Názory k článku DDoS útok na servery Internet Info: pohled administrátora
-
Clock (neregistrovaný)
Blbiny?
Citim se nerespektovan, pohrdani a nastvan, kdyz pises "takoveto blbiny". Toto podle me neni blbina ale zcela normalni, kvalitni clanek.
Dale se citim nerespektovan, kdyz pises "prednost dostavaji". Pochybuju ze ten clanek dostal nejakou prednost. Podle me byl publikovan pravdepodobne uplne normalne.
-
Prezdivka (neregistrovaný)
Nenachazim se v CR a mohu potvrdit, ze jsem predevcirem, vcera a dnes (jsem jinem casovem pasmu, protoze DNES casem v CR jsem zatim problemy nemel) obcas mel prodlem nacist root.cz a myslim, ze pokud na root.cz byl veden utok tak jste se s tim poprali docela dobre, protoze i pres blokovane zahranicni IP adresy jsem se pripojil (ne pokazde), priste jenom hodte do zpravicek, ze je root pod utokem a pujdu na vas pres proxy z CR. ;) Well done!!!!!
-
Smazaný profil
Tak ve zpravickach by to imho bylo k nicemu, kdyz byste se na ne nedostal. Staci sledovat root.cz treba na twitteru a k informaci se dostanete ... https://twitter.com/Rootcz/statuses/478993136065445889
-
Clock (neregistrovaný)
Ja myslim ze jsem to taky videl, kliknul jsem na nejaky odkaz forum.root.cz nebo neco takoveho a neloadovalo to.
Ale nevenoval jsem tomu pozornost. Z me zkusenosti je normalni, ze veci v Internetu nahodne nefunguji. Reload restart reboot, login logout, escape, ctrl-r, klik do URL + Enter, okopirovat URL do jineho tabu a ten stary zavrit, stopnout loading, vyflushnout cache a pustit ho znova, restart prohlizece, restart internetoveho spojeni, pockat, jit varit caj, delat neco jineho.
To je podle me dnesni zeitgeist. Nespolehlivost jako prumyslovy standard.
Uz snad aby na to ISO udelalo nejake cislo treba ISO 150000:2014 a pak vyskocily firmy jako houby po desti, ktere za tezke penize budou firmy na novy ISO standard nespolehlivosti certifikovat.
Proste, "zase nejde ten Ynternet". Věra Pohlová, 72 let, důchodkyně, by vsechny ty ynternety zakazala a byl by pokoj.
-
Milan (neregistrovaný)
Je to velmi prosté - v podstatě jde o průzkum bojem. Útočník se učí a analyzuje chování oběti. Až mu skutečně o něco půjde, bude vědět, jaké obrané mechanizmy a jak se používají, jak jsou účinné a tak dál... A teprve potom bude ta správná sranda... Proti DDOS útokům z plochy, pokud jsou dostatečně sofistikované, není žádná účinná obrana. Takové tý AntiDOS krabičky jsou v podstatě k ničemu. Pokud jdou útoky ze zahraničí, je to ještě ta lepší varianta. Až půjdou z plochy Česka bude úplně po srandě.
-
j (neregistrovaný)
Heh ... tady by ted mela bejt odpoved nejakyho toho PR magora, co bude vykrikovat jako to jejich "reseni" je 100% spolehlive a poradi si naprosto se vsim ... ;D
Par podobnych sem potkal, kdyz sem do toho jejich reseni dostatecne dlouho rejpal, tak znich nakonec vypadlo, ze sice muj srv nebude DDOSem zatezovan ... ale taky se k nemu ve finale nikdo nepripoji, takze ucel bude naplnen ;D.
-
Miroslav KalinaStříbrný podporovatelÚtoky z ČR mají tu výhodu, že alespoň máte na koho křičet, přicházejí na většinou dostatečné lince NIXem a nezahlcují drahou tranzitní konektivitu
-
Milan (neregistrovaný)
OK. Vyřešíte jeden typ útoku a co dál? Příjde jiný typ...
No až vám dojdou nápady, tak to útočník pustí na banky a bankovní terminály. Pak se ozve - za 100 Mega ten útok zavřu... :D.
Podle mne je efektivnější budování bezpečných a segmentovaných sítí a omezování konektivity.
Výborná jsou hesla typu " 1TB připojení do každé rodiny, 1TB připojení do každého telefonu..." Takový botnet pak žádný HW na konci neustojí.... -
j (neregistrovaný)
To mas ale uplne jedno, neni problem vygenerovat dostatecne vykonej DOS s pomoci krabek pripojenech par kbit linkama ... Je to realne jen otazka penez. Neni zadnej problem si zaplatit livovolne velkej botnet. A co vic, dokonce pokud to pojmes politicky, se to da udelat i zcela zadarmo. Samo takovy demonstrace na nemestich/silnicich/... nejsou nic jinyho nez DOS na dopravni infrastrukturu.
Naopak se zatim zdaleka nejvic osvedcilo mit dostatecne tlusty linky a dostatecne vykonnej HW, to je nejspolehlivejsi reseni drtivy vetsiny utoku.
-
ondro (neregistrovaný)
vykonny HW a linka nieje riesenie. Ak mate vy vykonny HW a linku, tak to moze mat aj utocnik. Toto riesenie ale aj dost stoji.
Na taketo utoky riesenie nieje, takisto ako na tie demostracie.Vlastne riesenie je na jedno aj druhe, ale to by sa nam nepacilo. Uz sme tu nieco taketo mali.
-
ebik (neregistrovaný)
Většina L7 balancerů odstiňuje provoz od webserveru natolik, že počká až klient pošle celou hlavičku. Pak se teprve rozhodne, na který webserver pošle požadavek. Protože ho má celý, tak webserver na klienta nečeká, prostě požadavek zpracuje a pošle ho zpět. (Alespoň pro požadavky které nemají tělo (GET) u POSTů to může být trochu jinak, nicméně tam již nějaké timeouty aplikace často má). Navíc může L7 balancer přečíst odpověď ze serveru, celou si ji uložit do paměti, zavřít spojení na webserver a odpověď odesílat klientovi po kouskách (tak rychle jak to jeho linka zvládá). Potom je již jen na balanceru aby měl dost paměti na požadavky i odpovědi.
-
Admin (neregistrovaný)
Vidím to naprosto stejně, někdo jim prostě ukázal jak neefektivní mají load balancery. Obsloužit desítky tisíc spojení které v podstatě nic nedělají by s dnešním hardware neměl být problém, pokud se to správně naprogramuje - viz např. http://www.kegel.com/c10k.html
-
ebik (neregistrovaný)
To není úplně pravda. Pokud ten loadbalancer zároveň slouží jako buffer na http hlavičky (aby zamezil slow-lorisu), a někdo bude posílat hlavičky dlouhé (bude tvrdit, že má 10k cookies), tak se může stát, že jen na http hlavičkách těch výše zmíněných 10k spojení (u správně modifikovaného slow-lorisu) sežere více než 100M paměti. A s dost velkým botnetem se dostanete na vyšší řády, než jen 10k.
-
Admin (neregistrovaný)
Samozřejmě loadbalancer nesmí být tak hloupý že si nechá zaplácat paměť zpracováním požadavků se zbytečně dlouhými hlavičkami (ty může odmítat), aplikace musí spolupracovat v tom smyslu že zbytečně dlouhé hlavičky nebude vyžadovat. Navíc čísla jsou relativní, 100 MB paměti není nic co by na dnešním hardware nešlo zpracovat.
-
Čtenáři na Měšci se chovají jinak, než čtenáři Rootu, mj. nejsou tak citliví na lištu či formy reklamy. Máme indicie, že toto nebyl čin čtenáře. Šlo o člověka, který nebyl spokojený s přijatým řešením souvisejícím s úpravou článku, resp. diskuze. Jinými slovy, něco jsme nesmazali/neopravili a podle něj jsme to udělat měli :-) Je to však stále jen doměnka, byť ukazující na konkrétní lidi. Skutečnou příčinu se nikdy nedozvíme.
-
jouda (neregistrovaný)
Tak nevím, ale stránka http://forum.digizone.cz/index.php?action=login mi od pondělka píše pouze toto:
Na serveru probíhá zásah
Omlouváme se za případné komplikace. Pracujeme na tom, aby byl server co nejdříve opět v provozu.A přihlásit se tak nejde. Přitom zahraniční IP adresu nemám.
-
Podle mě ještě řeší nějakou obranu proti prolamování hesel silou. Proto přihlášení na forech nejede.
Že někdo přispívá jako přihlášený si vysvětluju tím, že je přihlášený "napořád" a tím pádem přes login stránku vůbec neprochází (má nějakou cookie, díky které je stále přihlášen). Tím pádem lze vlastně pouhým pohledem zjistit, kdo to tak má nastavené :-)
-
benghi (neregistrovaný)
Zatím dobrý ale chtělo by to zjistit o co jde. Tohle byla jen "předváděčka zbraní" pro někoho a iinfo byl náhodnej cíl, dejme tomu jako když tarasnicí rozstřelíte barák nějakýmu ubožákovi neb potřebujete zákazníkovi předvést co to umí. Ale upřímně, taková demonstrace nezůstane bez pozornosti úřadů... Tedy pokud nejde o internet. To je jeden problém. Druhý je v tom, že je po světě spousta "providerů" netušících co se v jejich sítích děje bez ochoty sebemenším způsobem řešit problémové uživatele, nezabezpečené systémy a podobné věci.
-
Psal jsem to Danovi do mailu, tak ještě sem:
a) Obecně máme zkušenost, že kromě samotného jádra také záleží na výrobci, typu a ovladači síťové karty. Rozdíl mezi výkonem Broadcom[-] a Intel[+] karet je obrovský. V DNS benchmarcích, které děláme pro Knota už ani benchmarky na Broadcomech neděláme. Taky záleží na chipsetu konkrétní karty - např. kolik má front, rozdíl mezi desktop a server kartama, atp.
Slyšel jsem také dobré reference na Mellanox, ale neměl jsem možnost vyzkoušet.
b) Zase obecně bych před server ještě strčil Varnish, na backend pak nginx+php-fpm. Obojí je pak potřeba aspoň trochu potunit.
c) Na vypnutí syncookies ani nemyslete :). Se syncookies Vás pak spíš zahltí objemem dat, protože toho ten server ustojí opravdu dost.
d) Loadbalancing se dá dělat na více vrstvách než L7 - pokud nestíhá L7 balancer, tak přidat další a rozhazovat to na L3 (buď tupě 1:1 nebo to trochu ladit podle zátěže). Konkrétní řešení neznám, ale tuším, že to v iptables půjde udělat.
O.
-
Jako kvalitní L3 balancer se nám osvědčil LVS (linuxvirtualserver.org). Je přímo v jádře a konfiguruje se podobně jako iptables pomocí ipvsadm. Existuje k němu ještě daemon keepalived, který ho doplňuje o healthchecky a VRRP, ale ten má své mouchy. Samotné IPVS v jádře je ale velmi stabilní a výkonné.
Jinak často používáme konfiguraci, kde je nginx jak reverzní proxy tak loadbalancer a v něm lze určitě nakonfigurovat řadu pravidel, která by mohla definovaná spojení rovnou odmítat (např. dle lokální GeoIP databáze). Tím by se dalo dosáhnout lepší granularity než jen "NIX ano a tranzit ne". Neumím ale takhle od stolu říci, jestli by to v tomto konkrétním případě pomohlo nebo ne.
-
student (neregistrovaný)
Je naozaj treba to blokovanie IP? Ja mam take skusenosti, ze pri DDoS a snahe blokovat IP (DROP) server prakticky nereagoval, v Munine boli miestami vidiet vysoke pocty interruptov (nie vzdy sa to stihlo odmerat) - bez blokovania zvladal aj vacsiu zataz len s miernym spomalenim. Asi ho zabilo neustale prehladavanie velkej tabulky adries. Na mna sa vtedy utocilo z pomerne vela IP, z kazdej relativne slabo, takze tu to bolo mozno ine.
Na blokovanie sa odporucal TARPIT - skusal to uz niekto pri ozajstnom velkom utoku?
Teraz na ochranu pouzivam riesenie od F5 a aj ked seriozny DDoS znovu neprisiel, tak pri testoch to vyzeralo naozaj dobre.
A este pre iinfo - co CloudFlare? Pouzivaju to aj znamejsie stranky - a kedze sa tu s uzivatelom nevymienaju ziadne aspon velmi citlive data, tak by to mohlo vyhovovat...
-
Ona to muze byt v podstate jakakoliv slusnejsi CDNka.
Ten problem neni technicky, ale ekonomicky. To jest:
Kolik me stoji nekolikahodinova odstavka mych stroju + mensi dopad na renome
versus
O kolik vic penez musim dat za reseni, ktere ustoji stredne velky utokProtoze pokud Dan spravne odhadl velikost utoku, tak ten utok nebyl nijak drahy a pokud se spravne orientuji, tak Mesec pise ne vzdy vstricne o firmach, pro ktere je par desitek tisic korun v rozpoctu naklad, ktery lze ledaskam schovat.
Tuneni loadbalanceru a webserveru je takove placebo, ktere sice muze trochu pomoci, ale nakonec jde pouze o penize.
-
Karel (neregistrovaný)
U pronájmu botnetu platíte za hodinu provozu. Pokud je útok neúčinný a potřebujete přehodnotit strategii, tak je ekonomičtější útok přerušit, připravit nový a teprve pak si znovu pronajmout botnet.
Jako provozovatel botnetu pak nechcete, aby byly boty v provozu neustále. Pokud je stav botu "hele Pepo, ten počítač jede dneska jak z pr.ele", tak ještě uniknout pozornosti může. U stavu "už týden je to nějaké pomalé" roste riziko, že uživatel spustí antivirus (respektive zjistí, že spustit nejde) nebo zavolá někoho, kdo mu počítač zkontroluje. To máte jak s cizopasníky - zabít hostitele není dobrá strategie.
A v neposlední řadě je tu řada operátorů na cestě, kteří si dříve nebo později provozu všimnou a začnou ho řešit. Čím déle útočíte, tím pravděpodobněji někdo zjistí, že se něco děje. Jinak řečeno - pokud začne útočit botnet z počítačů zákazníků UPC, tak si toho UPC po čase všimne. Ten čas závisí na tom, jak silný a jak dlouho trvající útok je. Pokud někdo v UPC na nočním reportu zjistí, že provoz je dvojnásobný než obvykle, tak ho to asi zaujme. Pokud tenhle stav uvidí několik dní za sebou, tak mu možná i dojde co se děje a může zkusit něco dělat. Zkrátka jako provozovatel botnetu chcete, aby na straně útočníka (vašich botů) nebyl statisticky pozorovatelný problém. Takže na jednotlivých podsítích chcete buď mít botů málo, nebo je nemít v provozu dlouho.
