Komentarze do wpisu 'Co przytrafiło się gazeta.pl?' http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/ Z Irlandii, po polsku Fri, 21 Nov 2008 21:22:39 +0000 http://wordpress.org/?v=2.6.3 Przez: 2006 - podsumowanie w IT at ITblog http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-34786 2006 - podsumowanie w IT at ITblog Fri, 25 Jan 2008 13:43:49 +0000 http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-34786 [...] listopad - Novell i Microsoft zawierają umowę o współpracy; Microsoft wypuszcza wersje RTM Windows Vista, Office 2007 i Exchange 2007; premiera Sony PlayStation 3; premiera Nintendo Wii; premiera Zune; premiera najlepszej gry 2006 roku - Gears of War (Xbox 360); portal Gazeta.pl pada ofiarą DDoS [...] [...] listopad - Novell i Microsoft zawierają umowę o współpracy; Microsoft wypuszcza wersje RTM Windows Vista, Office 2007 i Exchange 2007; premiera Sony PlayStation 3; premiera Nintendo Wii; premiera Zune; premiera najlepszej gry 2006 roku - Gears of War (Xbox 360); portal Gazeta.pl pada ofiarą DDoS [...]

]]> Przez: digger http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-22170 digger Sat, 10 Mar 2007 16:32:51 +0000 http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-22170 jak marny artykul tak marne komentarze :]. recepta poki co www.akamai.com ;-).. jak marny artykul tak marne komentarze :].
recepta poki co http://www.akamai.com ;-)..

]]> Przez: DDoS w Szwecji będzie karany at ITblog http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-20948 DDoS w Szwecji będzie karany at ITblog Wed, 21 Feb 2007 16:01:46 +0000 http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-20948 [...] karą do dwóch lat więzienia. Czym jest DDoS i jak wygląda to w praktyce opisałem w notce pt. Co przytrafiło się gazeta.pl? w grudniu zeszłego [...] [...] karą do dwóch lat więzienia. Czym jest DDoS i jak wygląda to w praktyce opisałem w notce pt. Co przytrafiło się gazeta.pl? w grudniu zeszłego [...]

]]> Przez: ptashek http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-14908 ptashek Mon, 04 Dec 2006 11:47:20 +0000 http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-14908 @Michal: Odcinanie podsieci wcale nie jest jedynym wyjsciem. Jesli admin wie jak wyglada normalny ruch do jego systemow, to co nie pozadane wysle do Null0. Niedawny atak DDoS na Servage ewidentnie pokazal, ze mozna byc przygotowanym: kilka punktow styku szkieletu z Internetem, urzadzenia potrafiace rozpoznac anomalie w ruchu i w razie potrzeby wyslac je do Null0 i oczywiscie synchronizacja dzialan z dostawcami. Wolno, bo wolno, ale dzialali caly czas. Podobnie UCD nie raz bylo ofiara DDoS'ow i jakos nigdy nie musielismy uciekac sie do tak drastycznych metod jak wycinanie calych podsieci. Barni ma rowniez troche racji. Gros "zombie" to komputery z Windows i zaden SP2 do XP tu nie pomoze (zalozymy sie?) na systemie dzialajacym na konfiguracji "out-of-the-box". Teraz jesli wezmiemy pod uwage, ze MS ma 90-95% rynku desktopow i wiekszosc stanowia maszyny uzywane przez Jasia Kowalskiego, ktory o komputerach wie tyle, ze sa... Oczywiscie nie jest wina MS, ze admini Gazety dali ciala, ale gdyby MS sie staral sie bardziej w przeszlosci, zorganizowanie ogromnego botnetu nie byloby tak proste jak obecnie i moze ten, i wiele innych atakow, nie mialby miejsca. BTW: VLANy tez nie sa remedium na wszystko, jak wielu ludzi sadzi. http://tinyurl.com/56bwd Najwiekszy odkryty dotad botnet skladal sie ze 100k aktywnych zombie (lacznie bylo ich podobno 1.5m!). Na taka sile nic nie pomoze, nawet pacierz przed dobranocka. @Michal: Odcinanie podsieci wcale nie jest jedynym wyjsciem. Jesli admin wie jak wyglada normalny ruch do jego systemow, to co nie pozadane wysle do Null0. Niedawny atak DDoS na Servage ewidentnie pokazal, ze mozna byc przygotowanym: kilka punktow styku szkieletu z Internetem, urzadzenia potrafiace rozpoznac anomalie w ruchu i w razie potrzeby wyslac je do Null0 i oczywiscie synchronizacja dzialan z dostawcami. Wolno, bo wolno, ale dzialali caly czas.
Podobnie UCD nie raz bylo ofiara DDoS’ow i jakos nigdy nie musielismy uciekac sie do tak drastycznych metod jak wycinanie calych podsieci.
Barni ma rowniez troche racji. Gros “zombie” to komputery z Windows i zaden SP2 do XP tu nie pomoze (zalozymy sie?) na systemie dzialajacym na konfiguracji “out-of-the-box”. Teraz jesli wezmiemy pod uwage, ze MS ma 90-95% rynku desktopow i wiekszosc stanowia maszyny uzywane przez Jasia Kowalskiego, ktory o komputerach wie tyle, ze sa…
Oczywiscie nie jest wina MS, ze admini Gazety dali ciala, ale gdyby MS sie staral sie bardziej w przeszlosci, zorganizowanie ogromnego botnetu nie byloby tak proste jak obecnie i moze ten, i wiele innych atakow, nie mialby miejsca.

