DDoS hyökkäykset?

Ei pysty operaattori auttamaan, olemme keskustelleet asiasta jo melkoisesti. Myös rikosilmoitus on tehty, mutta viranomaiset ovat myös suhteellisen avuttomia.

Ongelma on siinä että hyökkäys tulee täydellisinä https sessioina ilmeisesti botnetistä. Eli ei ole mitään kätevää tapaa blokata hyökkäysliikennettä pois. Ainoa tehokas ratkaisu olisi lisätä järeämmän yhteyden päähän todella tehokkaat front end serverit, mutta se on paljon kalliimpaa kuin tuo vaadittu summa. Toisaalta, jos sen maksaa kerran voi olla varma että näitä hyökkäyksiä tulee jatkossakin.

Site on nyt kokonaan alhaalla ja asiakkaat käyvät kuumana. Kovasti tuo maksaminen houkuttaisi, mutta kuten jo totesin se on pitkäjänteisesti huonoakin huonompi ratkaisu.

Operaattori on vahvistanut että hyökkyäsliikennettä tulee yli 500 megabittiä sekunnissa joten palvelimen 100 megabitin yhteys on jo sinänsä upoksissa. Puhumattakaan siitä että servereiden kapasiteetti riittäisi käsittelemään tuollaista määrää https sessioita. Osoitteita joista yhteyksiä tulee kymmeniä on tuhansia, joten yksittäisten osoitteidenkaan blokkaaminen ei ole kovin tehokasta. Kaikki osoitteet ovat oikeita koska session muodostaminen sujuu kokonaisuudessaan läpi.

Taidetaan tehdä niin että pistetään serveri tarkoituksella alas tuossa osoitteessa. Annetaan sille toinen ip ja nimi ja ilmoitettaan aspassa asiakkaille uudesta tilapäisestä osoitteesta. Sekä katkaistaan vanhan ip:n reitittäminen. Toivotaan ettei hyökkääjä ota yhteyttä ja saa tietoa uudesta osoitteesta.

- Kommentteja?

https hyökkäyksiä kirjoitti:

Ei pysty operaattori auttamaan, olemme keskustelleet asiasta jo melkoisesti. Myös rikosilmoitus on tehty, mutta viranomaiset ovat myös suhteellisen avuttomia.

Ongelma on siinä että hyökkäys tulee täydellisinä https sessioina ilmeisesti botnetistä. Eli ei ole mitään kätevää tapaa blokata hyökkäysliikennettä pois. Ainoa tehokas ratkaisu olisi lisätä järeämmän yhteyden päähän todella tehokkaat front end serverit, mutta se on paljon kalliimpaa kuin tuo vaadittu summa. Toisaalta, jos sen maksaa kerran voi olla varma että näitä hyökkäyksiä tulee jatkossakin.

Site on nyt kokonaan alhaalla ja asiakkaat käyvät kuumana. Kovasti tuo maksaminen houkuttaisi, mutta kuten jo totesin se on pitkäjänteisesti huonoakin huonompi ratkaisu.

Operaattori on vahvistanut että hyökkyäsliikennettä tulee yli 500 megabittiä sekunnissa joten palvelimen 100 megabitin yhteys on jo sinänsä upoksissa. Puhumattakaan siitä että servereiden kapasiteetti riittäisi käsittelemään tuollaista määrää https sessioita. Osoitteita joista yhteyksiä tulee kymmeniä on tuhansia, joten yksittäisten osoitteidenkaan blokkaaminen ei ole kovin tehokasta. Kaikki osoitteet ovat oikeita koska session muodostaminen sujuu kokonaisuudessaan läpi.

Taidetaan tehdä niin että pistetään serveri tarkoituksella alas tuossa osoitteessa. Annetaan sille toinen ip ja nimi ja ilmoitettaan aspassa asiakkaille uudesta tilapäisestä osoitteesta. Sekä katkaistaan vanhan ip:n reitittäminen. Toivotaan ettei hyökkääjä ota yhteyttä ja saa tietoa uudesta osoitteesta.

- Kommentteja?

Lue lisää

Rajojemme sisäpuolella, vai kuinka?
Kuulostaa aika villiltä, mutta enpä käy epäilemaan tarinaasi. Äskettäin eräs tietoturvaan erikoistunut ulkomainen sivusto kärsi vastaavasta. CastleCops.

ei taida olla kirjoitti:

Rajojemme sisäpuolella, vai kuinka?
Kuulostaa aika villiltä, mutta enpä käy epäilemaan tarinaasi. Äskettäin eräs tietoturvaan erikoistunut ulkomainen sivusto kärsi vastaavasta. CastleCops.

Lue lisää

Haluaavat maksu eGold palvelun kautta, koska se suojaa identiteetin. Eikä maksua voi perua, kuten normaalit maksut.

Kysyinkin juuri tuossa ensimmäisessä viestissä että kuinka yleistä tämä on. Kyllähän sitä tietoturva-palstoja seuranneena on kuullut ilmiöstä, mutta en uskonut sen koskaan osuvan kohdalle.

