Názory k článku Český DDoS: dnes telekomunikační operátoři (průběžně aktualizováno)

Ja tipuju weby statni spravy, pripadne telco operatory.

Ja tipuju eshopy.

Můžou za to permoníci, útočí na náš internet, aby na něj zaůtočili.

Taky si to myslím.

To byli ale spodarkovi skritci

A co když šoupnu aplikaci někam do cloudu a při útoku naklikám stovky nových počítačů?

Odolalo by to? Bylo by to levné?

Opravdu nevěřím tomu, že nic předem připravit nejde a všechno závisí na ad-hoc pokusech vystresovaného ajťáka až v okamžiku útoku?

to je teda kravina pane kolego, zvaneni nezkuseneho admina ktery toho moc nevi, existuje cela rada technik, jejich zavan sel poznat na tech kteri se z toho utoku vzpamatovali behem chvilky, nejrychleji to asi zvladla O2 a CSOB. Proti DDoS se da branit a celkem i dost ucinne, jen to vyzaduje vynalozeni nemalych prostredku na infrastrukturu, analyticke nastroje a v neposledni rade skutecne adminy a security people (u vetsich organizaci). Nikoliv deti ktere si doma hraji s ubuntu a pak se prohlasi za "rooty". Pochopitelne ze se neubrani maly serverik na 10 mbps sdilene lince, ale u takto velkych systemu s n vstupy se to da uz mnohem lepe.

Bohužel se nejednalo o DDoS útok :) 100gbit páteř položilo 40mbit. Stop! Zacnete hledat jehlu v kupce sena :D Architekt analyzuje, poda navrh, manazer ho smete ze stolu - kvuli financim, obrati se na svoje "IT", kteri to delaji po svem. Ano, sit funguje, do 1. kolize

To je jak vystrizene z projevu Jakese. "Vite soudruzi, kolik vubec bere takova Zagorka? Podme, stahneme si klikaci jón kanón a udelejme na ni DDoS".

Navíc jsem zaznamenal značně zvýšené množství spamu. Do většiny mailových schránek mi chodí desítky kusů mailů se stejným vzorem. Díky tomu naštěstí antispam funguje dobře.

Nějak se to množí, to není cool. Mimochodem 15. února byl DDoS útokem napaden web Akademie věd, to taky nebylo hezké.

Víte někdo kdo a proč to dělá?
Nebo alespon proč by to někdo dělal?
Kdo se k těm útokům hlásí? Nikdo?
Nechápu

Já bych tipnul že je to spíš oťukávání potenciálních cílů. To pravý IMHO teprve přijde. Takovej malej průzkum bojem :)

že by se vláda snažila protlačit nějaké to omezení internetu? :))

http://www.root.cz/clanky/vladimir-rohel-nckb-nebudeme-odposlouchavat-ani-vypinat-internet/

Všimli ste si, že nedávno bol založený úrad na kontrolu internetu (či ako sa volá). Dokonca oni si začali písať nový zákon. Útoky prebehli len v Česku.

Ja to vidím takto: Niekto potrebuje odôvodniť vznik tohoto úradu a nastaviť čím tvrdšie pravidlá ktoré sa nastavia pomocou nového zákona.

Kdo? Myslíš, že by česká vláda byla pomocí svých hydraulických psacích strojů :) něčeho takového schopná?

Zcela jistě ne, ale má dost peněz, aby si na to někoho schopného a vybaveného najala.

S velkou pravděpodobností to dělá někdo, kdo chce prosadit něco s čím by lidi za normálních okolností nesouhlasili. Jsou to tři kroky:

1.Problém
Vytvoří problém, tj., útok na zpravodajské servery, banky, atd.

2.Reakce
Lidi začnou tlačit na vládu, aby s tím konečně něco udělala.

3.Řešení
Zničeho nic se objeví řešení. Řešení ale bylo už dávno připravené. A to toho důvodu, protože ten kdo útočil a ten kdo vymyslel řešení má jeden a tentýž původ.

