[Danielos]

Citat:

Ursprungligen postat av patrikweb

Men det är ju inte banverket som hostar SJ sida ;P

Det vet man aldrig, det kan det mycket väl vara

[magic]

Citat:

Ursprungligen postat av danielos

Citat:

Det vet man aldrig, det kan det mycket väl vara

Eller så kanske det var någon som roade sig med att sno utrustning från ene telestation..

[KristianE]

Allt är snöns fel!

[BjörnJ]

En till artikel om händelsen, med en del detaljer:
http://www.idg.se/2.1085/1.298347/sa...-cyberattacken

[patrikweb]

Just en anledning varför man inte ska köra vanliga brandväggar, för dom klarar inte av så många PPS. Åt andra sidan är 100.000 paket inte alls mycket, normalt brukar man få upp till MILJONER PPS.

Men i vilket fall så skulle denna typen av attack kunnat lösas på 5min utan problem om man har kunskap och lite vettiga saker.

1) Blockera målet till attacken helt
2) QoS och ratelimit antal SYN paket till en fungerande nivå
3) Om varje paket hade samma dst port eller src port kunde man skapat en ACL för matcha på det.
4) Om det var flertal paket från samma src IP kunde man satt en microflow policy för limit antal SYN per IP.
5) Analyserat paketen i raw format för se om dom följer ett mönster, i ipoptions eller TTL värde. Om dom genererades ifrån samma burk eller samma botnät "mjukvara" så är risken rätt stor att allt är samma. Så skulle man kunnat sätta ett L7 filter för matcha på den TTL. Om det skulle vara ett mindre vanligt TTL värde så skulle det inte stört legetim trafik till det IP.
6) Möjligen blockera från det hållen trafiken kommer ifrån bara.

Samt 100.000 PPS är ju inget i trafik mängd ens, om vi räknat ett SYN paket är 62 byte med ethernetramen.

Vilket borde motsvara 45-60Mbit, orkade inte räkna helt exakt. Alltså ingen trafik att prata om alls.

Att det ska ta 45min att ens fatta det är en DDoS är ju bara komiskt.

För mig är det fortfarande ett dåligt skämt hos dom.

[Danielos]

Jag hade ofta problem med dos eller ddos där gamla brandväggen inte kunde köra ratelimit. Nu har jag redundanta brandväggar som klarar av synproxy state (spoofed TCP SYN floods) och där man kan sätta max nya state per sekund och totalt, och sedan dess inte haft några problem alls när ddos i denna omfattning kommer, men självklart tror jag inte ens bra brandväggar klarar av flera gbit ddos och mer, men denna ddos känns inte som större än de största jag själv råkat ut för.

[Westman]

Citat:

Ursprungligen postat av danielos

Nu har jag redundanta brandväggar som klarar av synproxy state (spoofed TCP SYN floods) och där man kan sätta max nya state per sekund och totalt

Totalt OT men du har inte lust att tala om vad du kör?

[patrikweb]

Citat:

Ursprungligen postat av danielos

Jag hade ofta problem med dos eller ddos där gamla brandväggen inte kunde köra ratelimit. Nu har jag redundanta brandväggar som klarar av synproxy state (spoofed TCP SYN floods) och där man kan sätta max nya state per sekund och totalt, och sedan dess inte haft några problem alls när ddos i denna omfattning kommer, men självklart tror jag inte ens bra brandväggar klarar av flera gbit ddos och mer, men denna ddos känns inte som större än de största jag själv råkat ut för.

Normalt så är nästan alla FW rena CPU baserade saker, så hur du än gör så belastar du CPU. Även om vissa saker drar mer eller mindre.

Att hantera många state och bygga upp en fet tabell över det tar CPU. Självklart minskar belastningen genom att limit antal nya men även det tar CPU beräkningar.

Av den anledningen vill man ha ASIC baserade saker som du kan sätta ACL + Ratelimit där det inte spelar någon roll om det är 1Mbit eller 1Tbit som kommer. Sedan bara dra nödvändigaste trafiken för det som kan behöva puntas till CPU för att fungera.

För man blir alltid blåst av att köpa en brandväg i regel, du betalar en förmögenhet för inget alls.

[Danielos]

Citat:

Ursprungligen postat av patrikweb

Normalt så är nästan alla FW rena CPU baserade saker, så hur du än gör så belastar du CPU. Även om vissa saker drar mer eller mindre.

Att hantera många state och bygga upp en fet tabell över det tar CPU. Självklart minskar belastningen genom att limit antal nya men även det tar CPU beräkningar.

Av den anledningen vill man ha ASIC baserade saker som du kan sätta ACL + Ratelimit där det inte spelar någon roll om det är 1Mbit eller 1Tbit som kommer. Sedan bara dra nödvändigaste trafiken för det som kan behöva puntas till CPU för att fungera.

För man blir alltid blåst av att köpa en brandväg i regel, du betalar en förmögenhet för inget alls.

Jag lovar att titta på sådana lösningar när de ddos jag råkar ut för inte klaras av i nuläget
Men än så länge fungerar det mer än bra.

[jgabor]

Citat:

Ursprungligen postat av danielos

Jag lovar att titta på sådana lösningar när de ddos jag råkar ut för inte klaras av i nuläget
Men än så länge fungerar det mer än bra.

Betyder inte det att det redan är för sent, då du med andra ord då råkar ut för samma problem som FS-Data upplevde?

Bara min 2 ören, som man säger...