[hnn]

Citat:

Ursprungligen postat av crazzy

Ett år? Nu hänger jag inte riktigt med på vad du menar? Vadå ett år? Vad kommer det i från? Vi arbetar hela tiden med förbättringar på alla punkter, inte bara DDOS, men även annat. Det är självklart inte något vi ignorerar, utan något som har hög prioritet.

http://www.wn.se/showpost.php?p=20444277&postcount=5

[tartareandesire]

Citat:

Ursprungligen postat av yakuzaemme

Hur fasiken kom SD in i bilden? Och vad har ni för skev syn, ska webhotell neka dig som kund beroende på dina politiska åsikter? Håll er till tråden.

Det har i allra högsta grad med saken att göra. City Network har under en längre tid nu uppenbarligen drabbats värre än de andra större webbhotellen av DDoS-attacker och då måste man naturligtvis ställa sig frågan vad det beror på. Antingen är det interna brister, särskilda sajter som drar åt sig uppmärksamhet (t.ex. SD) eller ren otur (förefaller väl osannolikt då det rör sig om så pass många, och enligt egen utsago olika typer av, attacker).

[tartareandesire]

Citat:

Ursprungligen postat av crazzy

Det är inte bara webbhotell som behöver samarbeta i sådana fall utan även de större nätleverantörer som äger större nät där mycket trafik går igenom. Och där har jag bara sett totalt ointresse. Dock håller jag med dig om att det vore bra med någon form av samarbete leverantörer emellan i syfte att motverka DDOS-attacker.

Om EN anställd från ETT webbhotell påpekar problemet för en nätleverantör så är det naturligtvis betydligt mindre chans att de lyssnar än om samtliga webbhotell går samman och samarbetar kring detta problem vilket synes vara en nödvändighet om det ska bli någon förändring i längden. Om nätleverantörerna ändå vägrar lyssna finns det andra vägar att gå om man samarbetar, t.ex. genom media och politiker.

Din sista mening lät åtminstone lite lovande inför framtiden

[patrikweb]

Citat:

Ursprungligen postat av crazzy

Självklart går det att lägga upp filter och segmentera upp nät. Vi gör båda delar, men du kan ju inte påstå att vi i förväg ska veta hur vi kommer att bli attackerade vid nästa attack? Attacker kan ju se olika ut...

Kapaciteten är inget problem, utan att det är omöjligt att proaktivt skydda sig mot alla olika typer av attacker.

Tycker du har fel där, har jobbat med DDoS i väldigt många år nu. Största delen av alla attacker följer mönster.

Rätt kapacitet, rätt kompetens och rätt utrustning uppsatt på rätt sätt skyddar 99% av alla attacker.

Du kan gå så långt så du filtrerar olika vilket land trafik till och med kommer ifrån.

Allt handlar endast om mönster, som exempel TCP och HTTP.

För man ska följa TCP rfc så måste det ske handskaning på rätt sätt, att blockera SYN i PPS är väldigt simpelt. Du kan till och med redirekt all trafik via en appliance för filtera det värsta.

Även om man har en attack som lyckas köra SYN/ACK riktigt och skapa en aktiv socket så kan jag garantera att dom inte skickar med en HOST Header rätt mot HTTP.

Vilket då har ud ett mönste filtrera på, om dom nu gör det så kan du blockera just efter det mönster istället.

Ser man till UDP/ICMP eller andra IP protokoll så är det 99% trafik som inte ens behöver nå en shared miljö eller används ens.

[patrikweb]

Citat:

Ursprungligen postat av tartareandesire

Om EN anställd från ETT webbhotell påpekar problemet för en nätleverantör så är det naturligtvis betydligt mindre chans att de lyssnar än om samtliga webbhotell går samman och samarbetar kring detta problem vilket synes vara en nödvändighet om det ska bli någon förändring i längden. Om nätleverantörerna ändå vägrar lyssna finns det andra vägar att gå om man samarbetar, t.ex. genom media och politiker.

Din sista mening lät åtminstone lite lovande inför framtiden

Ni har fel där, det finns väldigt lite intresse för nätleverantörerna för det. Vet ni varför? Det är billigare för dom att sätta upp en 100Gbit länk extra än sätta massa extra utrustning för filtrera ut det.

Visst att många stora leverantörer har en del avancerad övervakning som analyserar och ser DDoS, men inte i form av komplett skydd genom sitt nät på det sättet.

Ofta tar dom då betalt erbjuda lösning för det före kundens avlämning.

Sedan finns det även delvis det ni efterfrågar, största tillverkaren av DDoS skydd har funktion för skicka ut blockering av en DDoS attack som hittas i en operatörs nät till alla användare till produkten.

Men det är ju frivilligt att delta där, vet inte hur vanligt det är. Vet att Telia och Comhem använder deras produkter alla fall.

[patrikweb]

Ska visa information om det gemensamma systemet som lär sig, den har dagliga uppdateringar över 0day exploit och attacker samt vila operatörer och IP som är inblandade. Allt från scan, ddos, bonät, spam, mailware etc etc.

Här är exempel från senaste 24h från Sverige:



Sedan står PRQ för 97% av alla Phissing attack sidor i Sverige, med Binero på andra plats:

[KristianE]

patrikweb:
Tack för infon. Väldigt intressanta siffror.

[johan1234]

kristian - Arbors sida här för lite live siffror om du inte har den: http://atlas.arbor.net/cc/SE

[Jake.Nu]

Att Alltele ligger högt kan man undra lite över.. Hur många är det som har iptelefonidosor (alt. vidöppna brandväggar för att få telefonin att "fungera") som läcker som såll?
edit: Det var visst samma ip som stod för hela den delen såg jag en bit ner.

[patrikweb]

Citat:

Ursprungligen postat av Jake.Nu

Att Alltele ligger högt kan man undra lite över.. Hur många är det som har iptelefonidosor (alt. vidöppna brandväggar för att få telefonin att "fungera") som läcker som såll?
edit: Det var visst samma ip som stod för hela den delen såg jag en bit ner.

Finns väldigt många, väldigt vanligt med hackade SIP konton/pbx. Handlar om 100 tals miljoner i kostnader i hackade samtal per år minst.

Även många osäkra SOHO routrar, är väldigt simpelt bygga ett litet mask som sprider sig genom flera miljoner routrar. Bara ladda upp ny firmware för antingen sniffa lösenord hos kunds trafik eller för botnät. Dock så är SOHO routrar CPU rätt dåligt så går inte få så många PPS smidigt.

Har sett mycket sådant under året när man utforskat och analyserat.