Celá šaráda se dělá kvůli omezení internetu, který je zatím skutečně svobodným médiem. Je mi z toho smutno, že se to pořád opakuje dokola a lidi proti tomu nic nedělají. Je to totiž úplně stejné jako s útokem na dvojčata. A stejné rysy bysme našli i v dávnější minulosti.

Jasne, za 09/11 muze CIA, pristani na Mesici bylo nataceno v Hollywoodu, ShiftHappens ma pravdu :-)

Nic takového nepsal. Jsi asi paranoik a konspirátor. Nebo jen blb?

Aha, nepřečetl jsem si větu, že je to stejné jako s útokem na dvojčata. Tak to sorry, jdu si stoupnout na hanbu.

Když vezmu média, při začátku bych to prostě vypnul, stejně byla služba nedostupná a člověk se tam dočte jen kdo s kým zase spí a kdo s kým už naopak nespí, komu fotografové vyfotili rozkrok při vylézání z auta a podobně. Škoda žádná.

Seznam mohl udělat to samé, je to rozcestník těch informací z médií. Škoda žádná.

Banky nakonec také. Vypnutí internetového bankovnictví může být nepříjemné a aby byly kritické systémy závislé od zahlcení stránek organizace nebo bankovnictví je doufám nesmysl. Banka běží dál a je tu na chvíli jen trocha nepohodlí. Škoda žádná.

Když tak o tom přemýšlím, která veřejně dostupná služba by mě vlastně chyběla? Netuším.

Samozřejmě je to nadsázka, ale na druhou stranu, systém závislý na pár počítačích a neschopný funkce při pár hodinách výpadku je důvěryhodný jako prostitutka s plnou peněženkou tvrdící že byla znásilněna. Možné to je, ovšem velice nepravděpodobné.

Ale banky už nejsou schopny ten provoz ustát v papírové formě. Zaměstnanci, kteří by přepsali takové množství příkazů, jsou již dávno na dlažbě. V reálu by to dopadlo tak, že by v bankách a na poštách byly nekonečné fronty.

Mnoho bank má pobočky dimenzovány jen na zakládání účtů - 95% provozu běží přes internet.

Tak to Jituš do banky přinese na médiu. Aspoň tak to funovalo v relativně nedávné minulosti.

Seznam jsou taky třeba mapy, Zboží a e-mail.

(teda ne, že bych mapy neměl stažené na disku a e-mail u sebe, ale kdo z BFU to má?)

K tem bankam: Sice bezi, ale pokud nebudou komunikovat se "svetem", tak je to bude stat tezke penize.

Banky se svetem nastesti komunikujou uplne jinak nez pres internet, ten pouzivaj max ke komunikaci s ovcema.

Téměř všechny karetní terminály a mnoho bankomatů jede přes internet. Komunikace bank mezi sebou (obzvlášť pokud jsou dále od sebe) často také. Ono totiž jiné dostatečně levné a rychlé médium neexistuje.

No do pr*ele že by si to autor po sobě alespoň přečetl?!

mozna trosku paranoidni ale vzorec se neustale opakuje:

takove tajne strileni do vlastnich rad aby pak hladce proslo schvaleni jednoho z dalsich pokusu centralizovaneho ovladani a cenzurovani internetu

jestli v brzku nekdo prijde s nejakym takovymto navrhem budu tomu verit

Hádejte.) viz http://www.govcert.cz/cs/

SYN flood? Tomu neverim ze sa toto podarilo len SYN floodom v takom rozsahu urobit. Ved zrovna proti tomu existuje celkom ucinna obrana.

SYN to není jen pro to aby šlo spoofovat src_ip! Kupodivu totiž dnes ještě spousta firewallů nemá efektivní implementaci SYN cookies, takže se jim jednoduše zahltí tabulka TCP spojení - stejně jako v roce 1996 kdy tento útok byl publikován.

a zaply ty ochrany mas? myslim ne jen pritomny, ale fakt v provozu. a vis jaky vedlejsi ucinky na regulerni situace to ma, kdyz tu ochranu proti syn floodu zapnes?