Nyt on serverit siirretty toiseen ip-osoitteeseen, reititykset muutettu siten että ddos hyökkäys menee ainakin toistaiseksi bitti-avaruuteen ja kaikki toimii sitä mukaan kun asiakkaat saavat tiedon uudesta osoitteesta. Saa nähdä seuraako hyökkäys kohta perässä.

Aika hankalalta vaan tuntuu jos esim verkkopalvelun pitää "piilotella" ettei sitä vastaan hyökätä.

niin palvelusi löytyi (server down).

Tuossa yksi tapaus melko seikkaperäisesti kerrottuna, on tosin jo aika vanha:

http://www.grc.com/dos/drdos.htm

Nimeykset vähän erilaiset, kuten
Distributed Reflection Denial of Service

oikeaan_ kirjoitti:

niin palvelusi löytyi (server down).

Tuossa yksi tapaus melko seikkaperäisesti kerrottuna, on tosin jo aika vanha:

http://www.grc.com/dos/drdos.htm

Nimeykset vähän erilaiset, kuten
Distributed Reflection Denial of Service

Lue lisää

Onhan noita smurf hyökkäyksiä, udp / icmp jne tiloissa. Mutta niitä voidaan helposti karsia isp:llä rajaamalla tietynlainen liikenne pois.

Esim. Mainitsemalleni ongelma serverille on kaikki muu liikenne estetty kuin https liikenne. Näin ollen muut hyökkäykset eivät häiritse palvelinta muuten kuin kuluttamalla kaistaa ja niistäkin voidaan ISP:n kanssa sopia siten ettei liikennettä edes välitetä meille asti. Eli siirretään palomuuri ISP:n päähän.

Jäljelle jäisi SYN hyökkäys HTTPS porttiin, mutta senkin torjuntaan on suhteellisen tehokkaita ratkaisuita. Mutta tässä tapauksessa hyökkäyksen teho perustuu juuri siihen, että se vastaa täysin korkean kuormituksen tilannetta, eikä muuten vaikutakkaan hyökkäykseltä. Pyynnön payload on myös järkevä.

Olennaista onkin tässä tapauksessa se että lukemattomat validit https pyynnöt kuluttavat serverin resurssit täydellisesti. Kuten liikenne määristä ilmeni, pyyntöjä tulee niin paljon ettei mitkään järkevät resurssit riitä niitä täyttämään.

Siinä mielessä hyökkäys on ikävä, ettei se muistuta noita helppoja ddos hyökkäysmalleja.

Tällaisen palvelun löysin myös:
http://www.ddosprotection.com/

Mutta tilanne on nyt hallussa, suurin osa asiakkaista tietää uudesta osoitteesta, puhelinpalvelu ei ole enää tukossa. Support mailit on myös hoidettu, eikä hyökkäys liikenne enää reitity palvelimelle.

Onneksi asiakaskunta on kappalemääräisesti suhteellisen pieni joten tuosta ongelmasta selvisi melkolailla kätevästi.

Toinen vaihtoehto myös validien hyökkäysten tapauksessa olisi tehdä integroitu ratkaisu jossa esim 10 peräkkäisen 30 minuutin aikana tulleen etusivun requestin jälkeen IP bannataan ISP:n päässä.

Valitettavasti tällaista ratkaisua ei ollut ympäristössä valmiina. Tuo myös poistaisi kuorman https käsittelystä ja verkkoyhteydeltä. Ongelman voi muodostaa vain todella laaja hyökkäysverkko, jolloin liikennettä voi tulla silti liikaa.

Hyökkäyksen alkaminen myös täsmälleen samaan aikaan johtaisi suureen määrään epäonnistuneita pyyntöjä, jolloin tietysti ollenaisesti vaikeutuu väärien ja oikeiden pyyntöjen erottelu, kun kaikkiin ei pystytä millään vastaamaan.

Refelection etc... kirjoitti:

Onhan noita smurf hyökkäyksiä, udp / icmp jne tiloissa. Mutta niitä voidaan helposti karsia isp:llä rajaamalla tietynlainen liikenne pois.

Esim. Mainitsemalleni ongelma serverille on kaikki muu liikenne estetty kuin https liikenne. Näin ollen muut hyökkäykset eivät häiritse palvelinta muuten kuin kuluttamalla kaistaa ja niistäkin voidaan ISP:n kanssa sopia siten ettei liikennettä edes välitetä meille asti. Eli siirretään palomuuri ISP:n päähän.

Jäljelle jäisi SYN hyökkäys HTTPS porttiin, mutta senkin torjuntaan on suhteellisen tehokkaita ratkaisuita. Mutta tässä tapauksessa hyökkäyksen teho perustuu juuri siihen, että se vastaa täysin korkean kuormituksen tilannetta, eikä muuten vaikutakkaan hyökkäykseltä. Pyynnön payload on myös järkevä.

Olennaista onkin tässä tapauksessa se että lukemattomat validit https pyynnöt kuluttavat serverin resurssit täydellisesti. Kuten liikenne määristä ilmeni, pyyntöjä tulee niin paljon ettei mitkään järkevät resurssit riitä niitä täyttämään.

