Dok sam bio u B92 (http://www.b92.net)je bio jedan DDOS napad kada je sajt bio neko vreme nedostupan. Za vikend je bio DDOS napad na server gde se nalaze neki sajtovi iz Rate Solutions (http://www.ratesolutions.eu) mreze pa je tako i Karike.com (http://www.karike.com) sajt bio za vikend nedostupan ukupno jedno 8 sati. Posle se ispostavilo da je glavna meta napada rumunski sajt Limpa.ro (http://www.limpa.ro), isto u Rate mrezi. Dobro je sto se stvari brzo vracaju u normalu kada je rec o posetiocima i aktivnostima na sajtu.

Ono sto me zanima je koje je vase misljenje sta je najbolja preventiva od DDOS napada i da li se oni uopste mogu spreciti ili se samo mogu sanirati posledice, brze ili sporije. Kada su tako veliki sajtovi poput Yahoo-a, Amazon-a, Ebay-a bili offline cak i par dana zbog istog problema sta da ocekuju manji sajtovi?

Ono sto je problem je sto obicno web hosting provajder kada utvrdi napad na neki sajt automatski iskljuci dati sajt sa Interneta kako bi drugi sajtovi bili online. Pretpostavljam da su mirror sajtovi jedno od resenja, nekad resenje moze biti resenje postavljanje servera u zemlju odakle je i sajt pa onda neko vreme iskljuciti dolazni saobracaj iz inostranstva. Pretpostavljam da je ipak lakse pratiti aktivnosti korisnika u okviru date zemlje.

Koje je misljenje o ovoj temi i sta mislite koliko ce biti slicnih napada na popularne sajtove? Da li ste vi imali ovakvih iskustava?

BTW. Razmisljao sam da li je tema za Web hosting ili E-business ali mislim da je ovo pre svega problem u vezi sa poslovanjem kompanija na Internetu.

ISA server ima dobre mogucnosti da stiti od odredjene vrste napada, isto tako neki hardwareski firewall-ovi mogu to odlicno da urade.

Sve zavisi od bot mreze koliko je jaka. Znam da Yahoo koristi usluge Akamai firme (citao negde po netu). Nadjite nekog dobro network admina da vam to namesti.

Znas li detalje napada?

Citao sao i hardverskim firewallovima kao jedno od resenja. Nemam detalje. Nisam ja nesto upucen previse u stvari oko ovoga, vise kao korisnik koga to malo vise zanima pa sam citao na Net-u i da vidim sta misle drugi. Takvi napadi bi se trebali sankcionisati najstrozije moguce, to se na zapadu tako i sankcionise.

To sto Dzordz rece - Akamai mi djeluje kao jedino rjesenje. Nije problem staviti HW firewall ali ako je napad toliko jak, on lako napuni konekciju od 100Mbit/s koliko imaju neki hosteri. A kad napuni link, mozes ti sve blokirati ali nece ti nista drugo proci tim linkom jer 'nema mjesta' :)

Akamai to radi tako sto pravi mirrore sajtova na razlicitim adresama i linkovima i u slucaju napada na odredjen server on preusmjerava mrezni saobracaj na druge dostupne servere. Poprilicno efikasan servis, ali vjerujem i skup.

Mislim da je najbolja zastita - prevencija, sprijecavanje konflikata i zamjeranja jer koliko sam upoznat postoje ljudi koji iznajmljuju botnet-ove i za male pare mozes nekome ugusiti server na par sati / dana.

jak data centar

Akamai to radi tako sto pravi mirrore sajtova na razlicitim adresama i linkovima i u slucaju napada na odredjen server on preusmjerava mrezni saobracaj na druge dostupne servere.

Zvuči extra... extra skupo.

Neki hostovi takve probleme rešavaju na nivou Data Centra pa otpornost na napade zavisi od otpornosti samog DCa da se odubre trash saobraćaju.

Ima jedan lep text na wiredu o tome kako je Estonija bila pobedjena od strane ruskih hakera . Znaci ne sajt , nego cela zemlja ...

Trebalo bi to procitati ...

