon:
Uřezávat požadavky, až tě začnou dusit, je chyba. Pokud stíhá FW, tak může začít zahazovat pakety ze stejné IP např. v okamžiku, kdy z ní během 1 sekundy přijde 30x požadavek SYN, aniž by čekala na potvrzeni. Ber to jako příklad, nerochni se v tom.
DDoS může trvat teoreticky neomezeně. Tedy přesně do doby, kdy se uživatelé napadených PC naštvou a zrestartujou je, protože "je to všechno pomalý"....
Zavirování/zašifrování/smazání dat je jiná kategorie útoku, tomu se brání mnohem hůř.
Editoval pafik1605 (17-03-2024 16:14:17)
Offline
Nechme toho pafiku1605, souhlasím.
Offline
Charon napsal(a):
To se klidně budu zlobit.
Trochu mi to připomíná vedení firmy které říká: tohle je pro nás moc drahý, odborníci nejsou, když si je vychováme tak pak utečou, ta naše úžasná aplikace je výjimečná a musí to být pravda když nám ji dodal kamarád nebo příbuzný ….
Jen pro ukazku, konkretni pripad tenhle vikend, "zabava" misto vareni drzaku na solary :-(
Prislo kombinovane kolem 11GBit ICMP + DNS amplifikace, do toho paralelne kolem pul gigabitu TLS negociaci, ktere utavily vykonove F5-ku a k tomu nasledne cca ctvrt gigabitu DNS dotazu na legalni sluzbu, coz zabilo firewall pred tim. Cely utok vysoce distribuovany (=zadne quoty nepomohly), zadne setreni a aplikace od kamaradu se nekonalo. Z toho celeho bylo snadne jen tech 11Gbit.
Co jsem tak zaslechl od kolegu jinde, tak tou dobou tech utoku podobneho rozsahu bezelo po cechach vic, takze "mohlo byt mnohem hur". Tohle fakt nepatri do skatulky "levne snadne resene". Zhruba asi jako "Udelej mi vchodovou branku, aby to vydrzelo 20 let. Jo a melo by to vydrzet, kdyz se proti tomu rozjede plne nalozenej kamion"
Edit: Konkretne proti tomuhle existuje jedina obrana - velmi asymetricka narocnost pro klienta a pro server (konkretne kdesi kdysi mam jako PoC neco podobneho na UDP, kdy po prijmu paketu to necha klienta provest netrivialni, ale velmi rychle overitelnou praci (koonkretne vybruteforcovat zpravu, aby sedelo nastavitelny pocet bitu v md4() - vypocet je v sekundach+, overeni pod mikrosekundu), bohuzel bezne protokoly (tls...) nic podobneho nemaji.
Editoval jouda74 (19-03-2024 22:02:31)
Offline