Ke spoofingu - predpokladam, ze bezny zakaznik bezneho ISP prakticky neni schopen zmenit svoji adresu (resp odeslat takovy packet siti ISP). Natoz na ji zmenit na IP adresu, ktera ani neni z rozsahu daneho ISP.
Nebo na antispoof pravidla vetsina ISP kasle? IMHO i kdyz je ISP jedno, ze mu zakaznik obejde accounting (podle IP) mel by si dat pozor, aby ven z jeho site nechodilo co nema.
No u nas na antispoof ci nejaky IP accounting nebo logovani u ADSL linek kasleme zvysoka. Nevyplati se to. U hostovanych serveru pocitame trafik podle portu a nikoliv podle IP, takze tam predpokladam antispoof pravidla asi taky nebudeme pouzivat.
My jsme tranzitni uzel, takze z nasi site ven muze chodit cokoliv a nema cenu to filtrovat, protoze to snizuje propustnost a zvysuje administrativni naklady. Mame snad jen par filtru na vstupu. Je to ale asi 5 let co jsem se o tohle detailneji zajimal.
Pro vetsinu aplikaci se nejaka security vubec nevyplati implementovat. Rozhodne ne pro dedicated server hosting. Je vec zakaznika, kdyz si chce nastavit firewall, tak at si to tam u sebe nastavi. Kdyz dela bordel tim, ze si zmeni IP adresu na nejakou co neni jeho a pak to nekomu jinymu nejde tak az se na to prijde tak se mu posle mail at si to opravi. V pripade ze ne, tak ho vykopnem.
ISP to neni zadnej hightech. To se dnes dela uz v podstate za naklady (tedy zadarmo). Proc investovat penize nekam kde nemaji navratnost?
ISP, které znám, řeší spoofing na hraničních routerech pomocí reverse-path filtru. Takže adresu změnit může, ale jenom na adresu z rozsahu onoho routeru. Silnější pravidla se nepoužívají, protože přidaná hodnota se rozhodně nevyrovná nákladům.
Accounting se řeší počítáním provozu na jednotlivých portech a IP adresy se při tom nijak nekontrolují.
No, nemyslím si, že je obrana tak jednoduchá. Útočník může vždy spoofovat zdrojové IP adresy a vzhledem k mizivému používání BCP38 se mu to pravděpodobně bude dařit. Jako hlavní problém takového útoku bych považoval vysokou diverzitu prostředí a nutnost "zahlcení" linky na tak dlouhou dobu, aby došlo k přerušení BGP linky. Podle mě je o fous zajímavější na přečtení ten paper od pánů Zhanga, Maoa a Wanga.
Ten původní článek to popisuje.
Jestli ho dobře chápu, pak se nesnaží přímo ovlivnit spojení směrovacího protokolu mezi BGP peery, ale pomocí krátkodobých špiček zahltit routery tak, aby se ztratila část TCP segmentů a došlo k rozpadu spojení.
Když to dobře rozvrhnou, trefí se do backoff algoritmu u TCP a koncové uzly můžou vyhodnotit po nějakém timeoutu, že spojení je "mrtvé". V tu chvíli nastupují korekční mechanismy BGP.
Důležité je, že pokud budou směrovače nastavovat nejvyšší třídu QoS pro BGP spojení, ukládat do front podle tříd priority a uměle snižovat prioritu ostatního provozu tak, aby v této třídě nebyl, tak by útok neměl mít příliš šance na úspěch (bohužel to asi nedělají...).
Druhou věcí je ten Graceful restart timer, který by měl pomoct.
Třetím hlediskem, zmíněným v článku na rootu je problém "v laboratoři" vs. "v reálném světě". Celý útok musí být dobře časován. V původním článku je v grafech max. doba "špičky" (burst) do cca 500 ms. Bude obtížné zajistit, aby TCP segmenty z jednotlivých uzlů botnetu dorazily +/- 250 ms přes všemožné "běžné" směrovače na BGP router v rámci oné plánované špičky a netrefily se do "mezery" (u toho grafu 600 ms). Velká část toho článku popisuje, jak toho dosáhnout, ale bude to dost složité.