Moze tu dosta srafova da se zavrna na samom serveru pa da se malo poboljsa situacija, ali ako neko ima dovoljno zombija sto kaze Nixa ode i Estonija :)

On two occasions to date, attackers have performed DNS Backbone DDoS Attacks on the DNS root servers. Since these machines are intended to provide service to all Internet users, these two denial of service attacks might be classified as attempts to take down the entire Internet, though it is unclear what the attackers' true motivations were. The first occurred in October 2002 and disrupted service at 9 of the 13 root servers. The second occurred in February 2007 and caused disruptions at two of the root servers.[citation needed]

Ima jedan lep text na wiredu o tome kako je Estonija bila pobedjena od strane ruskih hakera . Znaci ne sajt , nego cela zemlja ...

Trebalo bi to procitati ...

link :P ?

Link (http://www.wired.com/politics/security/magazine/15-09/ff_estonia)


Ili treci po redu kad trazis "wired estonia" na Google :D

Realno ne postoji 100 procentno resenje ali zapocetak se moze malo bolje konfigurisati server, sto jaci link i HW firewall.

Ali ako neko hoce da vas obori, uradice to ...

p.s. Akamai je extra skupo ali jedno i od najboljih resenja, bar po onome sto sam procitao do sada.

Akamai je malo komplikovan kako sam cuo, ne sumnjam da je dobar.

Kada pricamo o DDOS napadima, kakva je situacija sa IP country rangeom za Srbiju. Da li postoji definisan IP range za Srbiju a pod tim mislim koje IP adrese spadaju u domaci saobracaj a koje u inostrani. Mislim da to jos nije uradjeno skroz, a mislim da ce to biti skroz uradjeno kada posetioci sa google.com budu direktno redirektovani na google.co.yu a ne da imaju link za Go to Google Serbia. Znam da neki provajder imaju pocetnu adresu sa 195, neki sa 212 a npr. SBB sa 89. Kako mi kolege kazu, Balkan je malo specifican jer zemlje nastaju brze nego sto provajderi mogu da izadju na kraj sa tim :)

u principu se zna tacan range za Srbiju, i nije preterano tesko odbraniti se od napada spolja jer (skoro) svi provajderi idu preko telekoma, a SMIN ce tesko neko zagusiti... jedino sto pretpostavljam da ti treba neko vreme da ujuris nekog u Sagi ili Telekomu da blokira taj saobracaj na ruterima..

problem je sto to znaci da moras da hostujes server kod nas, sto em je skuplje, em znaci nerviranje sa lokalnim adminima..

@Dejan

nisi jedini, na furci se desavaju skoro svakih par dana neki napadi i destrukcije rada. Resenje je da ne spavas :)

@Nebojsa:

Moram da priznam da mi se to resenje nimalo ne svidja :)

u principu se zna tacan range za Srbiju, ...

Ne bih se bas slozio sa ovom tvrdnjom.

Vecina mojih sajtova vec godinama 'snima' IP posetilaca i belezi u MySQL osnovne podatke tipa IPrange/ISP/zemlja tako da imam dosta dobru bazu podataka do sada.

Ne bi verovao koliko se opsezi IP adresa preplicu sa drugim zemljama.

jak data centar

Tako je.
Ovo ti je (eventualno) jedina moguca odbrana.

Ja godinama administriram sopstveni server i kao admin/tech support sam radio za nekoliko firmi u USA. Vise puta sam prisustvovao napadima i u tom slucaju jedini koji nesto moze uraditi je admin u datacentru.

Sem naravno ako nisi yahoo pa imas pare da platis ono sto oni placaju.

Ne bi verovao koliko se opsezi IP adresa preplicu sa drugim zemljama.

ne kazem da se ne preplicu, kazem samo da moze da se nadje tacan spisak IP-jeva i klasa koje pripadaju Srbiji, ako znas koga da pitas. Odnosno htedoh reci da nije bas divlji zapad tipa niko ne zna sta se desava, nego to nisu javni podaci, ali ima ko zna tacno (tipa Telekom, neke firme koje rade sa njima da ih sad ne licitiram, BIA i sl..)

Ma kakav Telekom BIA i drugi.

ZNA SE ko dodeljuje IP adrese - http://www.iana.org/assignments/ipv4-address-space

Samo da dodam - to JESU javni podaci i (ako imas dobar razlog) mozes cak dobiti pristup kompletnim bazama podataka. Naravno, postoje ogranicenja sta smes a sta ne smes raditi sa tim podacima. Ja sam svojevremeno - kada mi je to bilo potrebno - imao pristup APNIC-u.