BTW: VLANy tez nie sa remedium na wszystko, jak wielu ludzi sadzi. http://tinyurl.com/56bwd

Najwiekszy odkryty dotad botnet skladal sie ze 100k aktywnych zombie (lacznie bylo ich podobno 1.5m!). Na taka sile nic nie pomoze, nawet pacierz przed dobranocka.

]]> Przez: Michał Osmenda http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-14896 Michał Osmenda Mon, 04 Dec 2006 09:39:39 +0000 http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-14896 @Barni: Dla uzytkownika koncowego zapchane lacze do poratlu czy nie odpowiadajacy serwer www to jest to samo, efektem jest nie otwierajaca sie strona. Co do stworzenia podsieci, to nie jest az tak ciezkie i przy odpowiednim planowaniu mozna wykorzystac istniejaca infrastrukture (chocby podpierajac sie VLANami, klastrami, DNS round-robin i podobnymi). Ponadto do zakupow zabezpieczen powinny przekonac GW obecne i mozliwe w przyszlosci spadki z dochodow z reklam. To jest czysta ekonomia. I nie twierdze, ze od razu trzeba kupowac najwiekszego PIXa, mozna wiele rzeczy zrobic z limitowanym budzetem. Jesli komentarzem o "hostingu producenta systemow operacyjnych" nawiazywales do MS, to nawet sam nie wiesz jak daleko sie mylisz. W atakach typu DDoS odcinanie poszczegolnych podsieci to tak naprawde jedyne mozliwe wyjscie. I mozna dosc dokladnie celowac, mimo ze to moze zajac dosc dlugo. Czasami jednak zdarza sie, ze zaatakowane serwisy odcinaja pol kontynentu, jak to zdarzylo sie w przypadku GW pozbawiajac np. mnie dostepu. A co do SP2 i w98, czy starasz sie mnie przekonac, ze to znow wina systemu/ukladu i BG? To ze GW nie miala wystarczajacych zabezpieczen i planu obrony i ktos to sprobowal wykorzystac to wina slabosci Windows 98?? Zarty jakies ... @Barni: Dla uzytkownika koncowego zapchane lacze do poratlu czy nie odpowiadajacy serwer www to jest to samo, efektem jest nie otwierajaca sie strona. Co do stworzenia podsieci, to nie jest az tak ciezkie i przy odpowiednim planowaniu mozna wykorzystac istniejaca infrastrukture (chocby podpierajac sie VLANami, klastrami, DNS round-robin i podobnymi). Ponadto do zakupow zabezpieczen powinny przekonac GW obecne i mozliwe w przyszlosci spadki z dochodow z reklam. To jest czysta ekonomia. I nie twierdze, ze od razu trzeba kupowac najwiekszego PIXa, mozna wiele rzeczy zrobic z limitowanym budzetem.
Jesli komentarzem o “hostingu producenta systemow operacyjnych” nawiazywales do MS, to nawet sam nie wiesz jak daleko sie mylisz.
W atakach typu DDoS odcinanie poszczegolnych podsieci to tak naprawde jedyne mozliwe wyjscie. I mozna dosc dokladnie celowac, mimo ze to moze zajac dosc dlugo. Czasami jednak zdarza sie, ze zaatakowane serwisy odcinaja pol kontynentu, jak to zdarzylo sie w przypadku GW pozbawiajac np. mnie dostepu.
A co do SP2 i w98, czy starasz sie mnie przekonac, ze to znow wina systemu/ukladu i BG? To ze GW nie miala wystarczajacych zabezpieczen i planu obrony i ktos to sprobowal wykorzystac to wina slabosci Windows 98?? Zarty jakies …