BTW, v článku je odkaz na starší článek, má někdo odkaz na ten současný?
Presne tak, dnesni slusne aktivni prvky na pateri maji QoS a implicitne v nem 5% s nejvyssi prioritou pro tuto komunikaci .. tech 5% staci. Takze jakykoli jiny provoz nemuze zahltit cele pasmo. Urcite je tomu tak na Juniper (coz je mimochodem vetsina core patere v USA). Jestli tohle ma vsude implicitne i Cisco to nevim.
Ne, to je něco jiného. Šlo o následující:
http://www.lupa.cz/clanky/maly-cesky-isp-zpusobil-svetovy-kolaps/
Útok na BGP stejně jako to co zmiňujete má opravdu stejnou příčinu. Špatně nastavený směrovač. Vždyť i v původním článku upozorňujícím na tento problém autoři zmiňují, že základním nastavením QoS se takový útok odvrátí (a to nezmiňují ani control plane policing, filtrování, a samozřejmě monitoring).
Nejsem si jistý do jaké míry je to "překvapující" zjištění, že lze špatně nastavené zařízení "sundat" si umí představit každý script kidie.
Myslím, že o něco lepší analýza toho, co se skutečně stalo je:
http://www.lupa.cz/clanky/proc-a-zda-supronet-shodil-internet/
(Vím, že odkazuju sám na sebe, ale ten bashing té malé firmičky byl poněkud mimo mísu...)
Ano, pánové, to je přesně to co jsem myslel.
Osobně předpokládám, že hlavní důvod PROČ Internet vesměs funguje je ta, že se na páteřní síť prostě neútočí. Script kiddies to bez internetu nevydrží o nic déle než úbergeek.
A armády?
Hlavní velitelé jsou vesměs stará škola, sice možná dovolí hackerům zaútočit, ale určitě se nebudou na tyhle ,,vědátory" spoléhat a raději důležité místo vybombardují.
Tím nechci tvrdit, že není potřeba páteřní síťové prvky hlídat.
> Osobně předpokládám, že hlavní důvod PROČ Internet vesměs funguje je ta, že se na páteřní síť prostě neútočí.
Tady si dovolím nesouhlasit. Již byly zaznamenány útoky například na kořenové DNS servery. Nechci nutně vyvozovat spojitost mezi root DNS a páteřní sítí, ale odstavením kořenových DNS serverů by internet taky moc nefungoval.
Spíš je to v odlišnosti architektury - DNS je hierarchické, BGP není a tak se na něj útočí mnohem hůř (na druhou stranu, takový dobře poslaný nefiltrovaný UPDATE dokáže udělat moc pěkné věci :).
Trosku mimo tema, ale dalo by se jeste teoretizovat o tom, jak velka by to vlastne byla skoda, jak by se dotklo nas normalnich smrtelniku a jak dlouho by trvalo dat to do poradku.
Sam za sebe muzu rict, ze bych mel klid od emailu, ale to bych si nepomohl, protoze by mi vic lidi volalo (fungovaly by vubec mobily?). Ale ja bych jim stejne nepomohl, protoze bych se k nim stejne po internetu nedostal.
neda mi nespomenut nedavny experiment s BGP v RIPE labs a jeho dopad:
https://labs.ripe.net/Members/erik/ripe-ncc-and-duke-university-bgp-experiment/
Ja bych ty botnety neprecenoval. Na nas delali utoky uz nekolikrat a nikdy ten traffik nesel pres 1 GBit.
Kdyz si vezmeme ze bot na ADSL ma realnou upload rychlost tak 400 kbit. Kolik takovych botu musi mit aby uspesne zahltil nas peering uzel co ma 45 Gbit a obvykle podle denni doby ma 20-5 Gbit volne kapacity?