Ma kakav Telekom BIA i drugi.

ZNA SE ko dodeljuje IP adrese - http://www.iana.org/assignments/ipv4-address-space

ma, super, dok ti iz Srbije podneses zahtev iana.org potrajace, nije bas prakticno za ddos napade, zar ne?

da se vratim na pocetnu pricu, ako si provajder koji iznajmljuje telekomov link i imas ddos napad, okrenes ih i trazis da na nivou SMIN-a filtriraju saobracaj iz inostranstva ka tebi i to je to... oni imaju sve potrebne podatke da to mugu vrlo uspesno da izvedu (i koliko ih ja znam strucni su i spremni da se potrude oko toga), tako da ako su ti posetioci samo iz Srbije to moze sasvim fino da spreci napad...

Hvala Ivanhoe. Prakticno svi provajderi sem Verat-a i delimicno YUBC-a kako znam, iznajmljuju Telekomov link, zar ne? Ako to nije tacno, kod kojih ISP-ova nije moguce da se to zatrazi ono sto si ti napisao? Da li to znaci da korisnici ciji provajder ne iznajmljuje Telekomov link moguce da u tom slucaju nece imati pristup? BTW. Da li se sve ovo odnosi i na SBB?

Ne znam tacno ko preko chega ide sad, pre nekih godinu, godinu i po znam da je samo Verat imao svoj link... mada link je u ovoj prici bitan zbog dolaznog saobracaja ka tvom serveru, jer je SMIN dovoljno jak da ga je tesko zagusiti (a i ima sisteme odbrane od toga), a istovremeno je zgodno cvoriste gde mozes da preseces napad iz inostranstva relativno lako na ruterima. Posto se zna preko kojih IP-ja ide Verat (ili vec neko treci) nije neki problem da se na ruteru njima dozvoli pristup bez obzira kako oni izlaze na net..

Samo da preciziram, posto nisam bas jasno napisao u prethodnoj poruci, ti kao korisnik tesko mozes da zoves telekom direktno (sem ako znas nekog), nego u slucaju napada ti juris svoju hosting firmu/provajdera sa kojima si ti sklopio ugovor, a posto su oni zakupci telekomovog linka oni imaju sve kontakte i znaju koga dalje treba da cimaju u Telekomu. Ako su i jedni i drugi dovoljno agilni to moze vrlo brzo da se resi, ali racunam da je ovo ipak Srbija i da ce trebati par sati dok se izubedjujes sa svim "nivoima" podrske i konacno dobijes nekog ko razume sta hoces od njega. Inace, i tvom provajderu i Telekomu je apsolutno u interesu da sto brze i sto ranije u mrezi zaustave napadace jer im trose resurse, tako da tu oni ne cine neku uslugu tebi posebno, eventualo to sto nece blokirati sav saobracaj, nego samo strani...

Cenim da je vrlo bitno kad uzimas hosting da popricas sa ljudima tamo da ti "obecaju" da nece samo da ti ugase server u slucaju napada, jer je to njima naravno najlakse, nego da su spremni da se zajedno sa tobom malo potrude oko toga. Posto si relativno poznat IT lik vec ces se snaci oko toga :)

:1011:
ma, super, dok ti iz Srbije podneses zahtev iana.org potrajace, nije bas prakticno za ddos napade, zar ne?

uahahaha ... naravno NE :1011:

Pa ti i ne znas kako da proveris kome pripada neka IP adresa, zar ne ?

Pogledaj jos jednom ovaj link (http://www.iana.org/assignments/ipv4-address-space). Gde god vidis da pise 'whois', to ti je JAVNI server na kome SVAKO moze TRENUTNO proveriti kome je neka IP adresa dodeljena.

Dalje, IANA ne ucestvuje u raspodeli IP prostora vec je to reseno po geografskom kljucu - RIPE (Réseaux IP Européens) pokriva Evropu, APNIC (Asia Pacific Network Information Center) Aziju/Australiju, ARIN (American Registry for Internet Numbers) Ameriku itd. Njima se mozes obratiti ako zelis da preuzmes kompletnu bazu podataka. Za pojedinacni query, kada te zanima jedna IP adresa, uvek koristis njihov whois servis.

