Vlákno názorů k článku
Českým bankám nefungují weby a služby, útoky DDoS přicházejí ze zahraničí
od Petr Soukup - Zajímalo by mě, proč se v takových případech...
-
Zajímalo by mě, proč se v takových případech dočasně nepustí firewall který by blokoval provoz ze všech IP adres mimo ČR. Když je útok ze zahraničí, problém by to vyřešilo.
Rozsahy českých IP adres jsou známé, takže v čem je problém?Ten firewall může být nachystaný předem, stačí jej zapnout.
30. 8. 2023, 12:32 editováno autorem komentáře
-
DannyStříbrný podporovatelTen utok beha i z ceskych IP :-) Sice statisticky vzato je to jeho mala cast, ale par provideru, kterym ruske penize nesmrdi se i u nas najde.
-
DannyStříbrný podporovatel
Muzu rict jen to, ze jsme par konkretnich adres prokazatelne spojenych s tim konkretnim ruskym svabem identifikovali, poskytovatele sluzby primo kontaktovali... a ten se ani nenamahal ani odpovedet - a pokud je me znamo, stejne kaslal i na narodni CSIRT... :-) A utoky samozrejme vesele pokracovaly dal...
-
DannyStříbrný podporovatel
Pri trose snahy jde zablokovat vsechy utocici IP a nemusim se u toho zabyvat otazkou, ze ktere zeme to prislo. Tim vyresim svuj vlastni problem. Ale zitra se v tom vykoupe nekdo jiny, protoze bude nucen celou su tu analyzu udelat sam...
-
DannyStříbrný podporovatel
Ja psal vsechny utocici IP, ne vsechny IP... :-) Ne, utoky toho ruskeho svaba nejsou zadne sdilene NATy... to vim naprosto presne..... jo, a nevolal nikdo.
-
DannyStříbrný podporovatel
Tak pokud ty adresy nepatri poskytovateli rezidencnich sluzeb, ale treba nejakemu poskytovateli hostingu, tak to jde urcit s pomerne velkou mirou jistoty... :-) Ono i tuhle analytiku jde zautomatizovat a korelovat informace o utocicich adresach z ruznych zdroju... a tady se bavime o jednom ruskem jelimanovi, ktereho pravedpodobne sponzoruje vlada a ktery za tu analyzu proste stal, to neni fakt nejaky nudny tuctovy utok koupeny na darknetu...
-
DannyStříbrný podporovatel
Tech serveru neni par... a tech zdrojovych kmenovych prefixu je po zagregovani asi 135 v granularite /21 - /24. Na sdileni detailu kaslu stejne jako NUKIB kasle na nas, co s tim musime bojovat. Lidem, kterym verim v tom smyslu, ze me nekdy taky pomuzou ten seznam rad poskytnu, ale motivace pomahat nekomu okolo je limitne se blizici nule.. takze pokud me znate a dokazete neco reciprocne nabidnout, napiste si mi naprimo, kontakt na me dohledat jde :-) A pokud jste anonymni rypal, trhnete si nohou :P
-
DannyStříbrný podporovatel
Jasne, nemame nic a proto uz par tydnu ten jeden konkretni rusky svab v nasi infrastrukture moc zabavy neuzije.
NUKIB si dela obratem PR kolem toho, jak magicky spolupracuji a "pry" pomahaji branit zemi... to jste si nevsim? ;-)
-
DannyStříbrný podporovatel
Jasne, kdyz hori... tak se rychle hasi prusvih :-) A tim dokazujeme, jak skvele to funguje. Ale tady se bavime o problemu, ktery nevzniknul az vcera a do jiste miry mu jde predchazet. A to selhalo proto, ze komunikace v pripade preventivnich opatreni realne proste nefunguje. A ten rusky svab si z nas pak akorat dela srandu. Ale klidne si dal nalhavejte, ze to u nas funguje skvele ;-)
-
ono to je ale živé, jednotlivé IP adresy se zapojují postupně a někdy pošlou jen pár požadavků a pak jsou ticho.
