mno tak si to vezmeme:
1) ddos se odvratit pouzitim dobre napsane CDNky
2) na trhu je firma, ktera se chlubi, jak dokaze zvladat kvanta sveho trafficu (jmeno neprozradim) a zaroven nema moc daleko k svinarnam (resp. z nich zije)
3) clovek za touto firmou pise svoji CDNku (modri vedi ;)
4) uvedeni konecne verze ze 3) se blizi
5) dotycny prave za pomoci organizovaneho ddosu + 2) ziskava argumenty, proc pouzit zrovinka jeho CDN
6) dotycny kontaktuje vydavatelstvi mfdnes a spol.
7) profit!!!
http://tumblr.intranation.com/post/766288369/using-nginx-reverse-proxy třeba tenhle. Zbytek najdete v dokumentaci k Nginxu.
Reverzní proxy je primárně o tom, že vám může vydávat statiku (tu Nginx vydává brutálně rychle), případně po určitý čas (minutu, pět minut, ...) cacheovat dynamiku, kterou generuje jiný webserver (Apache, ...).
Kolega narážel na Vaše DNS "4.4.4.4". Správně je to "8.8.4.4".
https://developers.google.com/speed/public-dns/
Jo, ono je to celé trochu zamotané.... :)
http://www.tummy.com/articles/famous-dns-server/
Jedná se v podstatě o obyčejnou proxy akorát reverzní tj je před webserverem. Nicméně nejde o to že technologie něco spasí jde o to že může být sdílená a např cz.nic by mohl investovat miliony z přebytku které sype do marketingu a nesmyslů jako podpora mojeID (resp výplata peněz v motivačním programu) a věnovat čas ve svých labech obraně proti tomuto typu útokům.
Výhoda je že to můžete škálovat v desítkách kusů serverů - samozřejmě bych rád utopicky věřil že by stát měl dát k dispozici třeba stovku takových serverů na ně provoz nalít a spolupracovat na identifikaci protivníka (např nákupem "státní" konektivity z řady tranzitních uzlů).
Dokonce si myslím že jako shared infrastrukturu by to stát mohl provozovat sám pro sebe, chránit ty systémy jednotlivě proti takovémuto druhu útoku je téměř nemožné. Pro providery s jedním dvěma uplinky je problém - pak je řešení do tranzitu vypropagovat ty IP někam do tuvalu nebo do /dev/null a odříznout svět.
Zaplať pánbůh za NIX a to že nixem sice takovej bordel taky proteče ale podaří se to identifikovat a zařízne se to. Imho by měla být kontrola na source důrazněji dodržována (není všichni na to serou).
Ale ochrání, stačí jích mít desítky pak se jedná o desetisíce paketů/sec a ty "ubráníte" konveční metodou tj paketovým filtrem. jde o to že proxy funguje v podstatě pouze jako "tunel" mezi tím kde ty webserveryskutečně běží a tím jak jsou vidět z venku.
Bohužel to neřeší když útočník utočí přímo ale to se da přes SBO zařídít.
Prijde mi to jako pritazene za vlasty, nicmene tyto utoky se pravidelne opakuji na radu vetsich projektu v cr ze kterych koukaji penize. Cdnku nabizi kde kdo a vydavatelum se rozhodne tento typ CDN pro tyto utoky nehodi.
V cechach to dela nekolik firem globalneji tj tak aby to fungovalo jak ma, vyfavatelum by asi vic pomohli reverzni proxy ktere muzou skalovat do nevidim a udrzet provoz byt za cenu zvysenych nakladu.
Kde je centrum a penize z domen vidime vsichni, predhazuji (jako stovky jinych) tuto myslenku cz.nicu ale ten nikdy nic v tomto smeru nepodpori v ochrane proti tomuto se toci prilis velke penize aby je nekdo rozpoustel ve vode jen proto ze nejakej lab by dokazal kdyz uz nic generovat a monitorovat takovej traffic aby si poskytovatele obsahu mohli sve systemy zodolnit.