]]> Przez: Barni http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-14862 Barni Sun, 03 Dec 2006 22:36:15 +0000 http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-14862 Ludzie, portal wcale nie musiał paść. Po prostu ruch wynikajacy z ataku totalnie zapchal lacza jakie posiadał portal - stad nie można było się na niego dobić. To co napisales o zrobieniu drugiej podsieci i przygotowaniu się na atak jest oczywiste, ale niesmowicie ciezkie do realizacji, gdyz wymga zaangazowania srodkow technicznych zdecydowanie wiekszych niz potrzebnych na biezace funlkcjonowanie serwisu. Zawsze masz problem czy warto tyle inwestowac na taki jeden incydent, bo a nuz Ci sie uda. I zupelnie inaczej sprawa sie ma, gdy masz komercyjny serwis, gdzie wszystko musisz placic ciezka kase, a zupenie inaczej, gdy masz hosting producenta systemow operacyjnych, ktory de facto dowolny sprzet moze miec za darmo, czyli w barterze za swoje produkty lub na mocy porozumien miedzyproducenckich. Tak wiec łatwo się generalizuje i ocenia, gdy nie dotyczy to Twoich finansów. Atak jaki był na gazete jest bardzo ciezki do odparcia, gdyz ataluja Cie komputery z wielu sieci z calego swiata, tak wiec odcinanie sie od nich nie ma sensu, bo musialbys sie oddciac od wszystkiego, powiadanmienie administratorow zajeloby Ci kilka dni. Grzebanie w atakowanych pakietach jest trudne ze wzgledu na wolumen ruchu, ktory de facto wylacza Ci serwis i zabija urzadzenia itd itp. Piszac o standardzie SP2 do XP nie masz pojecia ile hostrow na swiecie stoi jeszcze na publicznych adresach z Windows-em 98 na pokladzie. I niestety to, ze przejecie ich jest banalem wynika wlasnie z niedbalstwa producenta systemu. CZyli mamy samonakrecanie biznesu, gowniany system wymusza kupowanie zabezpieczen, w ktorych najlepszy oczywiscie stara sie byc.......producent systemu itd itp. Ludzie, portal wcale nie musiał paść. Po prostu ruch wynikajacy z ataku totalnie zapchal lacza jakie posiadał portal - stad nie można było się na niego dobić. To co napisales o zrobieniu drugiej podsieci i przygotowaniu się na atak jest oczywiste, ale niesmowicie ciezkie do realizacji, gdyz wymga zaangazowania srodkow technicznych zdecydowanie wiekszych niz potrzebnych na biezace funlkcjonowanie serwisu.
Zawsze masz problem czy warto tyle inwestowac na taki jeden incydent, bo a nuz Ci sie uda.
I zupelnie inaczej sprawa sie ma, gdy masz komercyjny serwis, gdzie wszystko musisz placic ciezka kase, a zupenie inaczej, gdy masz hosting producenta systemow operacyjnych, ktory de facto dowolny sprzet moze miec za darmo, czyli w barterze za swoje produkty lub na mocy porozumien miedzyproducenckich.
Tak wiec łatwo się generalizuje i ocenia, gdy nie dotyczy to Twoich finansów.
Atak jaki był na gazete jest bardzo ciezki do odparcia, gdyz ataluja Cie komputery z wielu sieci z calego swiata, tak wiec odcinanie sie od nich nie ma sensu, bo musialbys sie oddciac od wszystkiego, powiadanmienie administratorow zajeloby Ci kilka dni. Grzebanie w atakowanych pakietach jest trudne ze wzgledu na wolumen ruchu, ktory de facto wylacza Ci serwis i zabija urzadzenia itd itp.
Piszac o standardzie SP2 do XP nie masz pojecia ile hostrow na swiecie stoi jeszcze na publicznych adresach z Windows-em 98 na pokladzie. I niestety to, ze przejecie ich jest banalem wynika wlasnie z niedbalstwa producenta systemu. CZyli mamy samonakrecanie biznesu, gowniany system wymusza kupowanie zabezpieczen, w ktorych najlepszy oczywiscie stara sie byc…….producent systemu itd itp.