Ručně to blokovat vlastně není vůbec žádná sranda, ona i kapacita pro block list není nekonečná, blokováním zároveň ztratím informace o tom, jestli útok již přestal a někdy to může trvat daleko více času než to řešit jinak.
-
Treba i rucne? Pred x lety jsem mel pristup do IDS v dobe ddosu a tech IP adres tam bylo asi 300tis z ruznych casti sveta. Z CR tam bylo asi 8000 IP od ruznych poskytovatelu (asi 200 ruznycch rozsahu). Jak tohle chcete blokovat rucne? Nahazet tech xxx rozsahu do blocklistu rucne? Nebo tech xxtis adres? Jako utocnik jsem ve vyhode, tech infikovanych stroju ktere si mohu pronajmout v CR je treba dnes na jednom nejmenovanem trzisti 230tis a za $500 je mam na mesic k dispozici.
-
Mnohem lepší dělat problémy 1% zákazníků, co mají špatně lokaci své ip adresy než 100% jako dnes dopoledne. Další 1% zákazníků může být v zahraničí, část lidí má ale k dispozici VPN kvůli blokování české televize, přístupu k do firemní sítě a podobně.
Pokud se připojíte na internet v roamingu, tak máte také českou ip adresu. Funguje tam něco jako VPN.A těch pár útočících adres z ČR se dá už pochytat ručně.
-
Tady zjevne nekdo vubec netusi. Nebavime se tu o zadnem 1%, ale spis tak 50%. A nic neni spatne, IP adresa nikdy nerikala nic o lokalite.
Jeste vetsi blabol je ten zbytek, tusis ty vubec jak funguje ddos? Kdyz otevru v browseru root, a semnou to udela dalsich milion klientu, tak pujde srv do kolen. A nikdo z nas nedela nic spatneho. Na ddos se ostatne vzdy vymlouvaji provozovatele online games, kdyz spusti hru a hraci chteji hrat.
-
To akoze podla vas 50% platieb chodi zo zahranicia?
IP adresy sa daju velmi presne priradit k statu z ktoreho su pretoze ich vlastnia nejake firmy a routovacie tabulky su robene cez rozsahy takze sa to VELMI efektivne blokovat.
A presne to by napriklad mal mat stat vyriesene. Kriticka infrastruktura, napr. banky a ich IP adresy a proste nejakym 'kliknutim' odstavit zahranicny trafic pre danu sluzbu. Potom mozete postupne povolovat zahranicne IP ktore vidite ze su OK. Tych miest ktorymi ide trafika napr. do ciech asi napocitane na prstoch 2 ruk. -
Filip JirsákStříbrný podporovatelIP adresy sa daju velmi presne priradit k statu z ktoreho su pretoze ich vlastnia nejake firmy
Ne, nedají. Geolokace IP adres je složitá, nabízejí to různé firmy jako placenou službu a čím správnější chcete mít informace, tím je to dražší – přičemž nikdo vám nezaručí, že ty informace budou správně 100%. Např. spousta českých zákazníků UPC měla jednu dobu IP adresy snad z Holandska – protože tam sídlila mateřská firma UPC.routovacie tabulky su robene cez rozsahy takze sa to VELMI efektivne blokovat.
Routovací tabulky jsou dělané přes sítě, tj. IP adresa / maska. A tím, jak je nedostatek IPv4 adres, jsou dnes hrozně fragmentované, protože se vezme kus sítě, převede se někam jinam, pak se z toho kusu vytrhne ještě menší kus, ten se převede zase jinam. To je jedna z věcí, kterou řeší IPv6 – aby byl adresní prostor oproti IPv4 podstatně méně fragmentovaný. -
> nikdo vám nezaručí, že ty informace budou správně 100%
Ale nikto ich nepotrebuje mat na 100%. Garantujem vam ze aj ked odrezete tie rozsahy ktore ziskata kludne aj zadarmo ako 'NIE CESKE' vyriesili ste 80% problemu a banky zacnu fungovat.> jsou dnes hrozně fragmentované
Ja viem ako funguju routovacie tabulky, opat garantujem ze ak chcete odstrihnut 'NIE CESKE' je to v principe 'zopar rozsahov' ktore vyriesia 80% problemu. -
Filip JirsákStříbrný podporovatel
Ale nikto ich nepotrebuje mat na 100%.
