Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1 2 3 След.
RSS
ddos
 
#1
Это нравится:0Да/0Нет
13.01.2005 15:06:45
Вообщем позвонил мне друг у которого домашняя сетка с выходом в инет, говорит "инет тормозит".
Полез с tcpdumpом разбираться и отловил вот что:
Код
14:47:09.442465 IP 68.35.82.7 > 84.204.xxx.xxx: icmp
14:47:09.506425 IP 69.141.248.237 > 84.204.xxx.xxx: icmp
14:47:09.676390 IP 69.141.248.237 > 84.204.xxx.xxx: icmp 1480: echo request seq 22870
14:47:09.742458 IP 69.141.248.237 > 84.204.xxx.xxx: icmp
14:47:09.938521 IP 68.35.82.7 > 84.204.xxx.xxx: icmp
14:47:10.006408 IP 68.35.82.7 > 84.204.xxx.xxx: icmp
14:47:10.072387 IP 69.141.248.237 > 84.204.xxx.xxx: icmp
14:47:10.229472 IP 172.211.247.104 > 84.204.xxx.xxx: icmp
14:47:10.296393 IP 67.174.129.74 > 84.204.xxx.xxx: icmp
14:47:10.362419 IP 68.35.82.7 > 84.204.xxx.xxx: icmp
14:47:10.462456 IP 68.35.82.7 > 84.204.xxx.xxx: icmp
14:47:10.526437 IP 68.35.82.7 > 84.204.xxx.xxx: icmp 1480: echo request seq 25169
14:47:10.690435 IP 68.35.82.7 > 84.204.xxx.xxx: icmp
14:47:10.758473 IP 69.141.248.237 > 84.204.xxx.xxx: icmp
14:47:11.022429 IP 69.141.248.237 > 84.204.xxx.xxx: icmp 1480: echo request seq 25686
14:47:11.088562 IP 67.174.129.74 > 84.204.xxx.xxx: icmp
14:47:11.148431 IP 67.174.129.74 > 84.204.xxx.xxx: icmp

Ессно после этого последовал звонок в техподдержку провайдера(peterstar.ru) и отсылка логов+просьба закрыть несколько подсетей. В ответ:
Код
Ваше письмо передано в Отдел обслуживания ЗАО "ПетерСтар".
О сроках исполнения Вам ответят по телефону 329-9040.

в результате звонка по указанному тел. спустя 2 часа я узнаю что написать aclку на кошке они не могут из-за "особенностей вашего подключения"(радиоканал), т.к. прикрыть могуть только всех, "колхозно".
Далее начинается трагикомедия. Прошу банально отключить канал и получаю ответ "у нас нет полномочий да и все равно сейчас нет тех людей, кто мог бы это сделать".
В итоге имеем где-то 14Гб входящего, 3/4 которого из-за такого отношения к клиентам. Интересует мнение и рекомендации.
 
 
 
#2
Это нравится:0Да/0Нет
13.01.2005 16:20:05
1. Внимательно читать договор, в части как и в какие сроки должна реагировать тех поддержка (правда в 90% известных мне случаев провайдер и его тех поддержка абсолютно не несут никакой ответственности, оставшиеся 10% это игра в тендер, где в условиях перечислены пункты о прямой отвественности провайдера за его действия или бездействие
2. С другой стороны существует Федеральный закон "ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ" текст тут: http://rels.obninsk.com/Rels/Limited/ml/legis/Gd/5887.htm

Далее лучше послушать комментарий юриста. Я же просто накидаю основные цитаты:

Ст. 15
"1. Владелец информационных ресурсов обязан   обеспечить соблюдение режима обработки  и  правил  предоставления  информации пользователю, установленных законодательством Российской Федерации или собственником этих информационных ресурсов,  в соответствии  с законодательством.
2.  Владелец   информационных   ре сурсов   несет    юридиче скую ответственность   за  нарушение  правил  работы  с  информацией  в порядке, предусмотренном законодательством Российской Федерации."