-
Karel (neregistrovaný)
Proč by se měl botnet omezovat na jednu síť? Prakticky se to dělá tak, že se rozesílá malware, láká se na web s malware nebo se útočí přímo po síti na počítač. Nikdo se úmyslně neomezuje.
Jenže v praxi se to stejně omezí na několik stovek ostrůvků. Pokud se malware šíří emailem, pak se nakažení lidé dost často znají a obvykle k sobě mají fyzicky blízko. Pokud se šíří přes web, tak to jsou lidé se společnými zájmy a i tam to jsou často skupinky, co se navzájem znají. Útok po sítí obvykle funguje tak, že napadnete jeden počítač a pak ty okolo.
Zkrátka nakonec můžete skončit s botnetem o statisících počítačů, ale rozházených jen po stovkách podsítí. Na jedné podsíti se vám tak toulá několik set až tisíců botů. To už by mohlo stačit na to, aby byl útok odhalen díky statistice.
Samozřejmě je pak ještě možnost udělat botnet s milionem botů, podle IP geolokace a traceroute vytipovat příliš velké koncentrace botů na podsíti a tam pak některé z nich deaktivovat tak, aby jich nikdy nepracovalo více než nějaké kritické množství. Ale to se vám pak může velikost scvrknout.
-
Problém běžných řešení je, že počítají spojení na IP adresu a pak ji případně zaříznou. To funguje, pokud se útok pouští z jednoho nebo několika málo počítačů (což pro Slowloris obvykle stačí).
Tady ale byly ve hře stovky tisíc adres z celého světa a z každé přišlo jen pár požadavků. To se hodně blíží běžnému provozu a klasické limity na to neplatí (jak bylo popsáno v článku).
-
Kolik požadavků vygenerovala každá taková IP adresa za celou dobu útoku? Určitě neútočily boty z ad-hoc IP adres. Nevím, zda existuje hotové řešení postavené na dynamickém blokování IP adres na základě nastaveného limitu spojení za určitou dobu, možná by to ale pomohlo.
Ještě jeden dotaz: byly nějaké útoky i z IPv6?
-
Nekdo pronajme botnet, zacili a spusti. Botnet sam o sobe jsou jen programy na osobnich pocitacich. Pri jinem uhlu pohledu, jde proste jen o zvysenou navstevnost webu, jako kdyz je reklama na soutez na eurosportu. Parametrove to bude podobne - navazane tcp ze stovek tisic adres po celem svete.
Takze obrana typu "neco zakazu" je sice funkcni, ale s uzkym zaberem (utok se muze tosku zmenit a prestane zakazovani fungovat). Videl bych to spis na "navysovani vykonu". Pri zjisteni, ze se neco takoveho deje zmenit trasu tcp do nekolika ruznych portu na smerovaci matematicky podle zdrojove IP a na druhem konci budou cekat reverzni proxy. Vetsina z nich bude jen zahlcena otevrenym spojenim, ale opravdove pozadavky budou taky vyrizeny.
Vysledek bude, ze botnet bude zit v domeni, ze je vsechno jak ma byt - tedy pod utokem a casem mu skonci najemni smlouva. Opravdove pozadavky budou vyrizeny. Bude k tomu potreba zmenit infrastrukturu v serverovne a mit nekolik reverznich proxy, ktere bude jen cekat na tyhle utoky a jinak vetsinu casu nebudou ani v siti 230V.
-
Já jsem jenom vyvracel to o nemožnosti těch lookupů při miliónech záznamů...
Nebo taky LMDB:
TL;DR: 2.500.000 reads/s při 100mio záznamů v DB
a
http://symas.com/mdb/inmem/large.html
TL;DR: 1.800.000 reads/s při biliónu záznamů v DB
na hardware, který má akorát dost paměti (128GB RAM), ale jinak to není nic speciálního.
-
Ales Hakl (neregistrovaný)
S implementaci jako bitmapa je problem v tom, ze to clovek chce idealne delat v kernelspace (ie. jako match modul pro iptables) kde alokovat spojitych 512MB neni uplne rozumny napad.
Nicmene nekde jsem videl reseni s RLE komprimovanou bitmapou, coz me az prekvapilo tim jak to bylo rychle.
-
ondra.novacisko.cz (neregistrovaný)
Jinak pár údaju jsem si teď vytáhl z jedné služby, kterou provozuju (nebudu jmenovat). Mám bohužel jen unikátní denní přístupy za 2 měsíce, takže největší počet přístupů je tam 63.
celkem
3483 IP adres k nám chodí aspoň jednou denně
36046 IP adres aspoň obden.
295692 IP adres minimálně jednou týdně
671561 IP adres minimálně jednou měsíčně
982391 IP adres má aspoň jeden záznamMyslím, že vzít dvojměsíční filtr a tím filtrovat DDoS útok, tak tím moc uživatelů neohrozím, ale mám vysokou šanci, že odříznu botnet.
Pokud by to nepomohlo, tak by se to dalo snížit na IP adresy chodící jednou za měsíc a kdyby o ani nepomohlo, tak se dá postupovat dál...
PS: Jedná se o velice známou službu, dat mám obrovské množství z logů, argument, že jde o nějaký lokální problém tedy neberu. Dokonce bych řekl, že bude větší než root.cz
-
student (neregistrovaný)
Kolko ich ma prave jeden zaznam? Ti by asi boli zakazani.
Vo vseobecnosti by to asi odpisalo ludi s dynamickymi IP. Napriklad najvacsi slovensky poskytovatel DSL do domacnosti (T-Com) ma na tento ucel 3 rozsahy /15 a jeden /16, pricom meni IP kazdu noc.
Ked je takych poskytovatelov viac, tak je asi skoro nemozne, aby sa ludia trafili do tych spravnych IP a boli by zakazani. To by odpisalo nezanedbatelne vela uzivatelov. -
Mard (neregistrovaný)
>celkem
>3483 IP adres k nám chodí aspoň jednou denně
>36046 IP adres aspoň obden.
>295692 IP adres minimálně jednou týdněTo povede jen k tomu, že se bude DDOS útok opakovat víckrát po sobě na krátký čas a pak už bude zapsaný v tabulce :-(
Spíš to filtrovat tak, že pokud to daná IP adresa zkouší déle než 5 minut tak jí odříznout na následujících N minut. -
Karel (neregistrovaný)
No, já na IPv4 adresu potřebuji 4 byty, takže bych potřeboval na všechny dohromady 16GB. Ale i to už je dneska velmi dobře dostupné.
Problém je v NATech. Pokud nechci odstřelit stovky lidí za NATem najednou, tak musím přidat i port. A to jsme zaprvé s účinností blízké nule (porty se mění) a zároveň potřebuji dalších 8GB RAM.
Tak jdeme na IPv6 a to už je jiná legrace.
-
ondra.novacisko.cz (neregistrovaný)
Port je dynamická záležitost, s tím se nic udělat nedá.
Nevím jaké údaje chcete ukládat v mapě IP adres, když potřebujete na výdeji znát jen blokovat / pustit dál
Lidi za NATem neodstřihnete, pokud aspoň jeden uživatel chodí na Root. Jen akorát vpustíte i pár počítačů z botnetů, pokud za tím NATem budou. S tím se samozřejmě počítá, prostě úplnému oddělení botnetu od legálních uživatelů nezajistíte, tenhle systém má ale podstatnou výhodu, že spíš generuje false negative, než false positive
-
ondra.novacisko.cz (neregistrovaný)
Moc nechápu argument. Ta databáze se dá sestavovat během dne, třeba offline z logu. Je tam prostor na sestavování databáze na úrovni známých podsítí. Lze tam přidat i nějaký mechanismus hodnocení pravděpodobnosti, že z dané adresy přijde útok. adresy, ze kterých chodí běžní uživatelé pravděpodobně útočit nebudou, z některých adres třeba už nějakou dobu nikdo nepřišel, takže i ta je potencionální zdrojem DOSu.
Nakonec databáze IP adres se uplatní jen při detekci DDoSu, v běžným provozu nikoliv. Podle síly útoku lze vybrat jen omezený okruh IP adres nebo rozsahů a cokoliv mimo prostě zahazovat. Rozsah IP adres by bylo možné volit podle předem spočítané priority tak, aby to stroje ještě zvládaly.
Pro IPv4 to znamená, že stačí hledat v tabulce, která má 512MB (každá IP adresa má 1 bit). Pokud bych to omezil na /24 rozsahy, pak jen 2MB.
U IPv6 se asi člověk nevyhne blokováním celých rozsahů.Ale dnes si ještě můžeme dovolit, pokud přišel útok po IPv6, prostě podporu IPv6 dočasně vypnout.
Otázka je, na čem to implementovat
-
kuakua (neregistrovaný)
riesenia od RadWare zacinaju tusim od 600tisic, F5 ma tiez antiDDoS a naozaj to funguje a hlavne okamzite a automaticky. Kto ma nasadene a zazil utok, vie.
Konkretne utoky (trebars Slowloris) poriesi aj poriadny Web Application Firewall, ale na hrubu silu vseobecne - Radware, alebo F5. A co je na tom najkrajsie, tieto veci zabezpecia, ze slusny user sa dostane ku webu a odpali to len utok.
Takze je to vzdy o pomere cena/vykon - kazdy admin moze vyskakovat len vysky svojho budgetu. :-) -
josef (neregistrovaný)
Útok z internetu může postihnout kohokoliv, kdo má cokoliv vystrčené do Internetu, a je jedno zda je o Vencu z Dolní Lhoty nebo MF ČR.
Odpojování zahraniční konektivity může pomoci, ale pokud bude útočník o level výš a bude mít botnet v CR nebo zneužije peering přes Nix tak odpojovací obrana nepomůže. Útoky z IP z ČR poolu již zde jsou.
Fitrace IP adres, nebo přesouvání cíle obvykle u moderovaných útoků nepomoháhá, útočník sleduje co děláte a okamžitě reaguje ...
Útok sám vyžaduje podstatně méně zdrojů, takže účinná obrana navyšováním zdrojů je většinou záležitostí sci-fi.
Kupování vlastních krabic je sice lákavé a zdánlivě i funkční cesta,
ale ...
... jde o finančně velmi náročnou cestu, ceny dedikovaných boxů jsou v řádech milionů
... kromě samotného boxu musíte mít i pravidelný support , který též není levný
... dále potřebujete vyškolenou obsluhu, která bude na box dohlížet, bude 24x7 k dispozici, tzn cca 6 lidí, a každý z nich bude vědět co má dělat když k nějakému útoku dojde ....Pominu fukční a kvalitativní rozdíly mezi jednotlivými výrobci Anti DDoS řešení, protože rozdíly jsou nezanedbatelné, asi by to bylo na samostatný seriál ...
Z výše uvedeného vyplývá je optimální cestou je pořídit si ochranu proti útoku formou služby od operátora od, kterého berete konektivitu.
Velký operátor má obvykle (a to už i v ČR) řešení dimenzované pro celou konektivitu, má kvalitní vyškolený dohledový tým, který slouží 24x7, a obrana před internetovými útoky je jeho denní chleba ...
a hlavně je schopen Vám poskytnout řešení ochrany na míru pro Vás ...Pokud váš operátor službu ochrany nenabízí, nebo nemá dohledový tým, nebo dokonce neumí udělat vám řešení pro vaše potřeby,
zřejmě je čas podívat se po jiném poskytovateli ...Hezký den bez mimořádných událostí
Josef Pinc -
Dane,
a tenhle modul v Apachi máte?
http://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html
Co se týče Varnish keše, tak i ta by se snad se znalostí charakteristiky brute force hádání hesel útočníka dala naladit tak, aby se request vlastně vůbec nedostal k apachi.
O.
-
Podle mě by mělo být možné rozebrat ten request už ve varnishi a na základě nějakých parametrů rovnou vracet denied. I kdybys třeba měl tu databázi uživatelů do varnishe nějak vyexportovat.
Na druhou stranu pak pozor na to, jestli nebude vadit, že postranním kanálem dáš k dispozici informaci o tom, jestli to uživatelské jméno existuje nebo ne, a cílený útok se pak bude moc zaměřit na útok na existující účty.
-
Karel (neregistrovaný)
Já bych tuhle službu chtěl. Nebo alespoň něco podobného, co by mi dokázalo nabonzovat okamžik, kdy chytnu breberku a stanu se součástí botnetu. Zkrátka antivirus na straně providera, co bude analyzovat můj outbound traffic a dá vědět, pokud bude divný.
Existuje třebas nějaký router, který by tohohle byl schopen?
-
Na libovolném routeru s podporou OpenWRT by teoreticky mělo jít pustit nějaké IDSko, jako je třeba Suricata, Snort nebo Sagan, na odchozí provoz.
Jedinou reklamu na Turris, který má ochranu proti známým zdrojům malware (plus zdrojová data pro pravidla na FW), zatím vidím od Vás :).
Co se týče ISP, tak osobně znám člověka, kterému UPC odpojilo přípojku do doby, než si vyčistí počítač od malware... Ale už je to pár let zpátky.
-
Taky znám jednoho takového:
http://forum.root.cz/index.php?topic=4500.0:-)
-
Ondřej CaletkaZlatý podporovatelKdyž vidím to množství iptables pravidel, říkám si, jestli nemáte v plánu začít používat ipset. Při představě, že pro každý paket chudák Turris prochází tisícovku pravidel mi je ho trochu líto :) A skoro bych se bál že takhle už to gigabit neuroutuje.
-
Yenya (neregistrovaný)
Už jsem měl pročtenou skoro celou diskusi a říkal jsem si, že o ipsetu sem teda budu muset napsat, ale dva příspěvky před koncem (aktuálně) jsem se dočkal. Ano, ipset je v podstatě jediná rozumná cesta, jak na Linuxu blokovat větší množství IP adres.
Dosud jsme používali ip rules (viz man ip), což kvůli routing cachi bylo docela rychlé, ale v posledních kernelech se myslím routing cache nějak ruší, takže se to vrátilo k sekvenčnímu procházení pro každý packet zvlášť. Přešli jsme na ipset a to pomohlo.
No a když už tady píšu naše zkušenosti, tak dost pomáhá síťová karta. Je potřeba mít síťovou kartu s multiqueue (pozná se tak, že typicky zabírá víc než jedno přerušení, má třeba 16 front na vstupu a 16 na výstupu). Pak se jednotlivá přerušení namapují každé zvlášť na samostatné jádro (zápisem do /proc/irq/<číslo>/smp_affinity) a zpracování příchozích packetů může běžet paralelně na více jádrech.
