Vlákno názorů k článku
Servery České televize byly znovu nedostupné
od Petr Soukup - To že ČT lže o důvodech proč to...
-
To že ČT lže o důvodech proč to padá, by měl být důvod proč poplatky nepřidávat a ne naopak. Pokud by někdo útočil ze zahraničí, mohou přece jednoduše po dobu útoku provoz ze zahraničí úplně odstřihnout a to během pár vteřin. Z ČR si to zase nikdo moc netroufne, protože by jej vypátrali a potrestali. Leda že by to to žádný útok nebyl, jen protekce při zadávání zakázek.
-
Filip JirsákStříbrný podporovatelMáte nějaké důkazy nebo alespoň náznaky důkazů, že ČT lže? Víte, co je to DDoS, když píšete „pokud by někdo útočil ze zahraničí“? Jak přesně si to „jednoduché odstřižení zahraničí během pár vteřin“ představujete? Zkoušel jste někdy řešit to, že součástí nějakého útoku jsou i české IP adresy? Za co přesně by byl dotyčný potrestán a kým? Mít napadené zařízení připojené k síti v ČR bohužel trestné není.
-
Každý poskytovatel konektivity vám na požádání předá rozsahy českých IP adres. Jde totiž o to,že konektivita do ČR je podstatně levnější než ta do zahraničí. České ip adresy se dají na whitelist a vše ostatní v případě útoku dočasně zablokujete. V případě DDOS útoků samozřejmě spolupracuje vždy i váš poskytovatel konektivity, protože jeho se problém také týká, útoky jej přetěžují.
Proto na požádání provede blokaci za vás více na upstreamu. Není to žádná velká věda.
V případě, že někdo útočí ze zavirovaných/napadených počítačů, celkem určitě jich bude naprostá většina v zahraničí. Těch pár desítek co bude v ČR, lze pak blokovat jiným způsobem nebo dokonce ručně.
-
Filip JirsákStříbrný podporovatel
Každý poskytovatel konektivity vám na požádání předá rozsahy českých IP adres.
Ovšem každý jiné…České ip adresy se dají na whitelist a vše ostatní v případě útoku dočasně zablokujete.
Kde ten whitelist bude, kde to budete blokovat?V případě DDOS útoků samozřejmě spolupracuje vždy i váš poskytovatel konektivity, protože jeho se problém také týká, útoky jej přetěžují.
Záleží na typu DDoS útoku, některý DDoS útok ani nemusí poskytovatel zaznamenat. Ale hlavně – psal jste, že to vyřešíte během pár vteřin. Vy se dokážete během pár vteřin domluvit na nějaké spolupráci s ISP?Proto na požádání provede blokaci za vás více na upstreamu. Není to žádná velká věda.
Není to žádná velká věda. Ale zároveň to není něco, co by se vyřešilo během pár vteřin.V případě, že někdo útočí ze zavirovaných/napadených počítačů, celkem určitě jich bude naprostá většina v zahraničí.
A nebo jich bude dost z ČR. To také není žádná velká věda.Navíc vy si pravděpodobně pod DDoSem představujete jen útok na síťovou infrastrukturu. Jenže on to také může být útok třeba na aplikační úrovni. K jeho vygenerování může stačit těch pár desítek počítačů v ČR. Ostatně tím přece argumentujete vy i další tady v diskusi – že nejde o útok, ale o legitimní provoz. Tak když si myslíte, že servery dokáže shodit legitimní provoz, proč by je stejným způsobem nemohl shodit útočník generující stejný provoz, akorát ve větším množství?
-
Pokud je to útok na aplikační úrovni, je to špatné aplikace, která se zjevně neumí bránit a sama přidávat pravidla do firewalu. To pak ukazuje na neschopnost České televize. Zrovna tak přidat pravidla pro blokování zahraničí je otázka vteřin.
Pokud je to DDos útok co způsobuje velký datový tok, pak je lepší to blokovat někde na upstreamu. Poskytovatel konektivity bude spolupracovat rád a v případě obra jako Česká televize dovede nastavit předem domluvená pravidla během několika vteřin. Oni ten okamžik kdy to spadne se dá docela dobře předvídat, takže stačí když bude daný pracovník připraven právě v tu dobu.
13. 2. 2022, 12:02 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Aplikace, která by sama přidávala pravidla do firewallu, by byla velmi špatná aplikace. Správci síťové infrastruktury by byli k ničemu, pokud by jim mohla do firewallu zasahovat libovolná aplikace. Bude to pro vás překvapení, ale celý web České televize není jedna aplikace na jednom serveru, která by si sama mohla volat iptables. Ta infrastruktura je kapánek složitější, např. firewall je jiné zařízení, než aplikační servery. Další překvapení pro vás bude, že žádná aplikace nevydrží libovolně vysokou zátěž.