Jako fajn 100g router je prima ale az bude bude to jeste horsi, utoky muzou lezt z tranzitu. staci par se tisic kilopaketu a nazdar naklady na provozovatele okolo 80-100k mesicne aby tomu celil - naklady na porizeni 2000 ecek, deleno 31 dny je to 70eur na jednoho potencionalniho zakaznika.
to pravděpodobně ano, ale ti rusové pod které spadá se jednoho dne rozhodli, že přejdou na druhou stranu a začali se kamarádit se západními bratříčky a jak u nás tak v rusku se s nimi podělili o výnosy z privatizací, jinými slovy pokud je dnes agentem něčeho ruského, tak ruské privatizační mafie jednající víceméně ve shodě s tou západní (resp. nadnárodní finanční)
podle me to byl provoz se spoofovanou src IP. A nejspis nahodne si utocnici vybrali jako src IP tenhle svycarsky rozsah. Provoz prisel sice z Ruska, ale v packetech byla src IP te Svycarske site. Tzn iDnes a ostatni napadene servery jednoduse odpovidali na tu src IP, coz vygenerovalo provoz do Svycarska.
Je samozrejme taky mozne, ze to nahoda nebyla a jen vyuzili TCP odpovedi k utoku do Svycarska... kdo vi.
Já myslím, že na idnesu už pachatele vypátrali, ne? Alespoň mi jeden jejich titulek hlásí, že to přišlo z Ruska... co na tom, že v článku píší, že to jde i z českých počítačů a proto je obtížné to filtrovat a dokonce tam i píší, že i ten ruský botnet může ovládat kdokoliv, ale titulek pro laickou veřejnost je jako obvykle bubák z východu. Tak navrhuji podržet 5 minut ticha za každých pět minut výpadku protočených reklam na idnesu a pojďme se společně chvilku bát všeho z východu.
napadlo vas, ze motivace k pouziti adblocku se slusnym filtrem muze byt naprosto jina? treba nestravit pul dne tim, ze cekate na odezvu nejakeho polskeho reklamiho serveru nebo neustalymi pokusy "kreativcu" vyvolat v uzivatelich epilepticky zachvat nebo jeste lepe "prelepit" plochu stranky nejakym neodkliknutelnym svinstvem po dobu x sekund?
Asi tak nějak. Do nedávna nebyl AdBlock vůbec nutný, ale je to čím dál tím horší. Reklamy doslova vyskakují ze stran a blokují tak polovinu ne-li celou stránku, a nejhorší jsou flashové reklamy v div popupu, čeka než se načte, hledat křížek nebo cokoliv skrytého čí reklamu zavřít je opravdu otravné.
Kdo z vás ne-pseudo zlodějíčků si při pohledu na půl screenovou reklamu řekne "jé reklama, tak se na ní kouknu a web podpořím."?
Reklamní bannery ještě pochopím, ale ne když překrývají obsah stránky.
A ještě jedna věc, nevím jestli jsem sám ale osobně si myslím že reklamní průmysl se z lidí snaží děla úplné blbce, a někteří jsou si tím, že jimi jsme, jistí. Když jsou schopni nacpat na stránku reklamu, s agresivně se vnucujícím audio doprovodem "Gratulujeme Vám, vyhráváte iPhone-Pod-Pad i cokoliv podobného. Je idiot (s odpuštěním) takové věci uvěří a klikne.
A to nemluvím o stránkách které vám do pc přes obrázky tahají viry, keyloggery a podobné svinstvo.
Už jen z tohoto důvodu je si myslím nutné reklamu svépomocí vymýtit. Ať už je to AdBlock či jiná pomůcka.
asi stejne jako u jakehokoliv jineho packetu. Utocnik samozrejme neceka ze se mu odpoved vrati a TCP spojeni se navaze - k cemu by mu tu o DDoS bylo? Naopak to ze odpoved nejde zpatky k utocicimu stroji znamena, ze to nepretezuje infrastrukturu i v opacnem smeru. To muze byt u HDX linek vyhoda. Taky se utocnikuv stroj nemusi zabyvat prijimanim tech odpovedi, coz muze setrit systemove prostredky
<jen spekulace>že by pomsta nebo výhružka CIA / Googlu za http://www.lupa.cz/clanky/cesti-vydavatele-povolavaji-kvuli-obrazkum-proti-googlu-pravniky/ ?
Hehe, že by už se prali mezi sebou? Dělej čertu (Karlovi) dobře a peklem se ti odmění, tak si to vyžerte, vydavatelé naši, máte co jste chtěli, bylo jen otázkou času, než vám to lezení do americké zadnice a do zadnice googlu podkopne nohy, dobře vám tak :-)) </jen spekulace>