http://www.wn.se/showpost.php?p=20444277&postcount=5

Det har i allra högsta grad med saken att göra. City Network har under en längre tid nu uppenbarligen drabbats värre än de andra större webbhotellen av DDoS-attacker och då måste man naturligtvis ställa sig frågan vad det beror på. Antingen är det interna brister, särskilda sajter som drar åt sig uppmärksamhet (t.ex. SD) eller ren otur (förefaller väl osannolikt då det rör sig om så pass många, och enligt egen utsago olika typer av, attacker).

Om EN anställd från ETT webbhotell påpekar problemet för en nätleverantör så är det naturligtvis betydligt mindre chans att de lyssnar än om samtliga webbhotell går samman och samarbetar kring detta problem vilket synes vara en nödvändighet om det ska bli någon förändring i längden. Om nätleverantörerna ändå vägrar lyssna finns det andra vägar att gå om man samarbetar, t.ex. genom media och politiker.

Din sista mening lät åtminstone lite lovande inför framtiden :)

Tycker du har fel där, har jobbat med DDoS i väldigt många år nu. Största delen av alla attacker följer mönster.

Rätt kapacitet, rätt kompetens och rätt utrustning uppsatt på rätt sätt skyddar 99% av alla attacker.

Du kan gå så långt så du filtrerar olika vilket land trafik till och med kommer ifrån.

Allt handlar endast om mönster, som exempel TCP och HTTP.

För man ska följa TCP rfc så måste det ske handskaning på rätt sätt, att blockera SYN i PPS är väldigt simpelt. Du kan till och med redirekt all trafik via en appliance för filtera det värsta.

Även om man har en attack som lyckas köra SYN/ACK riktigt och skapa en aktiv socket så kan jag garantera att dom inte skickar med en HOST Header rätt mot HTTP.

Vilket då har ud ett mönste filtrera på, om dom nu gör det så kan du blockera just efter det mönster istället.

Ser man till UDP/ICMP eller andra IP protokoll så är det 99% trafik som inte ens behöver nå en shared miljö eller används ens.

Ni har fel där, det finns väldigt lite intresse för nätleverantörerna för det. Vet ni varför? Det är billigare för dom att sätta upp en 100Gbit länk extra än sätta massa extra utrustning för filtrera ut det.

Visst att många stora leverantörer har en del avancerad övervakning som analyserar och ser DDoS, men inte i form av komplett skydd genom sitt nät på det sättet.

Ofta tar dom då betalt erbjuda lösning för det före kundens avlämning.

Sedan finns det även delvis det ni efterfrågar, största tillverkaren av DDoS skydd har funktion för skicka ut blockering av en DDoS attack som hittas i en operatörs nät till alla användare till produkten.

Men det är ju frivilligt att delta där, vet inte hur vanligt det är. Vet att Telia och Comhem använder deras produkter alla fall.

Ska visa information om det gemensamma systemet som lär sig, den har dagliga uppdateringar över 0day exploit och attacker samt vila operatörer och IP som är inblandade. Allt från scan, ddos, bonät, spam, mailware etc etc.

Här är exempel från senaste 24h från Sverige:
http://connect2ip.se/ddos1.png
http://connect2ip.se/ddos2.png

Sedan står PRQ för 97% av alla Phissing attack sidor i Sverige, med Binero på andra plats:

http://connect2ip.se/lol.png

patrikweb:
Tack för infon. Väldigt intressanta siffror.

kristian - Arbors sida här för lite live siffror om du inte har den: http://atlas.arbor.net/cc/SE

Att Alltele ligger högt kan man undra lite över.. Hur många är det som har iptelefonidosor (alt. vidöppna brandväggar för att få telefonin att "fungera") som läcker som såll?
edit: Det var visst samma ip som stod för hela den delen såg jag en bit ner.

Finns väldigt många, väldigt vanligt med hackade SIP konton/pbx. Handlar om 100 tals miljoner i kostnader i hackade samtal per år minst.

Även många osäkra SOHO routrar, är väldigt simpelt bygga ett litet mask som sprider sig genom flera miljoner routrar. Bara ladda upp ny firmware för antingen sniffa lösenord hos kunds trafik eller för botnät. Dock så är SOHO routrar CPU rätt dåligt så går inte få så många PPS smidigt.

Har sett mycket sådant under året när man utforskat och analyserat.