Samozřejmostí je, že by síťová karta i driver měly podporovat polling režim v případě vyššího provozu - že na konci IRQ handleru se driver podívá, jestli mezitím nepřišel další packet, a pokud jo, tak packet zpracuje, až do nějakého limitu (třeba 50 packetů). Při překročení limitu se IRQ zakáže, skončí handler, jádro má prostor na zpracování právě přišlých packetů, a až by se procesor měl přepnout do idle (volně řečeno), tak se zase případně zapne přerušení. Takto přerušení nevyžere veškerý CPU time, aniž by byl čas pak ty packety zpracovat, a navíc se ušetří opakované přerušování pro každý packet. Jde to poznat tak, že od jisté hranice s rostoucím počtem příchozích packetů začne počet přerušení za jednotku času na té síťové kartě _klesat_.
-Yenya, http://www.fi.muni.cz/~kas/blog/
-
Jo karty v tom hraji urcite velkou roli. Ty Broadcomy co DELL dava v podstate vsude nektere veci dilem neumi v HW a dilem neumi v ovladaci, protoze Broadcom se vyvoji kernelu nevenuje.
Mam tu dokonce tip, ktery chci nekdy vyzkouset, ze Intel 10Ge karty dokonce umi na HW urovni filtrovat pres u32, takze clovek si trochu pohraje s tc a pak uz si jen vycte pocitadla z karty, aby vedel co vsechno vubec nedorazilo do kernelu. To by dobre fungovalo na utoky, kde by byl stejny zdrojovy port nebo stejna velikost paketu. Pokud tu kartu sezenu, tak by o tom mohl byt pekny clanek.
-
Admin (neregistrovaný)
Aspoň s tou reklamou na Turris nejsem sám - všimnul jste si že se Vám do příspěvku dostaly dva reklamní odkazy? ;-)
S tím UPC to taky může být tak že dostali stížnost a pak to řešili - to musí každý ISP, ale je to něco jiného než proaktivní sledování co jejich zákazníci dělají.
-
Honza S. (neregistrovaný)
Podobne komercni reseni (byt dost drahe) uz na trhu je tusim od roku 2011, cituji User Guide :
"When Cloud Signaling is activated, Pravail APS signals to the cloud service provider (HS: e.g. ISP or scrubbing service provider) that mitigation help is needed. When the service provider begins the mitigation process, the attack that is congesting the upstream links is redirected to the cloud service’s scrubbing center. At the same time, service availability is protected and the attack traffic immediately diminishes or disappears altogether from your network's access links. The service provider mitigates the attack, and then routes the cleaned traffic back to your network.
Note: It is possible for a cloud service provider to decide not to mitigate an attack. Therefore, mitigation does not necessarily occur every time it is requested."
Samozrejme to neni vselek a je to zamerene dle meho hlavne na volumetricke utoky. Prakticke zkusenosti s tim ale zatim nemam.
-
Null (neregistrovaný)
Tedy predesilam ze nejsem specialista na konektivitu serveru, tak pokud pisu blbost, omluvte mne.
Nebylo by resenim zaridit si do nixu vice tencich pripojek, na kazde balancer a tim by se sirka dosu zhruba podelila poctem pripojek a tim by byly na kazdou sitovku a software nizsi naroky a tyto stanice by k serverum pustily jen jakkoliv overene spojeni? Proste servery nechat, jen predradit takove sirsi sito + treba to overovani znamych ip jak psal nekdo nahore? -
Yenya (neregistrovaný)
Pokud jsem dobře rozuměl článku, tak problém nebyl v šířce pásma linky, ale v propustnosti load balanceru. Takže je jedno, jestli se provoz dostane k více load balancerům s provozem rozhazovaným přes DNS jednou linkou, anebo jestli má každý LB svoji linku. Naopak z jedné linky je jednodušší blokovat provoz, když už se teda fakt rozhodnu, že tenhle rozsah IP adres opravdu nechci.
BTW: nevím jestli to dělá komentářový systém root.cz nebo vimperator/firefox, ale když vypisuji svoji přezdívku do pole "přezdívka", tak po stisku písmene "n" to z nějakého důvodu ztratí focus a začne chytat klávesy jinde, asi na příkazovém řádku. Po překliknutí zpět do pole "přezdívka" můžu teprve svoji přezdívku včetně písmene "n" dopsat.
-Yenya
-
Dneska jsem náhodou narazil na toto: http://www.haproxy.org/ Vyšla nová verze, třeba by to stálo za vyzkoušení. http://www.haproxy.org/download/1.3/examples/antidos.cfg
-
Redmarx (neregistrovaný)
Ahoj,
jsem laik, tak mozna budu placat, ale ten lajcky pohled:
Kdyz k vam prichazi utok z urcitych IP adres, tak preci vite od jakych uzivatelu utok prichazi. Neslo by dane uzivatele kontaktovat, ze jejich pocitac je vyuzivan k DDoS utokum a aby si ho zabezpecili? Respektive asi nemuze iinfo kontaktovat kazdeho jednotliveho uzivatele buhvi odkud, ale mohl by kontaktovat jejich providera a ten kontaktovat samotneho uzivatele. Asi to bude obtizne realizovatelne po celem svete, ale treba po EU mi nerikejte, ze se to mezi jednotlivyma poskytovatelema at uz intenetu nebo obsahu neda domluvit.
Ja v tomhle vidim zasadni vec, branite se utokum, ktere vedou uzivatele, kteri o tom, ze na vas utoci nevedi. Proc misto obrany u cile se neprovadi obrana u zdroje. Kdyz uzivatele budou vedet, ze jejich pocitac je zneuzivan k utoku, tak budou mit spis tendenci si ho zabezpecit nez kdyz to vubec nevedi.
Verim, ze timto zpusobem by se dalo zamezit utokum v EU a mimoevropska konektivita se pri utocich bude vypinat mnohem snaz nez kdyz ted vam nezbyva nez odstrelit vsechno vyjma NIX.CZ. -
Tohle se obecne deje. V sitich kde vystupujene jako abuse kontakt se objevuji hlaseni ostatnich adminu, ze v siti jsou nejake zavirovane stroje, celkem pravidelne. A samozrejme se to resi, at se jedna o zavirovana windows a nebo nekoho, kdo si doma postavil mailserver na propagaci sveho eshopu.
Ale nechovaji se tak vsechny site a sjednat napravu relativne trva.
-
Ferda Mravenec (neregistrovaný)
No, mohu rict, ze se tak obecne skoro nedeje.
Staci se podivat na debatu vyse, 135 prispevku se tu resi, co je vsechno potreba technicky zabezpecit na strane techniky "vysilajiciho", zatimco pouhe 2 prispevky jsou venovany tomu, kdo problem skutecne zpusobil.
Podivejme se na to ekonomicky, samozrejme neni v zajmu ani jedne ze zucastnenych stran problem skutecne vyresit.
Predne, jsou tu dodavatele ruzneho hardware a software, kteri na tom skvele profituji. Prodavaji se kouzelne krabicky, ruzna super antiddos reseni, vytvareji se jakesi virtualni site pro obranu pred nevim cim a tak dale. Vse je dostatecne olepeno malymi logy velkych firem, a penize se toci.
Stejne tak provideri, preci nebudou odpojovat sve platici zakazniky, co na tom, ze oni jebou do nejakeho systemu na druhem konci sveta.
A zakaznici ? To je povetsinou tupe stado, ktere ani nevi, co jim na pocitaci/telefonu/routeru vlastne bezi, co ti by meli resit, kdyz se jich "to netyka". Protoze vazba PRICINA-NASLEDEK zde naprosto chybi.Pohled administratora : denne dochazi k desitkam utoku, kdy ze nejaka IP adresa snazi uhodnout jmena a hesla na FTP, SSH a jakykoliv jiny verejne vystaveny port. Reportovani na ABUSE naprosto nefunguje, odpovedi je ve 99,98% pripadu mlceni, ve dvou pripadech prisla odpoved, ze to budou resit (jednalo se o velkou VPSkovou farmu, takze se da asi dohledat, kdo to spustil a zaplatil), ale vysledek zadny. A tak se denne do IP bloku dostavaji nove a nove adresy. Naplno zablokovane jsou desitky zemi, vcetne tech, o kterych nam tu tvrdi, ze tam zadny internet neni (Severni Korea, Iran, nektere africke zeme ... :) ), utoky ale vesele pokracuji.
A nyni se podivejme na to, jak by se to melo resit. Je to preci zlocin, kdyz se nekdo naboura na FTP a pokusi se ukrast treba uz jen zdrojove kody, nedej boze kreditky a ja nevim co jeste, je to kradez. A zkuste s tim jit na policii. Vubec nevi co s tim, rotny Blatoslapka ma problem i s ohledanim vykradeneho vozu, natoz aby si dokazal poradit s pocitacovou kriminalitou. Mame jakesi "bezpecnostni centrum", ktere jak jsem pochopil zamestnava nekolik jednotlivcu na nekolik hodin mesicne, ale naplni prace neni bojovat se zlocinem, spise pusobit preventivne. A kdyz uz na to dojde a skutecne by se neohrozeny Samuel Elanius vydal do boje s kyberzlocinci, na co narazi ? Ze Bulhar, sedici u pocitace v Rumunsku, pripojeny pres VPNku do Italie a ztama na server v USA utoci na server nemecke firmy ve Velke Britanii ? A ted podle prave ktere ze zeme se na to vlastne ma nahlizet ? Pokud se to netyka USA, ze by do akce zasahla vsemocna Federalni bezpecnostni ustredna patra, radi, informuje, tak nezasahne NIKDO. NIKDY.
Je to dlouhe povidani, ale jiste chapete kam tim mirim. Bud muzeme donekonecna vytvaret lepsi a lepsi technicka reseni a stale dokola cpat penize do kdejake firmy, nebo pozadovat po vlastnim statu, aby zacal chranit i ta "nehmatatelna" prava a majetky. Pozadovat po pravnickych mozcich, aby misto do boje o Opencard venovali svou kapacitu vyreseni problemu s urcenim pravni zodpovednosti v pripade elektronickeho zlocinu a vytvoreni MEZINARODNE UZNAVANE pravni normy, ktera by takovyto zlocin postihovala bez ohledu na individualni hranice. A pak proste hledat a likvidovat skupiny, ktere za timto elektronickym obtezovanim stoji.
Jinak jsou to jen vyhozene penize, pirati vzdy byli, jsou a budou o krok vpred. Ale rade firem to staci. Ve vyrocni zprave se narust zisku krasne vyjima, akcionar plesa, financni urad spojene pomlaskava a reditel uz se vidi se sekretarkou na krasne dovolene.
-
j (neregistrovaný)
Zlocin je spis to, pokud jsou takova data defakto verejne dostupna... Pokud nekdo po internetu neco nekomu slohne, tak bych naopak trestal toho okradenyho. Je to totiz asi tak stejny, jako kdyby 2x tydne vykradli fort knox ... a resilo by se, jak potrestat zlodeje, misto toho, aby se postavil plot.
-
Lael Ophir (neregistrovaný)
Velmi vtipné. Předpokládám že pokud bydlíte v přízemí a někdo vás vykrade, potrestal byste sebe a ne zloděje, protože nemáte v oknech mříže. A pokud tam ty mříže máte a někdo je vytrhnul tak že na ně přivázal jeden konec řetězu, druhý uvázal na pick-up a rozjel se, tak byste se jistě potrestal taky. Když tak budeme pokračovat, jistě by zasloužili potrestat ti, kdo při přepadení přišli o peněženku nebo mobil - mají s sebou přece nosit pepřák nebo pistoli. Pachatelé jsou samozřejmě beztrestní, protože "jen využili situace", případně "upozornili na problém" :D
Pro vaši informaci úplně neprůstřelné zabezpečení neexistuje - ve fyzickém světě ani v IT. A často je překonání zabezpečení daleko jednodušší, než byste si představoval.
https://sslimgs.xkcd.com/comics/security.png -
j (neregistrovaný)
A ... lolik zjevne netusi, ze pokud mu nekdo slohne na parkovisti odemceny auto, tak ze dostane flastr za nedostatcne zabezpeceni. Stejne jako kdyz mu vykradou ten prizemni byt bez folie/mrize ... tak ze mu pojistovna nevyplati ani korunu ... protoze nebyl dostatecne zajisten.
Samozrejme ze 100% zajisteni proti utoku zvenci existuje ... takova data proste po siti vubec dostupna nejsou.
-
Lael Ophir (neregistrovaný)
Ad pokud mu nekdo slohne na parkovisti odemceny auto, tak ze dostane flastr za nedostatcne zabezpeceni - zdroj?
Ad 100% zajisteni proti utoku zvenci existuje ... takova data proste po siti vubec dostupna nejsou - koukněte se na Stuxnet. Dáte kontraktorovi nakaženou USB klíčenku, on si nakazí stroj, a přinese ho do chráněného areálu. Navíc když data opravdu chcete, nemusíte se omezovat na útok zvenčí.
http://en.wikipedia.org/wiki/Stuxnet -
Lol Phirae (neregistrovaný)
Ad pokud mu nekdo slohne na parkovisti odemceny auto, tak ze dostane flastr za nedostatcne zabezpeceni - zdroj?
No, zdroj je zákon o silničním provozu, § 26 odst. 2: "Řidič, který se hodlá vzdálit od vozidla tak, že nemůže v případě potřeby okamžitě zasáhnout, musí učinit taková opatření, aby vozidlo nemohlo ohrozit bezpečnost provozu na pozemních komunikacích a nemohla je neoprávněně užít jiná osoba."
-
Lol Phirae (neregistrovaný)
Dalo by hodně práce si ten zákon prostě přečíst? Viz § 125c odst. 1 písm. k) - "Fyzická osoba se dopustí přestupku tím, že ... jiným jednáním, než které je uvedeno pod písmeny a) až j), nesplní nebo poruší povinnost stanovenou v hlavě II tohoto zákona.
Flastr za výše uvedené činí 1500 - 2500 Kč podle § 125c odst. 4 písm. f)
-
Lael Ophir (neregistrovaný)
Chvíli jsem to hledal. Ona se ta legislativa trochu měnila. Ještě před pár lety byly přestupky v dopravě řešené přímo v přestupkovém zákonu, převážně § 22. Ten zrušili, a neměl jsem čas hledat změny.
Flastr je pokud vím vyjma náplasti také argot pro trest odnětí svobody, například "za tu čórku dostal flastr 6 let natvrdo pyčo". Proto jsem se ptal - trest odnětí svobody za nezajištění vozu, které je přestupkem, mi přišel dost mimo.