A to se jedna jen o JEDEN maly router, kterych jsou po svete statisice. Shrnuto: je to nerealne.
je na čase, aby někdo přinutil M$ opustit svou politiku "jen si to pirátěte, my z vás ty prachy stejně vytřískáme jinak"; s úbytkem nelegálních kopií widlí by botnety snad trochu ztratily dech
vláda USA to asi ale nebude, pokud nemají botnet vyrobenej na zakázku i z necracknutejch a nezavirovanejch widlí přímo od M$
Botnety nejsou jenom na win. Např. zde zmiňované botnety tvořené linuxovými routery s nezměněným továrním nastavením.
Zajímalo by mě, co by pan Surý říkal, kdyby mu někdo vyprávěl o Stuxnet útoku ještě před jeho provedením.
Třeba:
"To by někdo musel znát neznámé díry ve Windows, umět podepsat ovladače, umět pracovat s PCB softwarem a kdo ví co ještě. V zásadě příliš nevěřím tomu, že by někdo ten útok realizoval". Podle Surého tak jde spíše o akademické cvičení.
Mě pan Surý přijde jako kompetentní člověk.
Jeho článek se mi líbil, pan Surý jistě odborností předčí 4 z 5 správců sítě.
Obecně neuznávám názory lidí, kteří nemají dost znalostí v dané problematice. Často mi připadají dětské. Pan Surý je ale odborník, nemusí mít pravdu a i tak bude jeho názor stát za uvážení. Pravdu je potřeba hledat, dle mého názoru svým tvrzením pouze zdůraznil náročnost realizace tohoto problému.
BOT NET se dá i poměrně snadno ukrást!
Experimentálně se to povedlo ověřit ovládnutím cca 5000 zombie.
Postup je poměrně triviální.
1) ovládnutí jednoho bota
- získat ,,klienta" botnetu (VIRUS)
- odposlech komunikace, například IRC
- naučit se klienta používat
2) odstavení původního majitele
- vhodný typ útoku na IRC server (nemusí vždy jít jen o útok typu MITM)
Obecně mi nepřipadá něco špatného na tom, někomu ukrást botnet. A pokud po dokončení Vaší práce ještě počítače odvirujete, přijde mi to výhodné pro vás i skutečného majitele zombie. Přirovnal bych to k ukradenému kolečku.
Pokud chytnete dva osmahlíky, jak někomu ukradli kolečko, přeperete je, na kolečku si odtaháte svůj hnůj, umejete ho a vrátíte majiteli, vlastně jste udělali dobrý skutek.
Okrem toho, URL riadiaceho IRC servera nie je nejaka konstanta zapisana do stringu. Generuje sa z datumu a inych cinitelov. Bezne z generatora vypadne 60 URL, ktore zombie skusa kontaktovat. Denne updaty kodu su samozrejmostou. Takze ani utok na centralny bod nie je ucinny.
Domeny si majitel registruje z kradnutych kreditiek, takze je velmi tazko vystopovatelny.
To už takhle nějaká bezpečnostní firma řešila: dilema, jestli lidem po ovládnutí botnetu vzdáleně odvirovat počitače, nebo ne. Neudělali to, ovládání cizího počítače bez dovolení majitele je totiž podle zákonů USA ilegální. Takže někdo by je teoreticky mohl zažalovat, že on vir chtěl a oni mu ho zničili a neměli právo mu do počítače lézt a něco takového dělat.
Tak snadné to není. Většina současných botnetů komunikuje šifrovaně, aby se to nedalo odhalit třeba analýzou provozu na routeru. Často se využívá ovládnutí jiné aplikace (Internet Explorer a služba Sdílení souborů jsou pro tohle velmi oblíbené, ale celkem snadno lze ovládnout třeba i Firefox, Skype, Outlook, Thunderbird, ICQ, Mirandu, Pidgin nebo cokoliv jiného, co umí plug-iny a má povolenou odchozí komunikaci), aby se obešel možný lokální firewall. Komunikuje se na běžných portech a protokolech, aby se obešel firewall na routeru. Občas se podaří sem tam nějaký ten botnet odhalit a rozbít, ale rozhodně to není jednoduchá práce.