Myslis to s tym zahadzovanim MSS a TCP Options a dalsich parametrov? A vies ze aj ked ich mas zapnute tak sa pouzivaju len vtedy ked sa zaplni SYN queue? Prave koli tomu?

Muze nekdo potvrdit nedostupnost www stranek techto opu??
Vodafone mi zatim jde, ale na o2 a t-mobile se nedostanu.
A to zrovna dneska potrebuji stahnout vyuctovani pro firmu :(

A to je nejaky rozdil proti beznemu stavu ?

Dneska jsou to mobilni operatori...

u mne se zatim drzi vodafone, ale O2 a T-Mobile je down.
GTS a UPC je zatim taky v pohode.

O2 a T-Mobile už nejedou.

Na zitra si tipnu weby statni spravy (napr. hrad.cz).

pokial im ide o organizacie ktore beru od ludi peniaze tak e-shopy a ak chcu otestovat co dokazu zahltit (a trufaju si), mozu prejst na velke univerzity...

Vládní instituce neberou od lidí dost peněz? :)

a ka si rikal, kam ze to zmizela ta banda janosikovych kumpanu. prchli k nam na bernak.

ted nejede nova.cz?!

+1 :D

To je asi jako stávka ČD, všichni si myslí, že jde o zpoždění :)

To je sice pěkné že se CZ NIC pochválil jak to mají všechno robustní, ale proč mi pak nefungovalo přihlašování přes mojeID - že by náhoda?

To jsem zvědav, jestli na rootu v dohledné době vyjde článek "Co konkrétně dělat, když na vás jde DDoS" jehož partnerem bude naše nově založená internetová policie. Rozhodně by to bylo užitečnější než ty povšechné řeči o tom, že záleží na momentální situaci a zkušenostech roota.

A nebo je rada "buď si pořiďte tlustou lajnu a výkonné železo, nebo to vypněte"?

precitaj si: http://security-portal.cz/clanky/seznamte-se-–-dos-ddos-útoky

tak este raz a poriadne: http://is.gd/xlrYYj :)

no hosani krapet usnuli na vavrinech s tou linkovou vrstvou, protoze ipv6 nas vraci o dobrych dvacet let zpatky, ne-li vic a ozivuje kousky dlouho zapadnuteho umeni ;-)

http://inconcepts.biz/~jsw/IPv6_NDP_Exhaustion.pdf

Úplně by stačilo, kdyby ty routery neukládaly NDP pro hosty, které nejsou na lince (neodpoví). Potom stačí zakázat nebo odříznout promiskuitní zařízení a je po problému.

"Dnes už máme k dispozici i ten malware, který je základem použitého botnetu a ve spolupráci s CSIRT.CZ jej zkoumáme," řekl nám Tomáš Hála z Active 24.

Co to ma znamenat?? Aky Hala z akej Active 24?? 4 dni im trvalo, nez identifikovali nejaky malware, ktory sposobuje nedostupnost?? ROFL

Zkusil bych se podívat na nějaké pornostránky, mohlo by tam toho být dost ;)

Nemůžete chtít všechno a hned. Musí prolézat ty pornostránky a jistě se časem dočkáte - hlavně hodně klikejte na odkazy a stahujte co nejvíc ty skvělé programy, co se tam nabízí pro rychlý přístup k těm pravým rozkoším; jak jsem se dozvěděl z třetí ruky.

Nedaji se nahodou u nejake sazkove kancelare vsadit, jestli, a na co bude ddos zitra? by se na tom dalo i vydelat.