-
Jenda (neregistrovaný)
> a vytvoreni MEZINARODNE UZNAVANE pravni normy, ktera by takovyto zlocin postihovala bez ohledu na individualni hranice
Možná, že ještě před vytvořením nějaké právní normy by se stálo za to zamyslet se nad tím, jak by se to technicky implementovalo. A ten ekosystém rozchodit. Třeba se tím problém vyřeší sám a ta právní norma už pak nebude potřeba.
-
Upřímně řečeno, když jsem si četl váš komentář, tak jsem první 4 odstavce křičel: "KONEČNĚ se našel někdo s rozumem. Konečně!" Potom ale přišla ledová sprcha v podobě pátého odstavce ("A nyni se podivejme na to, jak by se to melo resit...")
Tady na fóru běží 826 příspěvková diskuse nad "lištou o blokování reklamy", kde root.cz pláče nad tím, jak lidé blokují reklamu. A je naprosto hluchý k příspěvkům hovořící o snížení nákladů a vůbec podstatě toho, co by root měl (podle mnohých) být a co byl.
Víte, pokud se rozhodnete psát články, můžete je distribuovat mnoha způsoby. Od těch v podstatě zadarmo až po superdrahá řešení.
Můžete je šířit emailem, rss (kompletní obsah místo náhledu), news, můžete je mít ve statických souborech, které si každý stáhne. Pamatujete si ještě dobu, kdy docela podstatná část webů nabízela sama sebe ke stažení v podobě zip archivu pro offline prohlížení? Dokonce i root svého času měl cd s archivem článků (1998 - 2002). To CD dodnes mám.
Když data šíříte tímto způsobem ať již ručně nebo automaticky offline (p2p), tak vás žádný ddos, havárie serveru, povodeň v datacentu neohrozí. Vaši čtenáři ta data (ty vaše články) mají i když nejste online.
Jenže dneska se některé weby aktivně rozhodly, že nechtějí být čteny offline. Dokonce se rozhodly, že nechtějí být cachovány (na straně klienta). Proč, protože chtějí zobrazit co nejvíc reklamy. Tedy se rozhodly jít tou v podstatě nejdražší cestou a na tu nejdražší cestu si chtějí vydělat tím, že budou ještě dražší.
Takže ne, cílem opravdu není nákup ještě dražšího DDOS zázračného blokovátka, cílem není zavést mezinárodní právo, které dopadne nejvíc na ty, které má chránit. Cílem je se rozhodnout, zda chci vydávat články (v tomto případě) pro to, aby je někdo četl a někomu pomohly (a potom mám hromadu různých levných možností jak to dělat), nebo jen proto, abych dostal mizivý podíl z reklamy (přičemž tu nejpodstatnější část sežere někdo jiný).
-
j (neregistrovaný)
Zkus si predstavit, ze ti poslu rekneme 5x za minutu req na root. To neni nic nenormalniho - zcela beznej provoz. Pak si predstav, ze to udela 10 000 stroju najednou ...
Presne takhle nejak vypada DDOS ... z pohledu ISP jde o zcela normalni pohodovy provoz, byt muze byt ponekud "divne", ze si cinan cte root.cz
Navic ISP je to jedno, i kdybych poslal 1000 req/min ... ISP mi proste prodal nejakou linku, a ta linka zvladne mozna 100k req ... takze proc by to mel resit? Navic proc by mel on obtezovat svyho !platiciho! zakaznika?
Jestli chces prirovnani, tak si predstav, ze ja provozuju silnici, a ty si prijdes ke me stezovat, ze sousedovo auto co po ty silnici jezdi ti smrdi. jenze me to auto jednak nesmrdi, druhak ani nijak neposkozuje tu silnici, takze proc bych to mel resit?
Nemluve navic o tom, ze internet a konektivita je proste potreubni posta, dopravujici jednicky a nuly z mista A na misto B. Jak se k nim kdo postavi je pak ciste jeho vec.
-
Filip JirsákStříbrný podporovatelČiny se nehodnotí podle technického provedení, ale podle toho, jaký mají dopad. Takže když se počítač zúčastní DDoS útoku, je spolupachatel, i když pošle jediný požadavek. Pak je otázka, kdo za to má být zodpovědný - zodpovědnost ISP, který ji případně může delegovat dál na koncového zákazníka, mi připadá smysluplná a prakticky jediná možná.
ISP to jedno není, protože úplně stejně ostatní útočí zase na jeho zákazníky. Takže je jen otázka času, kdy se nějací ISP dohodnou, že chtějí poskytovat zákazníkům lepší služby, a vytvoří mezi sebou bezpečnou síť. Ostatně v NIX.CZ už s tím začali, předpokládám, že i na mnoha jiných místech. Takže je jen otázka, zda tahle samoregulace bude fungovat a rozšíří se dostatečně rychle, nebo zda samoregulace selže a budou do toho muset vstoupit státy, abychom se něčeho dočkali. -
Lol Phirae (neregistrovaný)
Ach ano, po poskytovatelem důkladně zabezpečené síti opravdu prahnu! Zejm. je potřeba vymýtit to zlé dětské porno, teroristy a tak. A vůbec nejlepší bude, když do toho začne strkat rypák stát, viz výtečné počiny typu INDOŠ, registry vozidel, registry MPSV, centrální registry, atd. atd. atd., :-P
-
"Takže když se počítač zúčastní DDoS útoku"
Jak se to pozná? Nejedou se stalo, že se počet požadavků zvýšil několik set krát a rq přicházejí z různých míst republiky. Má to veškeré znaky ddos útoku. A potom se dozvíte, že v hlavních zprávách nějaký ministr neměl nic lepšího k řečnění, než všechny diváky pozvat na nějaký web pro nějakou informaci. A ti, místo toho aby se slušně domluvili ( ;-) ), tak tam jdou všichni ve stejný okamžik. Bylo by moc "fajn", kdyby nějaké DDOS blokovátko tento provoz vyhodnotilo jako DDOS a projistotu celou republiku odřízlo.
"je spolupachatel, i když pošle jediný požadavek"
Byl jsem tedy spolupachatel útoku na root.cz, když v době jeho nedostupnosti (o jejíž příčině jsem nevěděl, ale tak ono je to celkem jedno) jsem opakovaně zkoušel (ať již já osobně, nebo moje RSS čtečka) posílat na root další HTTP GET požadavky (a ne jeden)? Mám se jít sám udat, nebo to uděláte vy?
-
"Jak se pozná, že situace popisovaná v článku byl DDOS?"
No nepozná. Jak už bylo řečeno, DDOS je obyčejný provoz, kterého je tak trochu víc než obvykle. Může to mít zřejmý důvod (někdo v TV plácne URL), nebo taky nemusí.
"Nebyl, protože jsi neútočil, ale normálně ses díval (chtěl dívat)."
Jak se to pozná (že jsem se chtěl dívat)? Tím, že jsem to napsal? Ehm, vždyť já to ani nenapsal. Až teď.
-
Filip JirsákStříbrný podporovatel
Nejdříve, jak to je: na počítači je zpravidla nainstalovaný speciální software, který je řízen útočníkem, a podle jeho pokynů posílá požadavky na cíl útoku. Případně to může být řešeno primitivně, uživatel podle pokynů ("zítra v pět to spusťte") zalehne F5 v prohlížeči.
Jak se to pozná: třeba v tomto případě tak, že útočící počítač jen navázal TCP/IP spojení, ale neposílal v něm žádná data.
Pokud jste na root.cz přistupoval s úmyslem podívat se na stránky, nejste spolupachatel. Pokud s úmyslem server zahltit, jste spolupachatel. Jak prosté.
Řešení problémů tam, kde vznikají, tj. u ISP a jejich zákazníků, neznamená, že nějaká krabička automaticky odřízne celou republiku. Právě naopak, to řešení se dělá až dodatečně - musíte zákazníky nějak kontaktovat, oni musí ten problém odstranit. Nejde o to zabránit tomu útoku, který už probíhá, ale postupně omezit problémová zařízení, která může útočník zneužít.
-
Jenda (neregistrovaný)
Jak by taková regulace měla vypadat? A měla by se dotknout všech internetů nebo jen některých? V tom prvním případě, co dělat se sítěmi, ve kterých to není technicky možné? A v tom druhém případě, kdo rozhodne, kterých? Pokud si rozhodnou poskytovatelé a uživatelé, tak jim to asi není třeba nařizovat, protože se mohou rozhodnout už teď…
-
Filip JirsákStříbrný podporovatel
Ta regulace bude vypadat tak, že se dostatek poskytovatelů domluví, že v případě útoků se odpojí od ostatních sítí a budou komunikovat jen mezi sebou. A zároveň si navzájem zaručí, že budou bránit takovým útokům z vlastní sítě. Postupně se k nim budou přidávat další a další. Až v nějakém okamžiku dojde k odříznutí zbývajících sítí, protože budou prakticky především zdrojem útoků.
Poskytovatelé se samozřejmě mohou rozhodnout už teď, ale samotnému poskytovateli se to nevyplatí. Vyplatí se mu to až tehdy, pokud se spojí s dostatečným množstvím dalších poskytovatelů. A domlouvat se s konkurencí, to není zrovna něco, v čem by neviditelná ruka trhu vynikala. Ale třeba v ČR už vznikl Fénix, takže poptávka po něčem takovém evidentně je. Teď je podstatné to, aby se to co nejrychleji rozšířilo s jednotnými pravidly na co největší část civilizovaného světa. Protože pokud si to budou dělat jen ISP po svém, hrozí také, že vznikne spousta takovýchhle skupin, třeba jedna v každém státě, a ty se budou navzájem obviňovat a odpojovat. Bylo by to sice krásně "svobodné" rozhodnutí, ale pro internet a jeho svobodu dost nešťastné. -
Lol Phirae (neregistrovaný)
Teď je podstatné to, aby se to co nejrychleji rozšířilo s jednotnými pravidly na co největší část civilizovaného světa.
Áaaano, správně! Centrálně regulovat! Ne EU směrnici, ale celosvětově! A samozřejmě tím budeme bojovat proti tomuhle (cyber)terorismu, takže tak to je ovčane správné, tak to má být! Sancta simplicitas.
-
Filip JirsákStříbrný podporovatel
Děkuji za zprávu, že jste nenašel žádný argument proti. Akorát jste to mohl napsat normálně.
-
Většinou se hledají argumenty pro, nikoliv proti. "Důkazní břemeno" je na tobě. Tys popsal myšlenky, svoji představu, jak by to mělo podle tebe fungovat. Lolovi (a mě) se tato myšlenka nelíbí. Jednak proto, že není technicky realizovatelné rozhodnout, zda se jedná o útok nebo o běžný provoz, nelze technicky rozhodnout, zda ISP ten útok podporuje nebo mu brání. Nakonec to tedy zůstane pouze na rozhodnutí členů v jakémsi sdužení spojených poskytovatelů, kteří z pozice moci a z pozice silnějšího rozhodnou o tom, kterou síť si připojí a kterou odmítnou (jak jsi to psal v #505072). Bude se jednat pouze o jejich názor. Nic víc.
A v době, kdy se na základě DMCA vyhazují z vyhledávačů weby politických stran, v době, kdy na základě blacklistu IWF blokují stránky, které by jinak podle zákonů té dané země byly v pořádku my přijde krajně nevhodné volat po dalším způsobu blokace celých ISP, kteří se nepřizpůsobí těm ostatním. Je to velmi nebezpečné.
-
Filip JirsákStříbrný podporovatel
Lolovi se ta myšlenka prostě nelíbí, žádné argumenty proti není schopen napsat. To je jeho problém, nemusí to oznamovat v diskusi. Nebo má popravdě napsat „nevím proč, ale nelíbí se mi to“.
Zrovna v případě popsaném v článku šlo technicky rozhodnout, která spojení jsou součástí útoku. A i když se to nepodaří spolehlivě rozhodnout ve 100 % případů, nic se neděje, takový je život. Taky nedokážeme usvědčit každého zloděje, to ale neznamená, že se zcela vzdáme ochrany vlastnických práv.
Nemusí to být jen rozhodnutí členů nějakého sdružení. Pokud se do toho zapojí stát, může to být třeba rozhodnutí soudu. A že by to bylo rozhodnutí z pozice silnějšího? Vždyť to přeci všichni obhájci anarchie chtějí.
Ano, každou regulaci je možné zneužít. To ale není argument proti regulaci. Právě naopak, je potřeba u vzniku té regulace být a nastavit její parametry tak, aby byla co nejméně zneužitelná. Vystupovat proti jakékoli regulaci a blokovat ji tak dlouho, až budou lidé vděčni za jakoukoli regulaci, i když bude špatná a omezí jejich práva, to je kontraproduktivní. -
"Taky nedokážeme usvědčit každého zloděje, to ale neznamená, že se zcela vzdáme ochrany vlastnických práv."
V příkladech DMCA a IWF, kterým ses vyhnul, je to přesně naopak. Na základě toho, že existují zloději se zavírají nevinní lidé, podle toho, jak se někomu hodí je zavřít. Prostě je označí za zloděje. Jak prosté. Stejně tak ty weby. Někomu se nelíbí, šup s ním pod IWF. Blacklist je tajný, nikdo se nic nedozví. A beztak tam to porno měl, že ;-)
-
Filip JirsákStříbrný podporovatel
To je přesně ten případ, kdy se tak dlouho blokovalo rozumné řešení, až pohár přetekl a nastoupilo řešení nerozumné.
-
Filip JirsákStříbrný podporovatel
Blokovala se všechna možná řešení problému. Které je to nejrozumnější, o tom nebylo prakticky možné diskutovat. Z těch rozumných řešení problému jsou to např. spoluodpovědnost uživatele (tedy žádné tolerování „stahování je vždy legální“) nebo odpovědnost ISP, pokud nebude spolupracovat se státními orgány při odhalování pachatelů nelegálního šíření a nezabrání jim v další činnosti.
-
Lol Phirae (neregistrovaný)
nebo odpovědnost ISP, pokud nebude spolupracovat se státními orgány při odhalování pachatelů nelegálního šíření a nezabrání jim v další činnosti.
Ano, a výrobce automobilů by měl zabránit řidičům v páchání přestupků, výrobce nožů a střelných zbraní zase v jejich použití lupičům a vrahům, výrobce hypnotik je zodpovědný za uspávačky a sebevrahy, noo a takhle bychom mohli pokračovat. To jsou opravdu "rozumná" opatření. Mimochodem, kdyby ses podíval, jak s tímhle "rozumným" opatřením naložili a "uspěli" ve Francii, tak bys tady zas nemlel své obvyklé krávoviny, Jirsáku.