Já jsem polemizoval s tím „velmi přesně“.Garantujem vam ze aj ked odrezete tie rozsahy ktore ziskata kludne aj zadarmo ako 'NIE CESKE' vyriesili ste 80% problemu a banky zacnu fungovat.
To by mne zajímalo, na základě čeho byste to chtěl garantovat.ak chcete odstrihnut 'NIE CESKE' je to v principe 'zopar rozsahov'
No to není. Nejspíš předpokládáte, že byste kolem českých rozsahů udělal velké rozsahy, které by zahrnuly spoustu menších českých rozsahů. Ovšem zbylo by vám v nich spousta zahraničních rozsahů, tudíž byste neodstřihl zdaleka všechny, které jste v předchozím kroku označil jako ne-české. Což by v principu nemuselo vadit, jenže už teď jdou útoky i z českých adres, tímhle byste propustil i spoustu zahraničních – a útok byste tím pádem oslabil, ale je otázka, zda dostatečně. A nikde není řečeno, že útočník už využívá vše, co má k dispozici – třeba má k dispozici mnohem víc reflektorů, jenže už je nemá čím živit. Takže by jen přesměroval veškerý výkon do reflektorů v povolených rozsazích, ale byl byste zase tam, kde na začátku.Ono to řešení na způsob Fénixe nakonec funguje na tom principu rozdělit provoz na část, kde se vyskytuje spíše legitimní provoz, a část, kde je spíš škodlivý provoz. Akorát to není tak jednoduché, že byste si přes geoip vypsal české IP adresy a ty nacpal do iptables -j ACCEPT. (Pozor, nadázka.)
-
DannyStříbrný podporovatel
No, IPv6 tohle moc neresi. Majorita propagovanych prefixu ma v IPv6 masku /48, obecne skoro 60% oznamovanych IPv6 rout jsou routy nikoliv agregovane, ale vice specificke. Pro srovnani, pred deseti lety to bylo sotva 25%...
-
Filip JirsákStříbrný podporovatel
IPv6 jako protokol to řeší. Jiná věc je, že se v Česku IPv6 adresami šetří, protože je jich sice dost, ale co kdyby („co je doma, to se počítá“)…
-
DannyStříbrný podporovatel
Ja se ale nebavim o tom, co se deje v Cesku, ale o tom jak vypadaji globalni IPv6 routovaci tabulky. Navrh to resi teoreticky, ale v praxi se na tu teorii... ehm... kasle.
-
Filip JirsákStříbrný podporovatel
OK, byl jsem přesvědčen, že jsem tam četl, že jde o ČR. Tak v tom nejsme sami :-( No, naštěstí se teď přiděluje jen malá část adresního prostoru IPv6, tak ještě bude prostor na reparát. A nebo to spíš jednoduše utluče výkon hardwaru.
-
DannyStříbrný podporovatel
Budeme svedky toho, co se stalo historicky u IPv4... narazy kolem 256k, 512k... a tak, dle limitu TCAM... :-) Historie se rada opakuje. Neco jde zoptimalizovat v software a do hardware se pak nemusi cpat vsechno, samozrejme dnes i CPU na control-plane jsou o dost jinde, nez nejaka historicka PowerPC CPU v minulosti... no ale proste porad to neni sranda upocitat :-) A samozrejme pak narazime na to, ze ten "optimalizacni" algoritmus muze selhat...
-
DannyStříbrný podporovatel
Tak pokud tu blokaci delate stavovym firewallem... tuhle surovou blokaci jde resit i bezstavove a pak ten vykon limituje uz jen HW... a ten dnesni toho zvladne fakt hodne.
-
Filip JirsákStříbrný podporovatel
Třeba pro to, že ten útok ucpe linku vedoucí k tomu firewallu. Takže řešit to na firewallu je pozdě. Je to jako kdybyste dopravní zácpu vzniklou před dopravní nehodou chtěl řešit policajtem, který bude řídit dopravu až za tou nehodou. Nebo proto, že ten firewall nemá na takový provoz výkon.