:1090::1090::1090:

jer je SMIN dovoljno jak da ga je tesko zagusiti (a i ima sisteme odbrane od toga)

Yeah, right.

Ja kad pricam da resavanje hostinga na ozbiljnom nivou ne moze da se radi sa par 100$ mesecno, mene proglase ludim ;)

Dakle: Ozbiljan datacentar sa izuzetno ozbiljnim HW-om i veoma ozbiljnim adminima u istom.

Za pojedinacni query, kada te zanima jedna IP adresa, uvek koristis njihov whois servis.

:1090::1090::1090:

i kako ti to pomaze da saznas preko kojih sve adresa izlaze na net ljudi iz npr. Valjeva? Ako moze mali tutorial, posto ja to zaista ne znam... (evo stavio i ja u crveno, da se lepse slaze sa tvojim textom :1094:)

@McKracken: ovde pricamo o napadu iz inostranstva na domaci server, jer u Srbiji tesko da neko ima dovoljno zombie masina na jakim linkovima da moze da pokrene ozbiljan napad na lokalnom nivou....

znaci to je specificna situacija koja moze lako da se resi po tebe kao vlasnika servera...cak i da napadac uspe da zagusi ili cak obori telekomove internacionalne linkove (sto realno ne moze da se desi zbog nadprovajdera, a i SMIN kapaciteti i oprema su veoma ozbiljni) to tebe ne pogadja jer tvoji (domaci) posetioci ne dolaze preko njega, nego dolaze iz lokala, jer svi provajderi imaju (bar alternativne) rute preko telekoma...

I da se razumemo, nije mi uospte namera da nekom solim pamet, do as you wish, samo pokusavam da Bizija uputim da postoje neke mogucnosti kojih mozda nije svestan, a koje ne zahtevaju tako puno para... ako ima para za jak datacentar samo napred to je super, ali ako nema, ipak moze nesto da se uradi, to je poenta price...

i kako ti to pomaze da saznas preko kojih sve adresa izlaze na net ljudi iz npr. Valjeva?

:1075:
To nema nikakve veze sa netacnim informacijama koje si do sada davao i na koje sam reagovao. Nije stvar u tome da li ti znas ili ne znas kako to funkcionise nego je stvar u tome da ce neko sutra zaista misliti da "se zna tacan IP range za Srbiju", da "to nisu javni podaci, ali ima ko zna tacno (tipa Telekom, neke firme koje rade sa njima da ih sad ne licitiram, BIA i sl..)", da se "zahtevi podnose iana.org" i sl.

To jednostavno nije tacno.


... samo pokusavam da Bizija uputim da postoje neke mogucnosti kojih mozda nije svestan, a koje ne zahtevaju tako puno para... ako ima para za jak datacentar samo napred to je super, ali ako nema, ipak moze nesto da se uradi, to je poenta price...

Kol'ko para - tol'ko muzike.
Napolju ima jako dobrih hosting firmi sa sasvim prihvatljivim cenama. Naravno sve zavisi od apetita i posete sajta ali ja jos nisam video domaceg provajdera ko to radi na nivou koji se na zapadu podrazumeva. Kod nasih provajdera se (nazalost) jednostavno ne isplati hostovati.

:1075:
To nema nikakve veze sa netacnim informacijama koje si do sada davao i na koje sam reagovao. Nije stvar u tome da li ti znas ili ne znas kako to funkcionise nego je stvar u tome da ce neko sutra zaista misliti da "se zna tacan IP range za Srbiju", da "to nisu javni podaci, ali ima ko zna tacno (tipa Telekom, neke firme koje rade sa njima da ih sad ne licitiram, BIA i sl..)", da se "zahtevi podnose iana.org" i sl.