Obecně, kriminalizace majority populace, která vnímá stávající stav ochrany autorských práv jako naprosto nemorální, absurdní a kontraproduktivní, nemůže nikdy fungovat. Nejsou na to prostě prostředky (ani finanční, ani lidské). Podnikatelskou neschopnost nemohou producenti obsahu donekonečně přenášet na stát formou lobbyingu, uplácení legislativy na míru, nekonečného utahování šroubů (přičemž stát není schopen samozřejmě ani vymáhat stávající legislativu). Není možné neschopnost cokoliv hodnotného vyplodit řešit nekonečným prodlužováním doby ochrany, stejně tak není možné neschopnost vytvořit životaschopný byznys model řešit vybíráním absurdních poplatků stále se rozšiřující mafií tzv. "kolektivních správců"... Zpěvák holt nebude nadosmrti živ z toho, že jednou něco nazpíval, a herec zas nebude živ z toho, že se jednou objevil na plátně. Ať se živí po koncertech, hraje v divadle nebo holt si bude muset najít jiné povolání, aby neumřel hlady.
-
Filip JirsákStříbrný podporovatel
Majorita populace, která vnímala stav ochrany vlastnických práv jako naprosto nemorální, absurdní a kontraproduktivní, už tu byla třeba v druhé polovině devatenáctého století a významnou část století dvacátého. Vymysleli systém, kde už neplatilo to ošklivé kapitalistické, že pokud chce mít někdo užitek z práce někoho druhého, musí se s tím druhým domluvit – a dotyčný dost možná bude chtít zaplatit. Mělo to takovou jednu drobnou vadu, že ten komunismus v praxi nefungoval.
-
j (neregistrovaný)
Pominu-li jirsaku ze ses totalni blb, tak komunismus v praxi nefunguje z jednoho jedinyho duvodu ... mnoztvi zdroju je omezene a kazdy mercedesa mit nemuze. V pripade internetu ale tahle premisa neplati, nebot mnoztvi dat je zcela neomezene, a svou kopii naprosto cehokoli muze mit naprosto kazdy.
-
Lael Ophir (neregistrovaný)
Komunismus nefunguje proto, že bez motivace ziskem mají lidé málo důvodů pracovat. Nakonec máte na sobě oblečení vyrobené pro zisk, sedíte na židli vyrobené pro zisk, dům ve kterém jste byl vyroben pro zisk, a pro zisk byl vyroben i počítač na kterém píšete tyhle hlouposti.
Ad svou kopii naprosto cehokoli muze mit naprosto kazdy - problém je úplně jinde. Výroba filmu nebo počítačové hry stojí v přepočtu miliardy korun (například rozpočet GTA V byl okolo 6.6 mld Kč). Pokud je má někdo vyrábět, musí dostat zpátky náklady a mít z toho zisk. A to lze zajistit tak, že navážete použití autorského díla na nějakou formu platby. Upřímně by mě dost překvapilo, kdybyste na tohle nebyl schopný přijít sám.
-
j (neregistrovaný)
A ta hra se prodava jeste 100 let po smrti autoru? Vazne?
GTA je taky zarnej priklad takovyho vylozene ztratovyho podniku ... z filmovy produkce muzem vybrat trebas titanic, avatar ... jejich tvurci upi hlady ...
Vis loliku, kdybys venoval tak minutu hledani trebas na youtube, tak tam najdes tisice, nejspis statisice lidi, kteri tam zcela zdarma vystavuji svoji tvorbu ... a v poznamce maji uvedeno "jestli chcete, tak mi tuhle poslete nejaky drobnik" ... a spousta z nich ma takovy uspech, ze se tim vpohode uzivi.
Nemluve o tom, ze nejlepsi firmy jsou prevazne vyrabeny na kolene za doslova za par korun. Koupit si dneska kameru zvladne z kapesnyho maly decko ... copak ma asi tak divak z toho, kdyz (zcela bezne) 60% z tech miliard jsou platy nekolika malo osob v tom filmu ... tzv "star" ... chmm ... to vazne bude tragedie kdyz tam ty lidi budou hrat za zcela normalni mzdu ... protoze na vic si proste nevydelaj ...
-
Lael Ophir (neregistrovaný)
Oslovení "víš, lolíku" je nepatřičně familiérní. Zkuste trochu slušného vychování. Když vám někdo vyká, vykejte mu také, a odpusťte si familiérnost.
Ad hra se prodava jeste 100 let po smrti autoru - hra asi ne, ale kniha dost možná ano
Ad zarnej priklad takovyho vylozene ztratovyho podniku - pokud by zákazníci za hry a filmy neplatili, tak by to byl ztrátový podnik. Navíc na každý výdělečný titul připadají nějaké ztrátové, a studia pochopitelně rozkládají rizika.
Ad nejlepsi firmy jsou prevazne vyrabeny na kolene za doslova za par korun - "nejlepší" je dost subjektivní hodnocení. Pokud hovoříme o filmech s největším počtem shlédnutí, tak určitě ne. Ad kdyz tam ty lidi budou hrat za zcela normalni mzdu - lidi hrající zadarmo nebo za "normální mzdu" můžete vidět třeba ve filmech, které natočili fanoušci. Typicky uvidíte prostoduchý scénář, prkenné a nepřesvědčivé postavy, plus amatérské zpracování.
Ad na youtube, tak tam najdes tisice, nejspis statisice lidi, kteri tam zcela zdarma vystavuji svoji tvorbu - jistě, na youtube je spousta videa. Většina z toho jsou lolcats, reklamy, ukázky, upoutávky, nelegální materiál a jiné vychytávky. A samozřejmě to spousta autorů nedělá zdarma: partneři (autoři) dostávají 55% příjmu z reklamy, které se s videem zobrazuje.
https://www.youtube.com/watch?v=b85h_ujZ_vg
https://www.youtube.com/watch?v=owGykVbfgUESamozřejmě pokud na to máte, můžete vložit řekněme 2mld Kč do tvorby filmu, dát ho pak zdarma na youtube, a žebrat v popisu videa o drobné. Jděte do toho, určitě to vyjde :D
-
Lael Ophir (neregistrovaný)
V řadě případů to není těžké. Například pokud na youtube najdete díly nebo scénky ze seriálu The Simpsons, jsou tam zjevně bez vlastníka práv. Dceřiné společnosti 21st Century Fox nedaly souhlas, a tahle videa nechávají běžně odstraňovat.
Pokud jde o obecný způsob rozeznání obsahu umístěného bez souhlasu vlastníka práv, je to pochopitelně složitější.
-
Lael Ophir (neregistrovaný)
Jo, vážně. Most anthems are in the public domain due to the age of the song/lyrics or by legislation making national symbols copyright-free, however, individual composers can still arrange a national anthem and record it, and the recording of their arrangement is under copyright protection.
-
" z filmovy produkce muzem vybrat trebas titanic, avatar ... jejich tvurci upi hlady ..."
A co takovej Harry Potter. Zisk pouhých 938 miliónů doláčů (necelých 18mld korun v tehdejším kurzu), chudáci, jsou 167 mil ve ztrátě. Co jen budou dělat, založíme sbírku na chudá hollywoodčata?
-
Lol Phirae (neregistrovaný)
Jsou to chudáci. Např. Star Wars jsou dodneška ztrátové. Ehm... Já nevím, v normálních státech se za tohle zavírá za krácení daní, ne se těm ksindlům ještě vyrábí legislativa na míru a podstrkávají podle jejich zapískání mezinárodní smlouvy.
-
Lael Ophir (neregistrovaný)
Jaké krácení daní máte na mysli? Film točí spousta společností. Většinou jde o s.r.o. (resp. Ltd.), které vlastní mateřská firma. Další firmy dodávají herce, techniku, postprocessing, efekty atd. Pokud herec podepíše smlouvu s podílem na zisku nesprávného subjektu, udělal chybu.
O krácení daní samozřejmě nejde, protože když se peníze přesunou z firmy A do firmy B, musí z nich zaplatit daň z příjmu firma B.BTW podobně se staví i domy. Developer založí s.r.o., to postaví dům a vlastní ho. Když chcete koupit dům, koupíte to s.r.o. Výhodou je, že dům zůstává celou dobu v majetku jedné firmy. Z převodu nemovitosti se totiž platí daň, kdežto z převodu s.r.o. se daň neplatí. A že se tak lidé vyhýbají placení daně? Na prvním místě je to zcela legální. Na druhém místě se jim nedivím, protože požadovat daň z toho, že si za zdaněný příjem koupíte nemovitost postavenou ze zdaněného materiálu a zdaněné práce, je naprosto úchylné. Je to pouze důsledek toho, že stát má tu moc. Jednoho dne nějaká hlava vymyslela, že když si chalupáři Franta (bezdětný, má velký dům v údolí) a Lojza (tři děti, má menší dům s pěkným výhledem na kopci) vymění domy, tak musí každý dát vrchnosti jednu krávu. Státu do toho sice nic není, ale může, tak si vezme daň.
Poznámka: od roku 2014 byla daň z převodu nemovitosti zrušena, a máme místo ní daň z nabytí nemovitých věcí. Detaily jsem nestudoval. -
Lol Phirae (neregistrovaný)
Nevím, z čeho soudíte, že jsem příspěvek nečetl. Zastávat se ksindlu, který má plnou držku jakési morálky, ale sám nejenže a priori všechny považuje za zloděje, ale sám okrádá na daních a krom toho ještě ty, kteří skutečně nějakou práci vytvořili - okrádá na těch samých příjmech z autorských práv, na které si donekonečna stěžuje, že je okrádán sám, tak pro ty - sorry - opravdu pochopení nemám. A zcela off-topic bláboly o dani z nemovitostí jsou mi pak u (_|_).
-
Lael Ophir (neregistrovaný)
OMG. Firma natáčí film. Založí dceřinou firmu X speciálně pro tenhle projekt. Ta si od jiných firem pronajme techniku, objedná herce, marketing atd. Na konci projektu může být firma X klidně ve ztrátě. Přesto nejde o daňový únik, protože ostatní firmy mají příjem z práce na filmu, z distribuce/promítání, prodeje médií atd. Zisk a daň se v takovém případě týká těch dalších firem.
V popsaném případě filmu Star Wars: Return of the Jedi není ve ztrátě "film", ale jedna z firem, které se podílely na jeho tvorbě. Ten herec měl zřejmě smlouvu s fixní částkou, a k tomu podíl ze zisku té firmy, která žádný zisk nemá.
Opravdu takové triviality každodenního businessu nechápete, a musíte nesmyslně křičet o okrádání a daňových únicích?
-
Lol Phirae (neregistrovaný)
Ale naopak, "triviality" holywoodského účetnictví chápu. Proto na ty šmejdy taky poukazuju. Hlavně ať si zas nezapomenou zahekat nad tím, jak je okrádají zlí piráti. Ovšem vytváření naprosto umělých ztrát (krácení daní) a okrádání těch, kteří ty příjmy jako herci pro tu firmu vytvořili, to je ovšem naprosto OK, že... Běž do řiti s takovým "byznysem" - to se fakt nedá slušně říct.
-
Lael Ophir (neregistrovaný)
OMG. Ohledně toho krácení daní si můj příspěvek zkuste přečíst ještě jednou a pomaleji. Třeba vám pak dojde, že když peníze odtečou jako náklad z jedné firmy a přitečou do druhé firmy jako příjem, tak je zdaní ta druhá firma. K žádnému krácení daně tedy *nedochází*.
Zkuste zůstat slušný. Mě vaše nechápavost také udivuje, ale nevidím to jako důvod k neslušnosti.
-
Finančák (neregistrovaný)
Vaše neznalost běžných daňových optimalizací je pravděpodobně důvodem proč tak zarputile trváte na svém nesprávném názoru. Zkuste si například představit co se stane když firma do které peníze přitékají je registrována v některém z daňových rájů. V českém prostředí se tomuto patternu obvykle říká tunel a tunelování bohatých firem je bohužel obvyklejší než by bylo záhodno, i když se nemusí provádět pouze z důvodu daňových optimalizací.
-
Finančák (neregistrovaný)
Popis nebyl nijak konkrétní, nejspíš kolega předpokládal že takovou zákadní daňovou optimalizaci každý zná a kdo ne tak se k tomu radši ani nebude vyjadřovat. BTW tunelování a daňová optimalizace nejsou nijak moc odlišné věci, dalo by se dokonce říct že daňové optimalizace jsou speciální případ tunelování, a to tunelování státu.
-
Lael Ophir (neregistrovaný)
Kolega si přečetl, že je známý a úspěšný film "ve ztrátě", a křičel že je to daňový únik (což z těch informací nijak nevyplývá). Žádný lepší argument jsem od něj neviděl.
Daňová optimalizace jako tunelování? To snad nemyslíte vážně. Pokud má poplatník možnost uspořádat své věci více způsoby s různými dopady na daňovou povinnost, je jeho plným právem uspořádat je tak, aby platil nižší daň. A upřímně při současné výši zdanění by byl hloupý, kdyby to neudělal.
-
Finančák (neregistrovaný)
Daňová optimalizace vždy musí být na hraně zákona, pokud má být efektivní. Problém je v tom že to co je ještě legální a co už je za hranou je často těžké posoudit, a kvůli efektivitě se často šlápne až za tu hranu a pak se to všelijak zastírá (nikdo se přeci nechce nechat zavřít), takže Váš černobílý pohled na daňové optimalizace je velmi daleko od reality. Nedivím se kolegovi že ho při pohledu na "ztrátu" úspěšného filmu napadlo to co ho napadlo, nejspíš má reálnější pohled na finanční svět než Vy.
Příklad z reality: česká firma si objednává různé drahé služby u zahraniční firmy v daňovém ráji, obě firmy jsou ovládány stejným vlastníkem takže dobře spolupracují na tom aby objednávky a dokumentace k dodávkám byly v pořádku. Pro finanční úřad je velmi složité dokázat že docházi k porušování českých zákonů, a přitom to může být obyčejný tunel kde kromě českého státu mohou být postižení například i minoritní vlastníci té české firmy. V praxi s tím nejde hnout, protože prokázat že ta služba za kterou bylo zaplaceno má ve skutečnosti mnohem nižší cenu nelze, donutit tu českou firmu aby ty služby nakupovala jinde taky nelze... Vítejte v realitě volného trhu!
-
Lael Ophir (neregistrovaný)
V daném případě šlo zjevně o to, co jsem popisoval: studio založilo dceřinou společnost odpovědnou za nějakou část aktivit, a ta negenerovala zisk - ten generovaly jiné firmy. To samo o sobě žádný daňový únik neimplikuje.
Asi bychom si měli projít terminologii:
Tunelování je laický výraz popisující trestný čin porušování povinnosti při správě cizího majetku. Pokud například jednatel firmy prodá firemní nemovitost za babku vlastní firmě sídlící v daňovém ráji, dopustil se přesně tohoto trestného činu.
