Вебпланета - Александр Гостев: "Ботнет может жить годами" - Comments

всмысле?

useraaaaa — Fri, 22 Apr 2011 19:35:52 +0400

всмысле? Александр Гостев это тоже Он? (боксер убийца?)

эй Леха напиши

useraaaaa — Fri, 22 Apr 2011 19:29:26 +0400

эй Леха
напиши чево нибудь эпохальново про свежий нофоллов в ЖЖ.
это ж как мощно должна обрушиццо статистика и реклама.
ужас навроде того "павловсково обмена 50-100рублевок".

тоесть это была

useraaaaa — Wed, 20 Apr 2011 02:22:28 +0400

тоесть это была не "досс аттака".
они просто методично втыкали вот то nofollow во все посты.

Я знаю про

l_e_x_a — Fri, 15 Apr 2011 17:14:03 +0400

Я знаю про перенаправление трафика. Просто в данном случае не стал разжевывать, как именно делается фильтрация. В любом случае это метод "на атакуемой стороне". Остальное уже детали.

Лёха, в твоей

Гость — Fri, 15 Apr 2011 15:36:02 +0400

Лёха, в твоей статье не хватает того, что ниже написано Анатолием Кудриным.

"С другой стороны, есть системы защиты от DDoS ... ... кроме наблюдения за ним."

Впиши сюда, можно ещё перенаправить траффик на более большой канал и стараться фильтровать данные полученные на основе анализа ботнета(не затрагивая магистрали и провайдеров)

Сорри, я

Гость — Fri, 15 Apr 2011 15:30:22 +0400

Сорри, я перепутал два типа атак. Но суть в одном. В одной атаке юзается узявимость приводящая к отказу сервера. В другой забивание канала любыми пакетами, но сервер работает и справляется.

>При атаках, направленных на перегрузку канала, обычно находится компания-защитник, с каналом, который позволяет выдержать поток запросов от ботов

Ну вот это мне и надо было услышать. Значит каперы просто перенаправляют через свой канал этим антиддосом.

>ДДоС атака -

roof — Fri, 15 Apr 2011 11:10:20 +0400

>ДДоС атака - это не дос атака, - не атака в обслуживании, а забивание канала пакетами чуть больше чем дойуха

DoS - Denial of Service. DDoS - Distributed Denial of Service. То есть, ддос от просто доса отличается только распределенностью атакующих машин. Отказ в обслуживании при ДДоС так же, как и при ДоС может быть вызван не только забиванием канала, но и забиванием любого другого боттлнека атакуемого сервера (память, проц, система хранения данных и пр.) При атаках, направленных на перегрузку канала, обычно находится компания-защитник, с каналом, который позволяет выдержать поток запросов от ботов, DNS-запись атакуемого сервера перенаправляется на сервер компании-защитника, который фильтрует поток запросов, отдавая атакуемому серверу отфильтрованный поток. Методы фильтрации подбираются по параметрам атаки. Как правило, этого уже достаточно, чтобы атакуемый сервер стал доступен. Доступ к оборудованию провайдера (или вообще способность провайдера справиться с такой атакой) тут не нужен. Если атака направлена на другой боттлнек, то проще этот боттлнек расширить.

(1) Полицейский -

l_e_x_a — Fri, 15 Apr 2011 00:14:45 +0400

(1) Полицейский - это госслужащий, то есть специально нанятый человек для защиты. Касперский - не госслужащий. У него нет зарплаты на то, чтобы защищать всех желающих.

(2) Идея о том, чтобы захватить и центр управления и продавать за деньги команду stop - она конечно красивая, но одноразовая. Запалят быстро.

(3) У Анонимусов я свечку не держал. Но в целом да, существует еще LOIC. Впрочем, я подозреваю, что в этих историях LOIC играет роль не основного оружия, а своего рода "анти-радара".

Ой флужу, и

Гость — Thu, 14 Apr 2011 21:57:44 +0400

Ой флужу, и опять не договорил:

>Когда тебя ддосит толпа гопников, а мимо идет господин полицейский и предлагает помощь за 150 тыс рублей это нормально?

Я имел ввиду, это можно помощью назвать? Или это продажа услуг по охране твоей задницы?

Ой,

Гость — Thu, 14 Apr 2011 21:56:28 +0400

Ой, недоговорил:

Но более всего порадовали они читателей сообщением о том, что "буквально через 10 минут после этого позвонили из Лаборатории Касперского" - сообщили об атаке, а затем предложили помощь.

Они предложили не помощь, а свой продукт. Когда тебя ддосит толпа гопников, а мимо идет господин полицейский и предлагает помощь за 150 тыс рублей это нормально?

Лёха, ещё раз

Гость — Thu, 14 Apr 2011 21:51:21 +0400

Лёха, ещё раз повторюсь. ДДоС атака - это не дос атака, - не атака в обслуживании, а забивание канала пакетами чуть больше чем дойуха. Ты можешь перебанить и переблочить весь ботнет, но пакеты будут идти.