Takze tady jsou zatim dve teorie proc:
1) Stat chce censuru, tak si nekoho najal... (coz mi pride nepravdepodobne, to se prece da delat i levneji, ledaze v tom je i trochu korupce XD)

2) Nekdo dostal moc velky kapesny, a spletl si brezen s dubnem. (on takovej DDos je dost levnej, sam premyslim, jestli na 1.dubna nejakej nekoupit XD, kdyby kazdej desatej geek tohle delal, tak bychom meli den bez internetu)

3) Nekdo si zkousi jak dobre funguje jeho botnet/ddos. (ceska republika je dost mala na to, aby se o to nikdo moc venku nezajimal, ale zase dost velka a technologicky vespela, aby to "cviceni" melo vubec smysl)

vic me zatim nenapada(jsem necetl), ma jeste nekdo neco?????

Operátoři by mohli mít nejlepší zabezpečení, ale zřejmě nemají... Test.

Byla by situace lepší, kdyby se používalo IPv6? Teď je spousta počítačů za NATem a tak se nedají rozumně oddělit útočníci a klienti na stejném NATu. Kdyby byla komunikace na IPv6 odolnější, tak by to mohla být důležitá vlastnost pro jeho prosazení - "S IPv6 se do banky dostanete!"

U IPv6 také existuje NAT (např. v Linux od kernelu 3.7), ale i kdyby NAT nebyl tak stejně musíte blokovat nejméně celé rozsahy /64 (protože v nich si útočník často může jednoduše měnit IP adresu) a jste v podobné situaci jako u IPv4.

Dnes se třeba na www.o2.cz dalo přes IPv6 bez potíží dostat i když to přes IPv4 zrovna nešlo. Ale to bude dané spíš tím že IPv6 ještě není moc rozšířené, až se rozšíří víc tako ho začnou používat i botnety.

IPv6 NAT ale zatím není one to many. Bloky /64 navíc znamenají jednoho zákazníka a ne celou podsíť. Na druhou stranu bloků /64 je příliš mnoho na to, aby se daly při větším útoku dobře blokovat (akorát to místo HTTP serveru ubije firewall), a při SYN spoofu si stejně nepomůžete.

Tady si nekdo neumi ani precist, jak utok probiha. IP odesilatele lze do paketu vlozit libovolnou - a to jak u IPv4 tak u IPv6, takze by se nezmenilo vubec nic.

Dekujeme firmam Microsoft, Oracle, Adobe a dalsim za znacnou pomoc pri usili vytvorit botnetove site. :-D

... na kompletne vyradenie danoveho uradu (pred rokom) nebolo treba nijakych hackeroteroristov, stacilo zopar politickych kseftov s dodavkou SW a zopar rozhodnuti ludkov z nejakych managerskych ucnoviek (hlavny predmet - omotanie kravaty okolo krku) a bolo na mesiac vymalovane ... no a ani nahodou si nemyslite, ze za to isiel niekto brucat.

to maj za to jak se pri vypadku idnesu a ihnedu chvastali ze jim to jede ;)

tak to je brutal :D

To ale není problém serveru, 4xx jsou chyby na straně klienta. Při DDoS útoku se na daný web nedostanete vůbec, chytíte chybu 5xx (něco jako "Service temporarily unavailable") a nebo máte velmi velké štěstí a po několika reloadech stránky se k vám možná daný web připlazí.

To ale neznamená, že někdo (klidně ten samý člověk) se nehacknul do webu ČT a všechno do puntíku smazal... Od toho snad existují zálohy (jestli si je ČT dělá)

Když vyjedu seznam, článků, tak vidím "aktualizováno 12:00 1.1.1970 1:00. Nekecám, mám obrazovku sejmutou. Propánakrále snad se ti zloduši vyhnou růtu!

je to konkrétně seznam pod http://www.root.cz/clanky/
Články 1 - 30 / 7 400
Český DDo..
FOTKA Aktualizováno: XXXXXXXX

Pochybuju, ze to nejak souvisi s probihajicimi DDoS utoky. To bude "hodna" chyba.

to vyhrála na další den a vsadím se že jich bude zase 5:-)