Daňová optimalizace je způsobem uspořádání věcí, který minimalizuje daňovou zátěž, a je zcela legální. Může jít například o zdanění paušálem namísto vykázání skutečných nákladů, pokud jsou nižší než paušál.
Daňový únik je krácení daně s překročením zákona. Příkladem je situace, kdy podnikatel fiktivně prodá službu do jiné země EU, padělá faktury, a nárokuje po státu odpočet DPH.Pokud jde o daňové optimalizace, je potřeba se dívat po jejich důvodech. Výše daní prakticky neustále roste, a firmy mají dobrý důvod se snažit daňovou zátěž minimalizovat.
-
Filip JirsákStříbrný podporovatel
Pardon, vaše vysokointeligence, omluvám se, blb jako já si myslel, že aby se nějaké autorské dílo objevilo na internetu, musí jej nejdřív někdo vytvořit. Teď už vím, vaše povýšenosti, že autorská díla nikdo nevytváří, ale na konci internetu je sto opic, které píšou a píšou, a takhle vznikají autorská díla. Teď jste mi to ozřejmil. A když ty opice zrovna nemají co na práci, tak píšou na Root.cz komentáře pod přezdívkou "j". Tu máš banán.
-
... Zpěvák holt nebude nadosmrti živ z toho, že jednou něco nazpíval, a herec zas nebude živ z toho, že se jednou objevil na plátně. Ať se živí po koncertech, hraje v divadle nebo holt si bude muset najít jiné povolání, aby neumřel hlady. ...
A kurwa, já chtěl nazpívat tři hyperkůl písně (dvě letní hitovky na diskošku a jeden celoroční oplodňovák) a měl jsem v plánu žít z tantiem až do konce poslaneckého období Marka Bendy ...
-
Lael Ophir (neregistrovaný)
Ad stávající stav ochrany autorských práv jako naprosto nemorální, absurdní a kontraproduktivní - to zřejmě vycházíte z toho, že kdo nemá barák, tak považuje soukromé vlastnictví nemovitosti za naprosto nemorální, absurdní a kontraproduktivní :). Majorita populace jistě souhlasí, že autoři zaslouží za svou tvorbu odměnu. A zároveň majorita populace remcá, když slyší "zaplať nebo nech".
-
Filip JirsákStříbrný podporovatel
Zesměšňování už jste odstranil, tak zkuste ještě vynechat ten podsunutý argument. A hlavně použijte nějaký argument.
-
"a budou komunikovat jen mezi sebou"
Tolik ke svobodnému Internetu.
"A zároveň si navzájem zaručí, že budou bránit takovým útokům z vlastní sítě."
Což se technicky provede jak? Každý uživatel dostane na hlavu senzor, který bude snímat, zda měl v úmyslu se podívat na web nebo útočit? A pokud uživatel bude mít hříšné myšlenky, tak ISP udělá bububu a dá mu černý puntík?
"Až v nějakém okamžiku dojde k odříznutí zbývajících sítí, protože budou prakticky především zdrojem útoků."
Hezká představa. Moc hezká. Kdo nejde s námi, jde proti nám.
-
Filip JirsákStříbrný podporovatel
Ten, kdo je zrovna pod DDoS útokem, nebo komu poštovní schránku plní spam a viry, asi nemá pocit, že si zrovna užívá vrcholně svobodný internet.
Technicky se to provede například tak, že ISP bude přijímat hlášení o útocích a bude informovat své zákazníky, že mají pravděpodobně napadené nějaké zařízení. A pokud se to u nějakého zákazníka bude opakovat často, ukončí s ním smlouvu. To je svoboda ISP.
Ta představa byla realizována už mnohokrát. I na internetu. Např. kdo dnes nepoužívá IPv4, byl skupinou ISP, kteří IPv4 používají, od internetu odříznut. Postupně se to samé stane s přechodem na IPv6 – síť používající IPv4 bude mít prostě smůlu. A klidně si dotyčný ISP bude moci prskat a ztěžovat na hloupou regulaci, že všichni nutí nějaké IPv4 nebo IPv6, a on si přitom svobodně chce používat svůj protokol. -
Můžeš si to překrucovat jak chceš. Pokud někdo provozuje IPv6 only síť, tak si je (nebo má být) vědom toho, že neexistuje přímé propojení s IPv4 only sítí. Prostě je to technická překážka.
Pokud někdo odesílá emaily, tak je pouze na osobním rozhodnutí nějakého jiného člověka, zda ty emaily posoudí jako spam. Na základě tohoto osobního rozhodnutí nějaký jiný člověk rozhodne o nějakém postihu onoho odesilatele. Nic technického v tom není.
-
Filip JirsákStříbrný podporovatel
Kde je ta hranice mezi technickým a osobním rozhodnutím? Když někdo posílá e-maily, které nesplňují nějaké „should“ v RFC, je to technické nebo osobní rozhodnutí? Když nesplňují „must“, je to technické nebo osobní rozhodnutí? Že vůbec mají e-maily splňovat nějaké RFC, nebo že pakety mají odpovídat definici protokolů IPv4 nebo IPv6, to je technické nebo osobní rozhodnutí?
Podle mne je rozhodnutí „budu komunikovat jen s těmi, kteří komunikují protokolem IPv4“ rozhodnutí úplně stejného druhu, jako rozhodnutí „budu komunikovat jen s těmi, kteří postupují proti zahlcování infrastruktury spamem a jinými útoky“. -
To přece záleží na implementaci. Implementace by měla komplet splňovat RFC případně další normy, které se k problematice vztahují. Pokud daná implementace tyto normy neplní, má mířit kritika na autory této implementace. Takto to v praxi přece je.
To, čemu říkáme spam je email, obyčejný email (který, stejně jako jakýkoliv jiný email více či méně splňuje příslušná RFC), který někdo označil nálepkou spam. Spam nemá žádnou definici. Kdyby ji měl, tak se dá filtrovat. Nemá, nedá se filtrovat. Je to osobní rozhodnutí příjemce. Co je pro jednoho spam (pro mě např. letáky ze supermarketů ve schránce), to je pro jiného užitečná zpráva (znám lidi, kteří nad tím večer sedí a přemýšlí, co koupí).
Internet se dneska čím dál více odpoutává od technického řešení a pohledu na svět k tomu osobnímu. Po drátech proudí data. Jen data nic jiného. Jsou někteří, kteří se snaží ta data vzít, podívat se na ně a na základě interpretace co jsou ta data asi zač, jednat. Filtrovat. Blokovat. Z principu to nemůže uspět. Bude to drahé, spousta lidí se na tom napakuje. Na něčem, co nejde nijak vyřešit. Proto jsem jásal a potom byl zklamán z komentáře 504946. (Predne, jsou tu dodavatele ruzneho hardware a software, kteri na tom skvele profituji. Prodavaji se kouzelne krabicky, ruzna super antiddos reseni, vytvareji se jakesi virtualni site pro obranu pred nevim cim a tak dale. Vse je dostatecne olepeno malymi logy velkych firem, a penize se toci.)
A jsou zastánci těchto "řešení". Řešení, která nic neřeší, opakovaně selhávají a opakovaně se musí platit. Občas se tato řešení hodí i pro jiné účely. Když už máme infrastrukturu umožňující cenzuru něčeho, co u veřejnosti prošlo, můžeme cenzurovat cokoliv. Když už máme možnost sledovat "teroristy", můžeme vlastně sledovat koho chceme.
Tobě to nevadí?
-
Filip JirsákStříbrný podporovatel
Já pořád nevidím ten rozdíl. Co je technické řešení nebo implementace a co je osobní rozhodnutí? Když se rozhodnu nebo nerozhodnu implementovat IPv4 nebo IPv6? Když se rozhodnu přijímat e-maily? Když se rozhodnu nepřijímat e-maily, pokud IP adresa druhé strany spojení nemá reverzní záznam vedoucí na adresu, která se zpět překládá na původní IP adresu? Stejně jako na sobě spam nemá nálepku „spam“, nemá na sobě žádný e-mail ani nálepku „splňuje příslušná RFC“. Ani IPv4 paket na sobě takovou nálepku nemá. Vždycky se musí někdo rozhodnout, tohle implementujeme, tady budeme benevolentnější než RFC, tady je RFC nejasné a my to uděláme takhle, tady budeme přísnější než RFC.
Ta rozhodnutí ve spoustě případů vycházejí z nejrůznějších zkušeností a k samotnému rozhodování se technicky používají nejrůznější dostupné informace. Někdo třeba na základě nějaké zkušenosti nebo předpokladu odmítá e-maily z jakékoli IP adresy určené pro domácí ADSL přípojky, nebo z jakékoli IP adresy, která nemá ty správné reverzní a dopředné DNS záznamy. Než tohle, kde ta souvislost se spamem je opravdu velmi volná, to budu mnohem raději, když ty e-maily bude odmítat na základě toho, že příslušný ISP nedělá nic proti šíření spamu ze své sítě.
Varianta, že necháme každého, ať si dělá, co chce, je podle mne nereálná – nikdy to tak nefungovalo, vždycky v celé známé historii lidstva bylo vždy s růstem společnosti potřeba začít se řídit nějakými pravidly, jinak ta společnost nemůže fungovat. A je to vidět i na internetu, jak spolu s tím, jak roste, podíl škodlivého provozu je čím dál větší. Může to růst pořád dál a užitečný provoz postupně vytlačovat jinam, až přestane být zajímavý. A nebo se pokusíme nastavit taková pravidla, která umožní to zajímavé na internetu provozovat i nadále.
O žádné infrastruktuře pro cenzuru nebo sledování jsem nepsal. A argument, že pokud se něco dá zneužít, bude to zneužito, se dá použít úplně na všechno. I na internet samotný.
Mně vadí, že místo toho, aby se racionálně řešilo, co a jak upravit, aby s minimálními náklady a minimálním omezením mohl internet fungovat co nejefektivněji, pořád dokola se musí vysvětlovat ty úplně nejzákladnější věci - že žádný systém nemůže fungovat bez pravidel, a že čím komplexnější systém, tím komplexnější musí být pravidla. Že se vždy hledá nějaká zlatá střední cesta, a nemá tedy žádný smysl argumentovat extrémy a tím, že všechno se dá zneužít. Nebo že vůbec nejde o nějakou svobodu proti nesvobodě, ale o svobodu jedněch proti svobodě druhých. Nejde o to, zda si někdo bude moci svobodně dělat DDoS útoky proti tomu, že se mu to znesnadní, ale o to, zda si někdo bude moci svobodně dělat DDoS útoky, nebo zda si někdo jiný bude moci svobodně provozovat server, aniž by musel vyhazovat peníze za protiDDoS opatření (která stejně budou fungovat jen v omezené míře). -
"Mně vadí, že místo toho, aby se racionálně řešilo, co a jak upravit, aby s minimálními náklady a minimálním omezením mohl internet fungovat co nejefektivněji, pořád dokola se musí vysvětlovat ty úplně nejzákladnější věci - že žádný systém nemůže fungovat bez pravidel, a že čím komplexnější systém, tím komplexnější musí být pravidla."
Já nevím, zda ty naše dva tábory mluví každý jinou řečí, ale tohle je snad dávno jasné. ISP je tu od toho, aby dopravil packet z místa A do místa B. Tečka. Není tu od toho, aby zkoumal obsah toho packetu, není tu od toho, aby zaznamenával "kdo, s kým, kdy". Tedy to, čemu se dneska vznešeně říká síťová neutralita a to, čemu se říká data retention. ISP by měl být obrazně řečeno pasivní drát. Nic víc. To je zcela nejlevnější varianta. Nejsou potřeba žádné analyzátory provozu, žádná disková pole na uložení logů. Jen "drát".
Na straně poskytovatelů obsahu totéž. Poskytovatel by měl poskytovat obsah všem bez rozdlu. Opět síťová neutralita. A stejně jako ISP by neměl být nucen ověřovat obsah dat (to se týká hostingů apod.) a logovat provoz. Jen na našem jednom webu máme access log cca 6GB/měsíčně (nekomprimovaný), kdyby byla povinnost to uchovávat půl roku, tak ty logy ze všech webů mají hezkých pár TB. Nevidím jediný důvod, proč bych ty logy měl skladovat déle, než po dobu nutnou pro technické důvody (u web access logů tedy 0s). Poskytovatel obsahu je od ... poskytování obsahu. Nikoliv od skladování logů pro kohosi třetího. Opět, je to to nejlevnější řešení, po kterém tak voláš.
Tohle jsou ta nejlevnější řešení. Čistě technická. A víš co? Není potřeba nic měnit. Dokonce lze ubrat. Smazat logy, odpojit analyzátory (pokud je někdo má). Jak prosté.
Všechno ostatní (data retention, dmca, iwf apod.) jsou "řešení", která vznikla pod vlajkou ochrany dětí (se divím, že tahle ohraná písníčka ještě vůbec funguje), obecné ochrany společnosti apod. Přitom jsou to řešení, pod která se dnes schovává jediné. Ochrana majitelů kopírovacích práv audiovizuálních děl. Nic víc. A já nevidím jediný důvod, proč já jako ISP, nebo já jako hosting, nebo já jako kdokoliv, bych měl chránit zisky někoho třetího. Nevidím. Moje zisky také nikdo nechrání. Určitě ne vydavatelé (nikoliv autoři, ale vydavatelé) "velkého obsahu". Bez ohledu na to, že ten někdo třetí si ještě nárokuje výpalné na disky, na kterých bych měl uchovávat ty logy.
Bohužel, tito vydavatelé si prolobovali u politiků různé hrůznosti, popsané v této diskusi. A místo toho, aby to odborná veřejnost zarazila, tak se ještě dohaduje "co a jak upravit".
Jasněji už to snad napsat nelze.
-
Filip JirsákStříbrný podporovatel
To, že je tu ISP od toho, aby dopravil paket z místa A do místa B, se vzalo kde? Je to jeho posvátný úkol, který se nemůže za žádnou cenu změnit, i kdyby se ukázalo, že takhle to fungovat nemůže? Třeba taková auta také byla určená pro dopravu z místa A do místa B, ale pak se ukázalo, že by nás moc nepřežilo, tak se začaly přidávat airbagy, brzdoví asistenti, po řidiči se vyžaduje získání řidičského oprávnění... Ano, původní funkci dopravy z místa A do místa B to komplikuje, ale zase přežije víc lidí. A je to pořád lepší, než kdyby se automobilová doprava zcela zakázala.
Jak má poskytovatel obsahu poskytovat obsah všem bez rozdílu, když na něj je veden DDoS útok?