-
To je přece hloupost. Aplikace by se vždy měla umět bránit nekorektnímu chování. Jen je otázka jak přesně to udělat. A pokud to jinak nejde automatické dočasné přidávání pravidel do firewallu je samozřejmě dobrá věc. Že je to moc komplikované není ještě důvod proč to nedělat, ale spíše potřeba nakopat ty co to vymýšleli.
Bránit se dá na různých úrovních. Často může stačit obrana přímo na té aplikační vrstvě. Ale někdy to stačit nemusí a je třeba spolupracovat s ostatními vrstvami.
Ale pokud někdo např. hádá heslo brute force, tak jej přidat na několik dní do firewalu není špatné, protože by pak mohl zkoušet i něco jiného, co už nelze nebo není tak dobře ošetřeno.
-
Filip JirsákStříbrný podporovatel
Aplikace se může umět bránit nekorektnímu chování jen do určité míry. Někdy to ovšem přesáhne hranici, kdy už se aplikace nebo infrastruktura bránit neumí. Doporučuji raději nikoho nenakopávat, protože by se mohlo ukázat, že za nápad rozdávat aplikacím oprávnění pro administraci firewallu byste mohl být nakopán vy.
Bránit se dá různými způsoby a na různých úrovních, ale někdy to stačit nemusí.
Dávat někoho na několik dní na blacklist si můžete dovolit vy se svým blogískem. Ale nemůže si to dovolit ČT, protože na blacklist nedáváte uživatele nebo zařízení, ale IP adresu – a za tou mohou být schované tisíce uživatelů. A ty opravdu nemůže ČT zablokovat jenom proto, že byste se vy neuměl proti hádání hesla bránit jinak.
-
Pokud někdo na vás nebezpečně útočí, na blacklist jeho ip adrasu dát musíte, jinak vám klekne celá služba a to je teprve ostuda.
Těch útočících ip adres co je dobré blokovat jsou často jen jednotky, ale lidí, kterým nebude pak fungovat kvůli přetížení celé služby jsou pak desetisíce. Tedy opravdu musíte blokovat celé ip adresy (když to jinak nejde) a neohlížet se na to, že by mohl někdo sdílet ip adresu s útočníkem. -
Filip JirsákStříbrný podporovatel
Pokud někdo na vás nebezpečně útočí
Jenže hádání hesel není u většiny aplikací nebezpečný útok. -
Hádání hesel můžete obvykle omezit na aplikační úrovni. V případech kdy to nejde, (např. uživatelé ústředny Asterisk nemají možnost tohle nastavit) musíte to kombinovat pravidly ve firewallu.
Pokud se ale bavíme o tom, že někdo hádá 500 hesel za minutu, tak zablokování ip adresy není nic špatného. Kdo sdílí ip s útočníkem a spamerem ( i když o tom neví) musí počítat s tím, že jej občas mohou někde blokovat.
-
Filip JirsákStříbrný podporovatel
Když někdo hádá 500 hesel za minutu z jedné IP adresy, je chyba, že mu to dovolíte hádat. Nemusíte kvůli tomu ale blokovat veškerou komunikaci.
-
Omezovat počet neplatných pokusů je celkem rozšířená chyba. Dopustili se ji např. vývojáři protokolu SIP (ten mechanizmus by měl mít protokol sám) nebo ti co programovali telefonní ústřednu Asterisku. Tato chyba se nachází všude možně, firewall to jistí. Že by někdo sdílel ip adresu s útočníkem se nestává. A kdyby se to stalo jednou za deset let je to jeho doačný problém.
Hádání hesel je jedná z možností, může dělat i jiné věci a nejjistější je se takovým útočníkem vůbec nebavit. Je to jednoduché, nevím co pořád řešíte. -
Filip JirsákStříbrný podporovatel
Omezovat počet neplatných pokusů je celkem rozšířená chyba.
Já jsem ovšem psal o omezení počtu pokusů za jednotku času.Že by někdo sdílel ip adresu s útočníkem se nestává.
:-) -
Vždyť tisková mluvčí ČT sama po několika hodinách přiznala, že o DDoS nešlo, že důvod výpadku "chybně komunikovali". Lehlo jim to jakmile v terestriálním vysílání přepli z hokeje na biatlon, a desítky tisíc diváků hokeje se přeplo na iVysílání.
https://twitter.com/mikiedusik/status/1492096897548357632
13. 2. 2022, 12:23 editováno autorem komentáře