]]> Przez: ptashek http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-14791 ptashek Sat, 02 Dec 2006 21:55:32 +0000 http://michal.osmenda.com/2006/12/02/co-przytrafilo-sie-gazetapl/#comment-14791 Dlaczego portal padl tak naprawde, nie dowiemy sie nigdy. To co zostalo opisane, wcale nie musi byc prawda choc wszystko wskazuje, ze faktycznie byl to atak DoS z zagranicy. Pozostaje pytanie - dlaczego padl? Co z detekcja anomalii w ruchu i filtrowaniem ich na brzegu sieci? Przeciez sa do tego narzedzia np. Cisco Anomaly Detector i Cisco Anomaly Guard (widzialem je w akcji, sprawuja sie rewelacyjnie). Oszczednosci? (bo sa to zabawki potwornie drogie). Switche nie maja tu wiele do rzeczy. Z definicji sa to urzadzenia drugiej warstwy, nie wiedzace o czyms takim jak adres IP czy flagi w pakietach. Routery tez niewiele dadza jesli nie maja wbudowanego chocby mechanizmu list kontrolnych. Zreszta szansa na to, ze pierwszy padnie dedykowany router jest nikla (choc widzialem Catalysta 6513, ktorego polozyl na lopatki pecet wysylajacy 20000 pakietow UDP na sekunde). Obrona przed atakami DoS jest prosta, ale faktycznie wymaga planowania i znajomosci swojej sieci. Polecam: http://www.securityfocus.com/infocus/1729 <a target="_blank" href="http://cisco.com/en/US/netsol/ns480/networking_solutions_white_paper0900aecd8032499e.shtml" rel="nofollow">Cisco</a> Dlaczego portal padl tak naprawde, nie dowiemy sie nigdy. To co zostalo opisane, wcale nie musi byc prawda choc wszystko wskazuje, ze faktycznie byl to atak DoS z zagranicy.

Pozostaje pytanie - dlaczego padl?
Co z detekcja anomalii w ruchu i filtrowaniem ich na brzegu sieci? Przeciez sa do tego narzedzia np. Cisco Anomaly Detector i Cisco Anomaly Guard (widzialem je w akcji, sprawuja sie rewelacyjnie). Oszczednosci? (bo sa to zabawki potwornie drogie).
Switche nie maja tu wiele do rzeczy. Z definicji sa to urzadzenia drugiej warstwy, nie wiedzace o czyms takim jak adres IP czy flagi w pakietach. Routery tez niewiele dadza jesli nie maja wbudowanego chocby mechanizmu list kontrolnych. Zreszta szansa na to, ze pierwszy padnie dedykowany router jest nikla (choc widzialem Catalysta 6513, ktorego polozyl na lopatki pecet wysylajacy 20000 pakietow UDP na sekunde).
Obrona przed atakami DoS jest prosta, ale faktycznie wymaga planowania i znajomosci swojej sieci.
Polecam:
http://www.securityfocus.com/infocus/1729
Cisco

]]>