Ano, spousta těch různých "řešení" moc nefunguje. Protože se použilo nesmyslné řešení v okamžiku, kdy už daný problém přesáhl únosnou mez. Jediné funkční řešení je odpovědnost koncových uživatelů, kterou lze dnes zajistit jedině ve spolupráci s ISP. Jenže jakmile o tomhle řešení někdo začne mluvit, hned se všude objeví spousta "ochránců svobody". Místo toho, aby odborná veřejnost řešila, jak přesně to zajistit a jaké je minimum nutné k tomu, aby to fungovalo, tak se zašprajcuje, prohlásí, že neustoupí ani o píď - takže pak politikům nezbývá, než přijmout alespoň paskvily jako DMCA. -
Ano, doprava vozidly vyžadují různá pravidla. To jsou technická pravidla. Ale já neznám žádné pravidlo, které by hovořilo o tom, že se v úložném prostoru vozidla nesmí převážet to či ono a provozovatel silnice byl nucen zjištovat obsah úložného prostoru vozidel. Dokonce ani nemá povinnost zjišťovat, kdo, kdy a kam jede. Toto tvé přirovnání zcela pokulhává.
Už jsem to v této diskusi uváděl. Pokud chci poskytovat obsah, mám na to hromadu možností. Já osobně mám rád ty možnosti, které vedou na offline uložení obsahu u klienta s nějakou formou synchronizace. Když vypadne jeden uzel (shoří server, je pod útokem), nevadí. Stačí obsah umístit na další uzel. Decentralizované p2p, tak jak internet ostatně začínal. Není to nic nového, nic převratného. Všimni si, že tímto se vyřeší jak problém DDOS, tak problém vynucování odpovědnosti klienta.
"Jenže jakmile o tomhle řešení někdo začne mluvit, hned se všude objeví spousta "ochránců svobody"."
Samozřejmně. Protože podobná "řešení" jsou navrhována jako jediná možná. Což není pravda.
"takže pak politikům nezbývá, než přijmout alespoň paskvily jako DMCA."
Sorry, co je tohle za šílenou myšlenkovou zkratku? Jak nezbývá nic jiného? Tohle mi připomíná onu scénu "Rozkaz, ten zněl jasně, nesmí projet za žádnou cenu..." Buď vymyslíte jiné řešení, nebo prostě DMCA. Jako wtf? Oni nemuseli přijmout nic.
-
Filip JirsákStříbrný podporovatel
Ta pravidla se samozřejmě týkají toho, co způsobuje ty problémy.
Vy chcete poskytovat obsah offline se synchronizací. Co když někdo chce poskytovat obsah klasicky přes web? Proč je jeho svoboda méně důležitá než svoboda DDoS útočníka?
Protože podobná "řešení" jsou navrhována jako jediná možná. Což není pravda.
To není pravda.
V reálném životě nezbývá nic jiného. Když jedna strana sporu zastává jeden extrémní názor a nehodlá ustoupit, problém se pořád zhoršuje, dospěje to vždycky do řešení přetaženého na druhou stranu. Jednak proto, že tu extrémní stranu už nikdo neposlouchá, jednak proto, že se situace pořád zhoršuje, takže se rázné řešení snáz obhajuje, jednak proto, že když už se to opatření dělá, tak raději víc, ať není nutné později přitvrzovat a znovu poslouchat ty zastánce jednoho extrému. Může se ti to nelíbit, ale realita je taková. Takže je lepší s tím počítat než se pokoušet prosadit extrémní nesmyslné řešení. -
Extrémem to nazýváš ty. Je to jen nálepka. Nálepka proto, aby se mohlo vyjednávat stylem: ty extremisty neposlouchejte, my pro vás máme řešení a ani to nebude moc drahé. ("Extrémisti" přinášení řešení zdarma, tomu je třeba zabránit.)
"Co když někdo chce poskytovat obsah klasicky přes web?"
Co když někdo chce rozsvěcet plynové lampy? Zakážeme proto elektřinu? Jako svět se mění a co fungovalo včera, zítra fungovat nemusí. Je třeba se přizpůsobit novým podmínkám (i když v IT zas tak nové nejsou) a ne se snažit okolní svět ohnout podle sebe.
Když se někdo mentálně zasekne v době vinylů, kdy každá kopie byla drahá a ztrátová, tak se nemůže divit, že v době, kdy je kopie dokonalá a de facto zadarmo jeho podnikání nefunguje. A ne, cesta opravdu není v tom celý svět mentálně zaseknout v 70's, protože ti, co se zaseknout nenechají, nás taky můžou předběhnout.
-
Filip JirsákStříbrný podporovatel
Když to není extrém, kam to tedy může pokračovat dál tím směrem?
Nezdá se, že by hodně lidí chtělo svítit plynovými lampami. Naproti tomu po webu je docela poptávka, jak mezi uživateli tak mezi tvůrci obsahu. Navíc to tvoje řešení je má oproti webu nevýhodu - nedokáže poskytnout ta nejčerstvější data, a k uživateli se musí synchronizovat zbytečně terabajty dat, i když si chce přečíst jediný článek. A DDoS to neřeší, když bude útok trvat dostatečně dlouho, nikdo si nic nesesynchronizuje. Je třeba se přizpůsobit novým podmínkám - to úplně stejně funguje i na ochranu před internetovými útoky.
Model, že aby společnost fungovala, musí být lidé odpovědní za své jednání, funguje už pár tisíc let. A zatím nic lepšího nemáme. Pokud chceme, aby internet byl běžnou součástí našeho života (a zatím to k tomu stále směřuje, snažíme se čím dl víc, aby internet nebyl něco speciálního), nezbývá, než tohle pravidlo zavést i na internetu. Takže otázka není zda, ale jak.
-
"Když to není extrém, kam to tedy může pokračovat dál tím směrem?"
Jakým zase směrem? Internet je / bylo pojení sítí a sítě jsou spojením uzlů. Uzly si mezi sebou vyměňují data. Ano, chci zachovat "směr" (další nálepka, když je to původní záměr), aby si uzly mohly vyměňovat data. Co je na tom zase k nepochopení.
"nedokáže poskytnout ta nejčerstvější data"
Naopak, p2p spojení mezi dvěma uzly je ta nejrychlejší výměna dat co lidsko dosud vynalezlo s ohledem na cenu a vzdálenost. A existují techniky, které na tomto principu umožňují vyměnu velkých objemů dat takovým způsobem, že minimálně zatěžují jednotlivé a hlavně první zdrojový uzel (tedy minimální náklady s ohledem na cenu, vzdálenost a počet).
Dál už se k tomu nechci snad ani vyjadřovat. Existují sítě, které fungují na jiných principech, než se tu snažíš neustále podsouvat. To, že existují dokazuje, že lidé mají snahu (která je zakořeněná asi hodně hluboko v člověku, když ti lidé podstupují riziko jejich s tím spojené), sdílet s jinými lidmi informace. Informace, které někdo na "normálním" internetu označil nějakou nálepkou. Tyto sítě fungují, informace na nich jsou. A není náhodou, že titíž lidé, kteří chtějí jisté informace z "normálního" internetu odstranit, se snaží odstranit i ty jiné sítě. Někdy se to daří víc, někdy méně. Ale faktem je, že tyto sítě existují, stejně jako existuje disent v totalitních státech.
-
Filip JirsákStříbrný podporovatel
Extrém znamená krajní možnost. Pokud něco extrém není, znamená to, že existují ještě další možnosti. Pokud na ose „regulace internetu“ není tvůj postoj („regulovat přesně to, co je regulováno už dnes, a nic víc“) extrém, ptám se, kam se dá na té ose jít ještě dál za tuto pozici.
O zachování toho, aby si uzly mohly vyměňovat data, nevedeme spor. Spor je o to, co znamená „vyměňovat data“. Podle mne je potřeba bránit zahlcování linek útoky, aby regulérní data mohla proudit. Útok nepovažuju za data. Ty předpokládám chceš, aby se prostě přenášela ta data, která se někomu podaří do sítě protlačit (princip „silnější vyhrává“). Možná si to představuješ tak, že linky mají být dostatečně kapacitní na to, aby zvládly přenést libovolný provoz, který je někdo schopen vygenerovat.
Já si myslím, že tohle prostě fungovat nebude, že budování tak kapacitních spojů je plýtvání prostředky, které se dají využít mnohem lépe. Další problém je v tom, že útoky jsou stále levnější a levnější, nebo-li i když se dnes vybuduje taková obrana, že se útočníkovi nevyplatí útočit, stačí mu jen si počkat, a za nějakou dobu útok zlevní a vyplatí se. Nevidím tam žádný bod, kdy by se to mělo zlomit, takže pokud to takhle půjde dál, budou se na zmenšení následků útoků vydávat stále větší a větší prostředky, až posléze se bude investovat jen do zmenšení následků útoků. Tak daleko to reálně samozřejmě nedojde, protože tou dobou už by internet reálně nikdo nepoužíval.Právě o ten první zdrojový uzel jde. Pokud bude pod DDoSem, tak se k němu nikdo nedostane. Celá následující infrastruktura může být dokonalá, ale pořád je závislá na tom nedostupném zdroji. Samozřejmě je možné to upravit, primární zdroj někam schovat, umožnit k němu přístup jen vybraným poskytovatelům dat, kteří teprve budou fungovat jako zdroje pro veřejné šíření. Jenže to jsou významné náklady navíc, a jaký je z nich užitek? Žádný, s velkou námahou a výdaji jsme se dostali do stejného stavu, jaký tady byl před DDoS útoky. Takže se nabízí logická otázka, zda není levnější a efektivnější bránit vzniku takových útoků, než se pokoušet vyrovnat s jejich následky.
Já jsem o žádných informacích nepsal, takže netuším, na co reaguje poslední odstavec. Ale vím, že princip „silnější vyhrává“, který dnes platí na internetu a který chceš za každou cenu zachovat, nikde v demokracii nefunguje. Funguje právě jen v těch totalitních státech, kdy je kvůli němu většina obyvatel nespokojena. A ani ten „nejsilnější“ to v takových státech nemá na dlouho.
-
"Pokud na ose „regulace internetu“ není tvůj postoj („regulovat přesně to, co je regulováno už dnes, a nic víc“) extrém, ptám se, kam se dá na té ose jít ještě dál za tuto pozici."
Sorry, ale čteš vůbec tuto diskusi? Evidentně ne. Tak zcela explicitně:
"regulovat přesně to, co je regulováno už dnes, a nic víc"
Já považuji už dnešní stav regulace za přehnaný. Mělo by se regulovat méně. Méně. To, co se reguluje už dnes je pro mě v podstatě maximální přijatelný stav, cílem by mělo být tu regulaci zrušit, ne přidávat novou. Není to žádný extrém, dnes je stav regulace nějaký, jistě může být větší, jistě může být menší.
"Možná si to představuješ tak, že linky mají být dostatečně kapacitní na to, aby zvládly přenést libovolný provoz, který je někdo schopen vygenerovat."
Ne, tak si to nepředstavuji. ARPANET vznikl s požadavkem, aby ta síť přežila jaderný útok. Bez centrálních uzlů, se "záložními" linkami -- více nezávislých cest mezi dvěma uzly. (Předpokládám, že znáš teorii grafů a sítí.) Dneska je situace taková, že pokud vyměnuji data se sousedem, který má počítač 10m od mého, tak jdou data přes NIX, stovky kilometrů tam a zpět (a to vysoce pravděpodobně po stejném optickém vlákně, které je tak zatíženo 2x). Pokud někdo vytíží linku nix a zpět, my si data nevyměníme. To je špatně, to jde proti původnímu konceptu. V momentě, kdy se mimo internet propojíme kabelem přímo, nebo můj a jeho isp dostane rozum a budou mezi sebou routovat někde blíž než v nixu, tak se nás jakýkoliv problém nixu nebo na trase přestane týkat.
Dnešní stav je ten, že se tlačí na centralizaci (zcela nesmyslně, ale zcela účelově), která je potom zranitelná na poruchy a zatížení linek, tato centralizace si vynucuje regulace, které by vůbec nemusely být.
"Právě o ten první zdrojový uzel jde."
Ten první zdrojový uzel se ale může měnit. Nevím, zda znáš koncept FreeNetu, zjednodušeně: uzly poskytují úložný prostor (žádný jiný ta síť nemá) a data se replikují na více uzlů dle nějakého algoritmu popularity oněch dat. Funguje tam vyhledávání okolních nejbližších uzlů a tak dále. Pokud se o jeden uzel přijde (co já vím, spadne disk, nebo ho někdo zabaví), nic se nestane. Nová data lze nahrát na libovolný jiný uzel a opět se rozdistribuují dle potřeby. Neříkám, že FreeNet je nejdokonalejším nástrojem na distribuci dat, to ne, ale princip je snad jasný, data jsou replikovaná a lze je nahrát (tj onen zdrojový uzel), na libovolný uzel sítě.
-
Filip JirsákStříbrný podporovatel
Co je dnes regulováno na internetu v EU a co by se mělo zrušit? Proč by se ta regulace měla rušit a neměla by se přidávat jiná? Já nějak nevěřím na to, že každá regulace je zlá, takže se moc nedokážu bavit obecně o „regulaci“. Dokážu se bavit o něčem konkrétním, co má nějaký účel, a dá se zkoumat, jestli regulace ten účel naplňuje, zda se toho samého nedá dosáhnout jinak a lépe, a jaké jsou případné negativní dopady.
ARPANET nevznikl s požadavkem, aby síť přežila jaderný útok, ale aby bylo možné propojit nejrůznější do té doby izolované sítě a systémy. Komunikace přes NIX se používá proto, protože je to levnější. Pokud by se síť stavěla a udržovala zdarma, tak by samozřejmě bylo výhodnější mít ten lokální propoj pro komunikaci se sousedem. Jenže síť ani její údržba zadarmo není, takže vzhledem k objemu přenášených dat by ten místní propoj byl o několik řádů dražší, než když data tečou přes NIX. A mimochodem, tohle byl právě účel ARPANETu – že pro tu komunikaci se sousedem nemusím budovat zvláštní spoj, ale pokud budou oba připojeni k internetu, někudy se ta cesta najde, i kdyby to mělo jít přes Prahu nebo přes Frankfurt.
Ta centralizace se ve většině případů netlačí nesmyslně, ale z toho důvodu, že je to levnější. Jsou to úplně běžné úspory z rozsahu, které zná každý ekonom. Proti nim jdou samozřejmě náklady na řízení komplexních systémů (o těch už mnoho ekonomů neví), ale ty lidstvo umí neustále snižovat právě tím, že nastavuje vhodná pravidla platná pro jednotlivé uzly toho systému. Tím se odbourává nutnost nějakého centrálního řízení. Třeba právě Internet je příkladem toho, kdy se podařilo vhodným nastavením pravidel tu komplexnost snížit.