Siinä mielessä hyökkäys on ikävä, ettei se muistuta noita helppoja ddos hyökkäysmalleja.

Tällaisen palvelun löysin myös:
http://www.ddosprotection.com/

Mutta tilanne on nyt hallussa, suurin osa asiakkaista tietää uudesta osoitteesta, puhelinpalvelu ei ole enää tukossa. Support mailit on myös hoidettu, eikä hyökkäys liikenne enää reitity palvelimelle.

Onneksi asiakaskunta on kappalemääräisesti suhteellisen pieni joten tuosta ongelmasta selvisi melkolailla kätevästi.

Toinen vaihtoehto myös validien hyökkäysten tapauksessa olisi tehdä integroitu ratkaisu jossa esim 10 peräkkäisen 30 minuutin aikana tulleen etusivun requestin jälkeen IP bannataan ISP:n päässä.

Valitettavasti tällaista ratkaisua ei ollut ympäristössä valmiina. Tuo myös poistaisi kuorman https käsittelystä ja verkkoyhteydeltä. Ongelman voi muodostaa vain todella laaja hyökkäysverkko, jolloin liikennettä voi tulla silti liikaa.

Hyökkäyksen alkaminen myös täsmälleen samaan aikaan johtaisi suureen määrään epäonnistuneita pyyntöjä, jolloin tietysti ollenaisesti vaikeutuu väärien ja oikeiden pyyntöjen erottelu, kun kaikkiin ei pystytä millään vastaamaan.

Lue lisää

yksityisten koneissa taitavat kuitenkin olla tarpeellisia, vaikka moni vannoo XP:n palomuurin nimeen. Aina siellä joku hoksaa, ettei tollasen sovelluksen kuulu päästä nettiin. Josko nuo ownatut koneet sitten näyttää mitään eli onko palomuurit enää hengissä.
Mutta sulla alkaa olla homma hoidossa, onnittelut siitä. Hakeekohan ne googlella sivut uudestaan...

DDoS esto laitteissa (omassa palomuurissa tai softapalomuurissa) ei auta em tapauksissa millään tavalla.

Monet hyökkäystyypit tukkivat koko verkkoyhteyden ja toiset taas kuormittaavat täsmä-hyökkäyksenä juuri sitä palvelua jota pitää pystyy käyttämään.

Ensimmäisessä vaihtoehdossa netti on niin tukossa, että mikään ei toimi ja toisessa vaihtoehdossa hyökkäyksen estäminen estää myös palvelun käytön.

Eikö palvelua voisi hajauttaa? Sen sijaan, että kunkin firman palvelu olisi omalla serverillä, kunkin firman serverillä olisi 1/N osa N:n firman palvelusta. Reitittimet ohjaisivat tietyn firman asiakkaat lähimmälle serverille tai lähimmälle vähemmän kuormitetulle sellaiselle. Palvelunestohyökkäys pitäisi olla N kertaa tuhdimpi, jotta yksittäinen pulju saataisiin nurin tai maksamaan lunnaita. Luulisi, että bottikoneet paljastuvat hyökkäyksissä. Kun ne putsataan haittaohjelmista tai poistetaan verkosta, niin hyökkääjien kalusto kuluu sodassa. Tällaisia ajatuksia syntyy täydellisen tietämättömyyden suomalla täydellisellä varmuudella.

ID=iootti kirjoitti:

Eikö palvelua voisi hajauttaa? Sen sijaan, että kunkin firman palvelu olisi omalla serverillä, kunkin firman serverillä olisi 1/N osa N:n firman palvelusta. Reitittimet ohjaisivat tietyn firman asiakkaat lähimmälle serverille tai lähimmälle vähemmän kuormitetulle sellaiselle. Palvelunestohyökkäys pitäisi olla N kertaa tuhdimpi, jotta yksittäinen pulju saataisiin nurin tai maksamaan lunnaita. Luulisi, että bottikoneet paljastuvat hyökkäyksissä. Kun ne putsataan haittaohjelmista tai poistetaan verkosta, niin hyökkääjien kalusto kuluu sodassa. Tällaisia ajatuksia syntyy täydellisen tietämättömyyden suomalla täydellisellä varmuudella.

Lue lisää

Kyllä palvelut kuten google ovat hajaitettuja. Hajautus on siis aivan sama asia kuin rautaa rajalle. Silloin on merkittävästä ylikapasiteetista kyse, jos taas ylikapasiteettia ei ole on hajautetun palvelun ylikuormittaminen aivan yhtä helppoa.

Samoin rankassa iskussa koko verkkoliikenne ruuhkautuu niin pahasti että hajautuksen pitää olla eri mantereilla ja eri palvelinkeskuksissa. Kuten homma onkin hoidettu järeämmillä systeemeillä.

Akamai jeesaa jos tuntuu että yleltä tai joltain muulta loppuu tehot kesken. Mutta se maksaa tuhdisti rahaa.