Pokud ten útok není úplně jednoduchý, potřebujete na jeho řešení specializované řešení, kam se ten provoz celý přepošle a ta „pračka“ provoz vypere a dál pustí jenom legitimní provoz (plus mínus, v takové situaci jsou ztráty povolené).
Řešitelné to je, ale stojí to peníze a není to tak, že by někdo na firewallu v bance kliknul na tlačítko a bylo hotovo.
-
DannyStříbrný podporovatel
Na ucpani linky staci cokoliv, treba odrazene utoky ;-) Stav spojeni nikoho nezajima. A vzhledem k tomu, jak moc se neimplementuji BCP38 filtry to utocnici bohuzel tezke nemaji....
-
a kde jí vypneš? Takhle to nefunguje, abys blokoval nějakou IP adresu, musíš parsovat paket, porovnat s nějakou tabulkou a spojení zahodit nebo poslat zamítaovou odpověď, na to potřebuješ docela silnou linku a HW.
Tenhle typ útoků je velice dynamický, zpravidla ti zahltí infrastrukturu tak, že nemáš to jak filtrovat a řešit na vyšší úrovni.
Pokud se podívám na KB, první vlna útoku začala v někdy po snídani (naší), začalo to přetěžováním zahraničního peeringu, tam se to ucpalo nejdříve, to se začalo řešit běžně změnu tras, jak se ale přibližoval oběd, najednou provoz sršil ze všech směrů, mixovalo se několik šablon útoků a do toho začal narůstat i běžný provoz, jak asi všichni zkoušeli opakovat neúspěšné operace.
Běžně se ti útočící IP adresy mění během dne, někdy jedna udělá pár minutový útok a pak je ticho. Občas se dostáváme na čísla třeba 1 mio IP adres za celý den útoku, to není snadné nějak protřídit.
Ani není potřeba používat geo blokování přes IP, ony se ty zahraničí cesty prostě rychle ucpou, zejména ty dynamické. Jen je potřeba hlídat kudy protečou a to řešit a řešit. Většina útoků je připravena dopředu a nepřízpůsobuje se, takže řešením bývá i lehce upravit aplikaci, topologii či si přidat verified spojení a ty pustit.
-
Filip JirsákStříbrný podporovatel
Kdyby ta linky byla totálně vypnutá pro uživatele ze zahraničí, nepotřebujete na její konec dávat firewall, který bude filtrovat provoz ze zahraničí. Protože už by tam jaksi žádný takový provoz nebyl, tak by nebylo nutné ho filtrovat.
Navíc „linka totálně vypnutá pro uživatele ze zahraničí“ není něco, co jen tak je. To by musel ISP, od kterého k vám ta linka vede, filtrovat provoz do té linky na svém konci. A to také není jen tak. Musíte se domluvit, co má vlastně filtrovat. Musí na to mít dostatečně výkonný hardware. Běžný ISP vám to jen tak na lusknutí prstu neudělá, a spousta ISP to neudělá ani kdyby chtěli a prosil jste je na kolenou. Spíš, pokud něco takového chcete, musíte mít takovou službu nakoupenou předem.
No a linka se dá ucpat kde čím. Nemusí to být pakety navazující TCP spojení, mohou to být klidně UDP pakety nebo ICMP pakety. Pokud chce útočník silnější DDoS, nebude útočit ze „svých“ zařízení, ale svá zařízení nechá generovat provoz, který bude směřovat na ne moc dobře zabezpečená zařízení, která na to odpoví daleko větším objemem dat směřovaným na banku. Je to zesilující odraz (reflected attack), takže provoz na cíl útoku je podstatně větší, než je provoz, který dokáže sám útočník vygenerovat. Ty nejhorší chyby, které to umožňují, je snaha opravovat – jenže ne každý záplatuje (i tady v diskusích potkáte několik hrdinů, kteří software zásadně neaktualizují). Navíc některé protokoly jsou na to náchylné a nemají adekvátní náhradu, a spousta protokolů se tak bude chovat z principu, i když to znásobení třeba nebude tak velké (odpověď je často větší, než dotaz).