Odvirovat cizí počítač nesmíte stejně jako nesmíte vyměnit prasklou žárovku v cizím autě (abyste to mohl udělat, musíte vlézt dovnitř a to legální rozhodně není). Je velmi problematické nějak legálně kontaktovat majitele zavirovaného počítače, protože onen backdoor uživatelům zprávy většinou nedoručuje. Proto naprostá většina útoků na botnety pouze vyřadí centrální server a případně kontaktuje jejich ISP s IP adresou oběti.
Inu zdá se tedy, že doba pokročila.
Autoři botnetů se evidentně nechtějí o své ,,mazlíky" přicházet.
Ad legálnost odvirování cizích počítačů.
Pánové, jsou zákony a zákony.
Příklad:
Deviant dostane za řadu brutálních znásilnění 5 resp. ,,efektivně" 3 roky.
Blbec za nakopírování několika tisícikorun 9 let.
- politik se zákony neřídí
- verbež se zákony neřídí
Tak proč já bych se měl zákony řídit?
Protože jsem slušný člověk?
Pánové, slušnost nemá znamenat blbost!
Ten kdo je slušný ze sebe nemusí hned dělat blba a řídit se tím, co mu kdejaký PAROUBEK nakáže! Přestavte si, že by nějaký demokraticky zvolený debil rozhodoval o tom, jak bude vypadat adresování počítačů?
Dokážete si představit, jak by vypadal návrh procesoru schválený naší vládou?
Proto od jisté doby JISTÉ zákony prostě ignoruji.
Můžete být slušný člověk, přesto že se neřídíte zákony stáda.
Každý si může vybrat, jestli bude pastýř nebo kráva, já kravám nebudu brát jejich úděl. Stejně jako mi snad krávy nebudou brát můj úděl pastýře.
Ano, je možné, že mě časem nějaký pomáhajícíachránící důkladně vykastrovaný vůl nabere na rohy, ale je to pro mě přijatelnější, než být kráva a nechat se dojit.
Proto mi to připadá jako věc pouze mého osobního rozhodnutí.
Ostatně napsat jednoduchou ,,POPUP" aplikaci s oknem ,,přejete si mít počítač zavirovaný ANO - NE" není problém a zcela to vyřeší moje morální dilema. Ad právní problém: Pastýř musí být VŽDY chytřejší než jeho krávy, když je pastýř vůl, tak není pastýř.
Jde o vaše svědomí, to by mělo být čisté.
Osobně zastávám ideály rytířskosti.
Když nabouráte, zastavím a půjdu Vám pomoct. Když Vás napadnou osmahlíci/skini/feťáci z Antifa/soused, poběžím Vám pomoct. Když mě nedávno u krámu požádala žena o almužnu, dal jsem jí poslední dvě stovky, i když jsem pak nemohl jít na oběd.
Ale nechtějte po mě, abych se choval jako kráva nebo se řídil zákony krav a stáda.
Podle www.zvedavec.org je toto naopak zcela jasný :D
bgp je strasny smeti na siti :) kazdej hned vi co s cim bgpckuje a jakou mu to ze next router mac a i ip rekne ... a nejen bgp ale i rip :) rip je jeste divocejsi. Tyhle pakety jsou vec a hned kazdej na siti vi ze je router disconnected pac kolem sebe hazi same rip a bgp a solidication msg... staci mu predhodit odpoved a hned se chytne :) a nejvic je snmp managovani .. nekolikanasobne predhazovani snmp public listu jistojiste router odpravi do kremikoveho nebe. :)