To jednostavno nije tacno.


napisah sad ogroman post, ali u bluesovom stilu sam zakljucio da nema leba od toga, posto je ionako opste poznato da sam glup, ruzan, imam mali ku*** i sirim lazi & neistine, pa cu tako da budem vrlo zen i koncizan...:1014:


CINJENICA 0: za IANA-u sam se zeznuo, ziva istina,a i to je vrlo bitan podatak za ddos pricu.. siguran sam da RIPE odgovara na zahteve mogo brze od IANA-e, tak da ne brinite ljudi, kad vas ddos-uju samo pisite njima :)

CINJENICA 1: IP range Srbije je (naravno) tacno poznat i organizacije u Srbiji kojima to treba imaju te podatke vrlo azurne.

CINJENICA 2: IP range Srbije ne mozes tek tako da nadjes negde, moras da ga iskopas i to ako ti dozvole pristup, ili ako kupis postojecu bazu. A ako moras da pises zahtev da ti odobre pristup necemu (mislim na ripe.net), ili ako moras da platis za neke podatke (sve azurne geo-targeting baze se placaju), to onda, bar po meni, nisu javno dostupni podaci, jebem li ga?! Meni mozda moja komsinica Mara dozvoli da saznam koje joj je boje vesh (ako je pitam bas, bas lepo:) ), ali to tesko da je javni podatak (a opet mozda i jeste, ko bi ga znao... sumnjiva mi je ta komsinica mnogo :) )

I cisto za kraj, NHF.....odustao bih ja od ove rasprave jos ranije nego mi dosadno na poslu :1094:

CINJENICA 0: za IANA-u sam se zeznuo, ziva istina,a i to je vrlo bitan podatak za ddos pricu.. siguran sam da RIPE odgovara na zahteve mogo brze od IANA-e, tak da ne brinite ljudi, kad vas ddos-uju samo pisite njima :)

Da si ikada koristio RIPE, znao bi da se njima ne pise nego se koristi njihov online form za pretrazivanje baze podataka - http://ripe.net/whois.

CINJENICA 2: IP range Srbije ne mozes tek tako da nadjes negde, moras da ga iskopas i to ako ti dozvole pristup, ili ako kupis postojecu bazu. A ako moras da pises zahtev da ti odobre pristup necemu (mislim na ripe.net), ili ako moras da platis za neke podatke (sve azurne geo-targeting baze se placaju), to onda, bar po meni, nisu javno dostupni podaci, jebem li ga?! Meni mozda moja komsinica Mara dozvoli da saznam koje joj je boje vesh (ako je pitam bas, bas lepo:) ), ali to tesko da je javni podatak (a opet mozda i jeste, ko bi ga znao... sumnjiva mi je ta komsinica mnogo :) )

Drago mi je za Maru, ali na RIPE to izgleda ovako:

While the information in the RIPE Database is made freely available to the public for Internet operational purposes, it is subject to copyright restrictions. >> ceo tekst (http://ripe.net/ripe/docs/ripe-419.html#intro)

RIPE Database Copyright (http://www.ripe.net/db/copyright.html) kaze:

Except for agreed Internet operational purposes, no part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or by any means, electronic, mechanical, recording, or otherwise, without prior permission of the RIPE NCC on behalf of the copyright holders. Any use of this material to target advertising or similar activities is explicitly forbidden and may be prosecuted.

Poruci Mari da je RIPE baza podataka ipak javno dostupna (freely available) te svako moze da proveri kome pripada neka IP adresa. A za Marine gace ... to zaista ne znam.

hmm... i kako cemo sad da Mara i ja pomocu njihovog Whois servera dodjemo do IP Range-a Srbije ? :)

elem, odustajem, ja pricam jedno, ti nesto sasvim drugo... ja govorim da IP range Srbije nije javno dostupan (u smislu da nema lakog nacina da ga saznas, sem da ti daju whois bazu ili da kupis podatak od nekoga), a ti uporno objasnjavas za whois search za pojedinacni IP da je slobodan, sto niko i ne spori... odoh da spavam...:1014:

I ako mogu admini pls. da prebace ovo u Web hosting, posto je ovo cisto administratorska prica.. mislim da tamo bolje pashe nego u e-biznis

done

Pozdrav svima s obizrom da pisem prvi post.

Kao neko sa godinom iskustva iza sebe u odrzavanju nekoliko servera i vise godina iskustva sa razlicitim hosting provajderima (govorim o insotranstvu) jak data centar je i po mom misljenju jedino resenje a koje ne iziskuje konstanto nadgledanje/intervenisanje (ne spavanje).