Tady se bavíme pod článkem o DDoS útocích na servery vydavatele Rootu. V tomto případě je ta centralizace logická, je to prostě jedno médium, na kterém se vydávají nějaké články, od okamžiku vydání mají být dostupné všem. Řešení s jedním serverem nebo clusterem je podle mne to nejpřirozenější a nejefektivnější řešení. Obrana proti DDoS útokům jsou zbytečně vynaložené peníze, nebýt těch útoků, může vydavatel třeba zaplatit víc autorům, nebo zaplatit víc článků, nebo zobrazovat méně reklamy.
FreeNet a mnoho dalších technologií je jistě zajímavých, ale hodí se na něco jiného. Jednak když bude těch uzlů stejné množství, jako je dnes uzlů v clusteru IInfa, dopadnou při DDoS útoku stejně, jako dnes. Pokud jich bude výrazně více, bude také ten provoz výrazně dražší – a úplně zbytečně, protože je vyzkoušené, že regulérní provoz ten současný cluster zvládne. Za druhé Root neřeší distribuci dat, ale jejich publikování. Když se publikuje nový článek, má být dostupný všem, ne někomu ano a někomu ne podle toho, se kterým uzlem sítě se zrovna baví. A pak jde samozřejmě také o to, že Root neřeší jen publikování článku, ale také třeba cílení reklamy a personalizaci. Jistě, všechno se dá různými obezličkami obejít, ale internet je snad nástroj, který se má přizpůsobit tomu, co potřebujeme udělat – a ne opačně, že budeme celý koncept publikování a webu předělávat na nějakou technologii jenom proto, že ta technologie má na papíře vlastnosti, které se geekům líbí. -
Co je dnes regulováno na internetu v EU a co by se mělo zrušit?
Už jsem tu zmiňoval IWF, což je blacklist, který možná odpovídá zákonům jedné země (UK), ale je uplaťňován i například v ČR. Dneska afaik neexistuje operátor, který by jej nepoužíval.
Dále DMCA, kde Google odstraňuje na základě požadavků třetích stran odkazy z vyhledávání, na takové weby jako třeba pirati.cz (a třeba hackerspace brmlab.cz, což mě překvapilo ještě víc, než ti piráti), což je web politické strany. DMCA na území ČR neplatí, pirati.cz nemají nic společného z googlem a požadavky přicházejí z míst, které nemají nic společného ani s googlem ani s piráty. Jinými slovy DMCA i IWF (tam se to ale složitěji hledá), slouží k ovlivnění politické scény v (nejen) ČR.
Dále data retention. Zrušená ÚS, obnovená, zrušená EU, ponechaná v ČR (upřímně řečeno nevím, jaký je dnešní stav, naštěstí se mě to už netýká). Co je to IP snad všichni víme. IP identifikuje uzel v síti. Žádným způsobem neidentifikuje fyzickou osobu. Bohužel, úřad pro ochranu osobních údajů tomu nasadil korunu tím, že IP je chráněný údaj nebo co.
To jsou tedy tři příklady toho, co se masivně zneužívá k jiným účelům, než o kterých se veřejně hovoří. IWF "prošlo" proto, že se jedná o děti (a proto se blokovala wiki), DMCA prošlo, že si to někdo vyloboval na autorská práva (a proto se odstraňují weby politických stran z vyhledávání) a data retention proto, aby bylo možné chytat teroristy a proto se používá na nahánění 14 letých mladíků... (Každý isp asi potvrdí, na co se nejvíc používají data z data retention.)
To jsou tedy alepoň tři příklady regulace, které jsou vhodné na okamžité zrušení. Provoz se zlevní, ušetří se za disky, za proxy servery, za filtry v dns servery.
-
Filip JirsákStříbrný podporovatel
IWF je soukromá věc těch operátorů. Pokud se ti to nelíbí, je podle mne jedinou možností zavést regulaci, která zakáže operátorům používat blacklisty nebo přikáže operátorům neblokovat svým klientům přístup nikam.
DMCA není regulace EU. Pokud se ti nelíbí, opět nezbývá než zavést regulaci, kterou bude respektovat minimálně EU a USA, která regulaci typu DMCA zakáže.
Nebo ty máš nějaká jiná řešení? Připomínám, že „ono to samo od sebe zmizí a už se to neobjeví“ není řešením, operátoři IWF používají dobrovolně, USA přijaly DMCA dobrovolně, takže ty je chceš donutit k něčemu jinému, než si ty subjekty dobrovolně vybraly.
Ano, data rentention je záležitost EU a ČR. Takže se můžeme začít bavit o tom, co je na tom dobře, co špatně, jestli to plní svůj účel, jaké jsou alternativy.
Pokud budeme regulací nazývat i to, k čemu se nějaký subjekt rozhodne sám, je regulací i používání IPv4 nebo IPv6, dodržování RFC.
Takže se opět dostáváme k tomu, že ani nevíme, co všechno vlastně zahrnujeme pod pojmem „regulace“. V takové situaci je tvrzení „čím méně regulací, tím lépe“ jednoduše nesmyslné. -
j (neregistrovaný)
"IWF je soukromá věc těch operátorů. Pokud se ti to nelíbí, je podle mne jedinou možností zavést regulaci, která zakáže operátorům používat blacklisty nebo přikáže operátorům neblokovat svým klientům přístup nikam."
Takova regulace davno zavedena je, jmenujese to telekomunikacni zakon, ktery vyslovne uvadi, ze provozovatel verejne telco site NESMI nijak zasahovat to telco spojeni.
-
Lael Ophir (neregistrovaný)
Vaše argumentace mi připomíná výrok "psací stroj je na otiskování písmen na papír, takže není problém, když na tom stroji napíšu dopis, kde někomu vyhrožuji fyzickou likvidací". Pomocí internetu jako technického prostředku se lze dopustit řady nepravostí. Pokud například zasáhnete do něčího soukromí tím že zveřejníte jeho intimní fotky, zjevně se dopouštíte trestního činu, a pohled "sítě jsou propojené, data tečou a všechno je tedy OK" je pak zjevně nesmyslný.
-
Fajn, a jsme zase zpět na počátku o tom, zda má být výrobce nožů (papíru, psacích strojů, pošťák apod) zodpovědný za vraždy těmito noži (nebo třeba vyhrožováním v papírovém dopise) spáchané. Podle vás ano. Přeji mnoho úspěchu v podnikání s čímkoliv, čím se dá spáchat zločin. Tedy se vším. Jistě rád přijmete odpovědnost za činy, které jste nespáchal.
-
Filip JirsákStříbrný podporovatel
Nic není černobílé. Některé věci jsou nebezpečnější než jiné, a zařízení připojená do internetu patří k těm nebezpečnějším. Navíc v případě internetu myslím málokdo chce odpovědnost primárně od výrobců, ale primárně od vlastníka toho zařízení. Třeba u střelných zbraní nebo u aut odpovědnost vlastníka funguje, takže to není zas až taková novinka.
Ona ta odpovědnost také nemusí být konečná. Klidně to může být tak, že buď bude dotyčný spolupracovat při odhalení skutečného pachatele (třeba ISP podle záznamů určí, kdo měl v dané době přidělenu příslušnou IP adresu), nebo za to bude odpovědný on. Takhle to dnes částečně funguje u aut.
Smyslem toho celého je, aby každý nesl odpovědnost za ty činy, které spáchal. Pokud je často jediný způsob, kterým je pachatel na internetu identifikován, jeho IP adresa, a zároveň IP adresy ISP přidělují dynamicky, je holt jediná možnost spolupráce ISP, který musí prozradit, kdo měl tu danou IP adresu zrovna přidělenu. Další možnost by byla přidělovat IP adresy přímo koncovým uživatelům, ale to mi připadá jako horší možnost. Nebo tebe napadá nějaká další možnost, jak i na internetu učinit lidi odpovědnými za jejich jednání? -
Klidně to může být tak, že buď bude dotyčný spolupracovat při odhalení skutečného pachatele (třeba ISP podle záznamů určí, kdo měl v dané době přidělenu příslušnou IP adresu), nebo za to bude odpovědný on.
vs.
Smyslem toho celého je, aby každý nesl odpovědnost za ty činy, které spáchal.
Jak jdou tyto dvě věci dohromady? A jak to jde dohromady s presumpcí neviny? Ty chceš hodit odpovědnost na neviného člověka, který jen "nedostatečně spolupracuje", což je tak vágní formulace, že se to dá kdykoliv použít na kohokoliv.
Další možnost by byla přidělovat IP adresy přímo koncovým uživatelům
Já bych jenom podotkl, že IP není přiřazena uživatelům, ale počítačům (v době maškarád spíše sítím). Počítače lze sdílet, sítě také. Mezi IP a konkrétním člověkem jen velmi volná vazba (a spíše zavádějící).
-
Filip JirsákStříbrný podporovatel
Vágní formulace je to proto, protože se bavíme v internetové diskusi. Paragrafové znění samozřejmě může být mnohem přesnější – třeba v tom smyslu, že ISP poskytne vyšetřujícím orgánům údaje o tom, kterému zákazníkovi byla daná IP adresa přidělena v určité době, přičemž ISP musí být schopen tyto údaje poskytnout alespoň tři měsíce zpětně.
Dohromady to jde tak, že ISP kryje pachatele, takže je spolupachatelem. Ostatně, ten škodlivý provoz pochází ze sítě toho ISP, takže za něj je spoluzodpovědný.
Zařízení má vždy nějakého vlastníka. Ten má zase možnost vzít odpovědnost na sebe, nebo ukázat na toho, kdo v danou chvíli se zařízením pracoval.
Nebo máš lepší řešení, jak učinit lidi zodpovědnými za to, co dělají na internetu? -
Lol Phirae (neregistrovaný)
Obávám se, že nikoliv. Pokud bude stát požadovou např. takovouto součinnost, tak ji ode mne v žádném případě nedostane.
-
Lael Ophir (neregistrovaný)
Blokování zbytku sítě funguje jen u webů, které jsou navštěvované převážně z malého území. Když se budete jmenovat Zuckerberg, těžko kvůli DOS útoku zablokujete půlku světa, protože v ní máte spoustu zákazníků.
Navíc pokud by to bylo jen o blokování všech providerů mimo "alianci", nemělo by to smysl. Na konci dojdete do stavu, kdy nebudete blokovat nikoho, protože jsou všichni členy té aliance. Nutnou podmínkou je odstraňování nakažených stanic ze sítě. A k tomu providerům tak trochu chybí motivace. Nicméně technicky by realizace nebyla až tak obtížná. Stačí aby každý ISP měl funkční abuse contact, a po potvrzení nahlášeného problému (DOS, spam) zákazníka zablokoval a přesměroval ho na interní stránky s popisem problému. Sankcí může být právě odpojení celého providera. Trochu problém pro zákazníka je v tom, že bez připojení k inetu se malware špatně odstraňuje. -
j (neregistrovaný)
Jiste, nejaky blb na druhy srtane planety nareportuje neci IPcko a ISP svyho platiciho zakaznika odpoji ... variantne najme stovky lidi, ktery budou 1/2 den zkoumat, zda je zakaznickej pocitac zakaznika platiciho kilo mesicne napaden ... a tohle bude delat u kazdyho s tisicu zakazniku minimalne 3x do mesice ...
Podobny hovadiny muzou vymejslet leda lidi, ktery vubec netusej o cem plkaj.
Ve finale sem vazne zvedav, jak budes seznamu/googlu/... vysvetlovat, ze si jim odpojil 50% zakazniku, protoze ti jejich provider ukazal vztycenej prostrednik.
-
Lael Ophir (neregistrovaný)
Ad blb na druhy srtane planety nareportuje neci IPcko a ISP svyho platiciho zakaznika odpoji - psal jsem "po potvrzení nahlášeného problému". Pro ISP by neměl být problém potvrdit, že nějaký zákazník rozesílá spam nebo se účastní DDoS útoku. Zvlášť když ISP uchovávají provozní a lokalizační údaje - stačí jednoduše sjet databázi.
Ad podobny hovadiny muzou vymejslet leda lidi, ktery vubec netusej o cem plkaj - na rozdíl od vás vím.
-
j (neregistrovaný)
Jiste, kazdeho kdo vyjde na ulici pri zcela libovolne hromadne akci rovnou zastrelit, co na tom ze si sel koupit 10 rohliku ...
ISP to jedno je, protoze pokud si zakaznik zaplati 100Mbit, tak proste dostane 100Mbit (u skutecneho ISP samo) ... a je jen a jen na nem, jak si s temi 100Mbity dat poradi. ISP mu mozna muze za nejake dalsi $$$ poskytnout nejakou dalsi sluzbu.
-
ebik (neregistrovaný)
No, vyse zminene navrhy smeruji k tomu, ze je potreba zajistit aby DDos byl nakladnejsi, nez je tomu dnes. V realnem zivote je nezadouci chovani take "umele zpoplatneno", kde cena muze byt ruzna: od trestu (odneti svobody) az po spotrebni dan za tabak. Problem, ktery se tu resi je spis kdo a z jake pozice bude "vymahat" takoveto umele zpoplatneni. V realnem zivote jsou k tomu soudy, ktere by mely byt nezavisle na ostatni moci. V tom elektronickem by to nakonec asi melo byt take tak, ale ted jsme bohuzel stale jeste na elektronickem divokem zapade.
-
jenda (neregistrovaný)
nejak se ty utoky mnozi ...
300 Gbit/s - spise vice
http://www.theregister.co.uk/2014/06/23/most_sophisticated_ddos_strikes_hk_democracy_poll
-
none (neregistrovaný)
Dobry den,
sice to neumim nastavit, ale myslim si, ze by slo naprogramovat takoveto ochranne chovani. V dobe utoku Vas server bude rovnou nemilosrdne zahazovat prvni dve nove prichozi spojeni. Pak jedno povoli. A pak zase bude zahazovat dve. Stale dokola.
Vychazim z toho, ze clovek, ktery si chce precist nedostupnou webovou stranku tak to zkusi maximalne trikrat az ctyrikrat. Pokud se mu to povede na potreti, tak pochopi ze je asi neco spatne, ale stranku neopusti, bude stastny, ze ji vubec vidi. Rekne si, ze dneska ten net nejak blbne a bude to trpelive zkouset.
Pokud ale odstrihnete IP adresu uplne, tak jste ztratil cloveka a to nechcete.
Timto chovanim prinutite bota to zkouset znovu a vicekrat ze stejne IP adresy a pokud z jeho IP adresy bude prichazet neuplne spojeni, tak mate jistotu, ze to je bot a muzete mu zpomalit rychlost na minimum.
Co vy na to?
R.
ČLÁNKY DO MAILU
