Vlákno názorů k článku DDoS útok na servery Internet Info: pohled administrátora od ondra.novacisko.cz - Pomohlo by treba pri utoku ignorovat zadosti o...

Potvrzuji. Vzhledem k tomu, jak dobře se tato informace řadí, bude fungovat binární půlení nebo i strom. Pokud se ta data vejdou do paměti, pak složitost dotazu bude log(N), čili velmi malá. Teprve pokud by se to nevešlo do paměti, tak teprve pak to začne být složitá úloha.

Jedna IPv4 adresa = 1 bit

2^32 adres = 512 MB

V reálu lze nějaké rozsahy úplně vynechat (224 a výše), takže to už je 448MB. To se musí dneska vejít do paměti čehokoliv.

S implementaci jako bitmapa je problem v tom, ze to clovek chce idealne delat v kernelspace (ie. jako match modul pro iptables) kde alokovat spojitych 512MB neni uplne rozumny napad.

Nicmene nekde jsem videl reseni s RLE komprimovanou bitmapou, coz me az prekvapilo tim jak to bylo rychle.

Jinak pár údaju jsem si teď vytáhl z jedné služby, kterou provozuju (nebudu jmenovat). Mám bohužel jen unikátní denní přístupy za 2 měsíce, takže největší počet přístupů je tam 63.

celkem
3483 IP adres k nám chodí aspoň jednou denně
36046 IP adres aspoň obden.
295692 IP adres minimálně jednou týdně
671561 IP adres minimálně jednou měsíčně
982391 IP adres má aspoň jeden záznam

Myslím, že vzít dvojměsíční filtr a tím filtrovat DDoS útok, tak tím moc uživatelů neohrozím, ale mám vysokou šanci, že odříznu botnet.

Pokud by to nepomohlo, tak by se to dalo snížit na IP adresy chodící jednou za měsíc a kdyby o ani nepomohlo, tak se dá postupovat dál...

PS: Jedná se o velice známou službu, dat mám obrovské množství z logů, argument, že jde o nějaký lokální problém tedy neberu. Dokonce bych řekl, že bude větší než root.cz

Ještě pro štouraly. IP adres <> návštěva. Zejména protože NAT.

Kolko ich ma prave jeden zaznam? Ti by asi boli zakazani.

Vo vseobecnosti by to asi odpisalo ludi s dynamickymi IP. Napriklad najvacsi slovensky poskytovatel DSL do domacnosti (T-Com) ma na tento ucel 3 rozsahy /15 a jeden /16, pricom meni IP kazdu noc.
Ked je takych poskytovatelov viac, tak je asi skoro nemozne, aby sa ludia trafili do tych spravnych IP a boli by zakazani. To by odpisalo nezanedbatelne vela uzivatelov.

Oni nechcu, nech ludia prevadzkuju servery. Sice to nikomu v serverovani nezabrani, ale pouzivat dynamicke DNS / menit pravidelne zaznamy je otrava.

Neviem ako u vás, ale tu je DSL rozšírené tam, kde konkuruje iba mobilný signál. Všade inde mávajú ľudia radšej optiku / wifi...

>T-Com ... pricom meni IP kazdu noc
Mam DSL v domacnosti a kym nerestartujem router / spojenie, tak sa mi IPcka nemeni. Naposledy mi vydrzala pol roka. Takze ta zmena kazdu noc nebude pravidlom.

>celkem
>3483 IP adres k nám chodí aspoň jednou denně
>36046 IP adres aspoň obden.
>295692 IP adres minimálně jednou týdně

To povede jen k tomu, že se bude DDOS útok opakovat víckrát po sobě na krátký čas a pak už bude zapsaný v tabulce :-(
Spíš to filtrovat tak, že pokud to daná IP adresa zkouší déle než 5 minut tak jí odříznout na následujících N minut.

Jak jsem psal na zacatku, statistiky adres lze pocitat obcas, treba offline pres noc z logu. No a nejjednodussi co mohu udelat je, ze v den, kdy prisel DDoS, proste vypocet nespustim, takze ty falesne requesty tam nebudou.

Coz utocnik obratem zjisti a udela si klidne mesic dopredu pripravu ... necha botnet pekne "polehnouku" otukat cil => budes mit vsechny IPcka v tech povolenych.

Pokud přidám mírný paměťový overhead a jen jednu indirekci, tak to budu alokovat po 4kB blocích. Ty budou reprezentovat rozsahy /17. Zbývá mi tedy mapovat, kde ty rozsahy jsou: to je 2^17 adres stránek, na 64bitech to dává 2MB a to už se spojité najde.

Jo a k té kompresi, pokud předpokládáte mizivý provoz ze zahraničí, tak spousta těch bloků zůstane nenaalokovaná.

No, já na IPv4 adresu potřebuji 4 byty, takže bych potřeboval na všechny dohromady 16GB. Ale i to už je dneska velmi dobře dostupné.

Problém je v NATech. Pokud nechci odstřelit stovky lidí za NATem najednou, tak musím přidat i port. A to jsme zaprvé s účinností blízké nule (porty se mění) a zároveň potřebuji dalších 8GB RAM.

Tak jdeme na IPv6 a to už je jiná legrace.

Port je dynamická záležitost, s tím se nic udělat nedá.

Nevím jaké údaje chcete ukládat v mapě IP adres, když potřebujete na výdeji znát jen blokovat / pustit dál

Lidi za NATem neodstřihnete, pokud aspoň jeden uživatel chodí na Root. Jen akorát vpustíte i pár počítačů z botnetů, pokud za tím NATem budou. S tím se samozřejmě počítá, prostě úplnému oddělení botnetu od legálních uživatelů nezajistíte, tenhle systém má ale podstatnou výhodu, že spíš generuje false negative, než false positive