Twitter, Facebook & LiveJournal driftproblem

Jine · 2009-08-07, 22:46

Det finns många andra sätt att styra bort trafik ifrån en tjänst/server än att bara begränsa antal anslutningar/sek.

Tänk på det.

Danielos · 2009-08-07, 22:47

Jine, berätta gärna mera.

crazzy · 2009-08-08, 19:37

Citat:

Originally posted by SimonP@Aug 7 2009, 19:56
Appropå DDoS, nån som hört något mer ang. Sockstress?
Den attacken kräver betydligt mindre maskiner i botnätet, även ett litet botnät kan ställa till stor skada.
Cisco har i alla fall bekräftat problemet, och dom jobbar på en lösning.
http://en.wikipedia.org/wiki/Sockstress
http://sockstress.com/

Citat:

Outpost24’s Jack Louis and Robert E. Lee, two American expats now living in Sweden, gave an amusing demo of their sockstress TCP/IP state table attacks, which have been getting some attention lately. They’re working with vendors and didn’t make public any technical details of the attacks, but the attacks do look Very Serious. They also look rather misunderstood. This isn’t Yet Another Connection Flood or a SYN cookie problem. The demo brought a fully-patched XP machine to a complete freeze in about three minutes with only 30-40 (malicious) connections per second, and network utilization at the victim floating around 0.1% of 100Mbit/s. I have several ideas about what’s happening and hope to independently verify some of the attacks in the lab, but at first glance, these guys have only scratched the tip of the iceberg in what’s a rather unpleasant class of attacks. We’ll probably be dealing with this mess for a good, long while.

Citat från http://radian.org/notebook/van-helsingfors:

Sockstress är definitivt något att oroa sej för, jag har undersökt det lite närmare och skrivit min egen implementation av det. Testkörde mot en annan av mina datorer, den dog på under 2 sekunder. Slutade prata nätverk och och skärmen tappade kontakten med datorn. Efter en reboot funkar datorn lokalt, men vägrar fortfarande snacka tcp.

Danielos · 2009-08-16, 15:49

crazzy, vad jag förstår gäller Sockstress endast windows:

Citat:

The demo brought a fully-patched XP

och inte en free-bsd brandvägg

htiawe · 2009-08-16, 17:12

Verkar vara mer som är påverkat än XP:

Citat:

This program uses techniques to create local resource consumption which crash a service or the entire machine, essentially a denial of service attack. So far it is reported that this affects all systems running any service utilizing TCP, including Windows, Mac, Linux, and BSD. (That would also include any router or other internet appliance that accepts TCP connections. e.g. Border Gateway Protocol)

http://en.wikipedia.org/wiki/Sockstress

Danielos · 2009-08-16, 19:59

Saxar ur Free bsd forum:

http://lists.freebsd.org/pipermail/freebsd...ber/026350.html

Citat:

By the way, this kind of attack isn't really new
(as far as I can tell from the few information that
have been made public so far). *One way to mitigate
it is to limit the number of open connections per
remote IP address; you can easily do that with PF
or IPFW ("limit" option).

Dvs har man en någorlunda normal statful brandvägg och begränsar antal max states per IP samt antal nya möjliga states/sekund så bör sockstress inte ha någon verkan.

Själv har jag en gräns på 15 nya states per 5 sek så ingen kommer någonsin upp i antalet som behövs, i exemplet 30st/sek

patrikweb · 2009-08-16, 22:06

Tydligen fortfarande en del attacker emot Twitter alla fall, senaste igårkväll började en kunds maskin att attackera Twitter :P

Danielos · 2009-08-17, 18:57

patrikweb, intressant, var maskinen Linux/Unix eller Windows? Samt var det genom php skript eller annat?

patrikweb · 2009-08-17, 19:09

Citat:

Originally posted by danielos@Aug 17 2009, 18:57
patrikweb, intressant, var maskinen Linux/Unix eller Windows? Samt var det genom php skript eller annat?

Bra fråga, hans maskin var en Linux/Unix, men var en virtuell maskin han körde på den som skickade trafiken. Gissar att det var Linux på den, men var inte så intressant för mig att bry mig om vad han körde.

Var en UDP flood alla fall

Source IP Destination IP Application Port Protocol Traffic % of Traffic
193.27.XXX.XX 168.143.162.68 http 80 UDP 1277.11 MB 48%
193.27.XXX.XX 168.143.162.68 http 80 UDP 640.08 MB 24%

Men skulle gissa att hans burk hade blivit i ett botnät bara, men sparar bara raw trafikdata 1dag nu pga flowservrarna behöver 4-8GB ram och en quadcore och några 100GB lagring till för klara av all trafik den analyserar just nu.

Annars skulle det varit lätt och kollat vilka anslutningar han hade haft emot servern precis innan attacken startar för identiferat om den var ansluten mot IRC eller fick skuma anslutning precis innan.

Danielos · 2009-08-24, 00:04

Citat:

Ursprungligen postat av Jine

Det finns många andra sätt att styra bort trafik ifrån en tjänst/server än att bara begränsa antal anslutningar/sek.

Tänk på det.

Citat:

Ursprungligen postat av danielos

Jine, berätta gärna mera.

Jag uppskattar att du berättar att det finns en sådan möjlighet. Nu har jag väntat en tid på ett svar från dig och du har ännu inte exakt sagt vad det är. Jag är enormt intresserad av vad du exakt menar.

I mitt fall har jag runt 5 miljoner användare världen över som accessar runt 120 000 konton (hemsidor, forum bloggar mm), med runt 10 miljoner accesser/dygn, hur skulle jag exakt kunna styra bort trafik vid ddos? Visserligen har jag idag inga problem med bra brandväggar med begränsningar satta som ovan i tråden, men jag är ändå väldigt nyfiken på vad du menar.

Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)

Menu

Twitter, Facebook & LiveJournal driftproblem