Тут существуют два решения проблемы:
1) фильтр/фаер, НО! он должен стоять на уровне провайдера или магистрали.
2) разведать командную систему и посылать команду "stop" до тех пор, пока не смогут обезвредить ботнет.

Первый вариант на локальном компе при дос прокатит(ещё можно защититься), при ддосе нет. Нужно блокировать пакеты, чтобы они не забивали канал. (Ну, если только они анально оккупировали магистрали и рулят там пакетами)
Можно конечно запасной сервер сделать, но его тоже положат.

Второй вариант очень хороший, но я не готов выкладывать 0.5-1 млн за команду. И вообще, получается они подадут команду - не ддосить ng, а как же ЖЖ, которые не купили антиддос? Ради него не стоит вводить команду, пусть дальше ддосят. (жж и нг привел образно)

Если вы не согласны, почему анонимусы заддосили недавно визу и мастеркард? У них наверное небыло антиддоса.. Ах нет, ддосил наверное не троян, некому было послать команду "stop"

Кажется, мы

designer — Thu, 14 Apr 2011 18:50:48 +0400

Кажется, мы знаем этих ребят
http://www.webplanet.ru/interview/security/2008/03/04/stopddos.html

Это реклама,

Гость — Thu, 14 Apr 2011 18:34:21 +0400

Это реклама, видимо. Т.к. "анти-ддос" сайт, который рекомендуется, ложится под loadimpact уже на 50 юзверях.

> Я уверен, что у

designer — Thu, 14 Apr 2011 17:52:32 +0400

> Я уверен, что у Лехи было еще несколько крутых вопросов

Вы правы, неизвестный друг! Мне удалось выкрасть из редакции Вебпланеты полный текст интервью, до того как по нему прошлась цензура Испанской Инквизиции. Вот вопросы и ответы, которые были безжалостно вымараны кровавыми псами режима:

АНДРЕЕВ: Правда ли, что это вы завалили Навального, поваляли в отвалах и посоветовали свалить?

ГОСТЕВ: Нет. Но видел бы ты, как мы хохотали, когда наблюдали за этим!

АНДРЕЕВ: А как вы относитесь к Светлане Уебановой... ну то есть, как ее там...

ГОСТЕВ: Да, именно так и относимся.

АНДРЕЕВ: Ладно, давай лучше про ботнеты. Ты говоришь что центры управления переехали в Прибалтику. Это очень интересно. Раньше все кричали, что "Кремль атакует эстонские сайты". А теперь выходит, все наоборот? Валят из Прибалтики кремлевскую жежешечку?

ГОСТЕВ: Да с этими прибалтами вообще хрен поймешь, за кого они. Но может, поэтому они ничего серьезного и не могут сделать в Интернете. Знаешь анекдот про эстонский DDoS? Ползет по сети запрос. На эстонском маршрутизаторе к нему цепляется вирус и спрашивает:

- До Талллина даллеко?
- Нэт, нэ далллеко...

Через час вирус спрашивает:

- Еще далллеко?
- Да, тэперь далллеко...

Пристыдили!

zlata — Thu, 14 Apr 2011 17:29:49 +0400

Пристыдили!

Ничего, нам

Гость — Thu, 14 Apr 2011 16:40:47 +0400

Ничего, нам нравится читать вас на "Часкоре" и "Слоне" :)
Пишите еще.

ГЫ, Леха

Гость — Thu, 14 Apr 2011 15:54:38 +0400

ГЫ, Леха виртуала спалил )

Насчет

zlata — Thu, 14 Apr 2011 15:46:02 +0400

Насчет затыкания дыр не соглашусь, а вот по поводу "не сделал" Вы правы. И этот кто-то - я.

Не знаю, чего

Лиска — Thu, 14 Apr 2011 15:19:17 +0400

Не знаю, чего все так раскричались. Атаки супер пупер, нельзя защитить. Брехня когда хотят защищают. Когда у нас были проблемы мы обращались в ДДОС ЗАЩИТА http://ddos-protection.ru/ защитили. И мы не ныли и не кричали на каждом углу помогите. Если есть проблемы ущут тех кто их решает, а не тех кто пиарит.

Шутки

Гость — Thu, 14 Apr 2011 15:18:41 +0400

Шутки шутите?

Выглядит как затыкание дыры, может кто-то обещавший статью ее не сделал.

Я уверен, что у

Гость — Thu, 14 Apr 2011 14:58:13 +0400

Я уверен, что у Лехи было еще несколько крутых вопросов, но ему позвонили Враги Навального (tm) и потребовали убрать! Пиздец, нигде уже не скрыться от Испанской Инквизиции!

Это все

Гость — Thu, 14 Apr 2011 14:33:33 +0400

Это все интервью, 4 вопроса?
Текст не обрезался?

Александр Гостев: "Ботнет может жить годами"

l_e_x_a — Fri, 15 Apr 2011 19:13:40 +0400

Почему трудно остановить DDoS-атаку и где прячутся центры управления ботнетов, рассказывает эксперт "Лаборатории Касперского".