Т.е. провайдер, как владелец информационных ресурсов (Интернет) несет юридическую ответственность за нарушение правил работы с информацией.

А в статье 20 знатный перечень:

"Статья 20. Цели защиты

       Целями защиты являются:
       предотвращение утечки,  хищения,  утраты,  искажения, подделки информации;
       предотвращение угроз  безопасности    личности,  &nb sp; общества, государства;
       предотвращение несанкционированных  действий  по  уничтожению, модификации,   искажению,  копированию,  блокированию  информации;
   предотвращение   других форм незаконного вмешательства в информационные   ресурсы  и информационные системы,  обеспечение правового   режима   документированной   и нформации   как   объекта  собственности;
       защита конституционных прав граждан на сохранение личной тайны и  конфиденциальности    персональных     данных,   имеющихся  в информационных системах;
       сохранение государственной тайны,      конфиденциальности документированной информации в соответствии с законодательством;
       обеспечение прав  субъектов  в  информационных процессах и при разработке,  производстве  и  применении  информационных систем, технологий и средств их обеспечения."

Из чего нас интересует блокирование и другие формы   незаконного вмешательства в информационные ресурсы  и информационные системы.

Теперь как нам судиться:
Ст. 23 п. 2
"2. Защита прав  субъектов  в  указанной  сфере  осуществляется судом,  арбитражным  судом,  третейским  судом  с учетом специфики правонарушений и нанесенного ущерба."

Ст 24. п.1
"1. Отказ в доступе к открытой  информации  или  предоставление  пользователям   заведомо   нед остоверной   информации   могут  быть обжалованы в судебном порядке.
       Неисполнение  или   ненадлежащее   исполнени е  обязательств  по договору поставки,  купли  -  продажи,  по  другим  формам  обмена информационными   ресурсами  между  организациями  рассматриваются арбитражным судом.
       Во всех случаях лица, которым отказано в доступе к информации, и  лица,  получившие  недостоверную  информацию, имеют  право  на возмещение понесенного ими ущерба."

О !!! Материальный ущерб !!! Понятие растяжимое, но прямопропорциональное опыту юриста и желанию заявителя.

До суда можно не доводить. Надо просто прийти к директору и объяснить, что кроме нежелательной рекламы "криворукости и ломизма" их спецов, им еще и придеться возместить моральный ущерб (благо письмо вы им отправили и доказательства того, что Вы их вежливо просили это сделать - есть). Если у директора есть что-либо в голове, то клиент ничего провайдеру за этот месяц должен не будет, тех поддержка останется без премий и с красными от пропарки попами. Если нет, то адвокат (желательно хороший) и суд.
 
 
 
#3
Это нравится:0Да/0Нет
13.01.2005 16:36:33
Есть еще технический вариант
1. Сложить интерфейс своими руками
2. Попросить другой IP.
3. Поднять интерфейс с другим IP.

Между 2 и 3 - поправить DNS в случае необходимости.
Хотя если били не просто так ради веселья, то чз DNS вычисляется новый IP и все по новой.
 
 
 
#4
Это нравится:0Да/0Нет
13.01.2005 18:33:10
Странно, в Петерстаре всегда очень внимательно относились к жалобам пользователей (по крайней мере, к моим ). Кроме того, они обычно весьма быстро реагируют на возникающие проблемы и решают их. Скорей всего, просто пришлось столкнуться с действительно некомпетентным сотрудником. Я бы рекомендовал сообщить об этом случае техническому директору компании.
 
 
 
#5
Это нравится:0Да/0Нет
13.01.2005 22:15:04
2rage
не поверю что в петерстаре нет никакой политики или инструкций по
действию в случае ддос-атаки
также не думаю что они так могут относиться к своим клиентам, хотя по
идее чем больше байт ушло с интерфейса петерстара в вашу сторону тем
лучше провайдеру, 14 Гигов оплатить придется наверно
необходимо обращаться к рукодоству петерстар и разбираться, наверно
хелпдеск накосячил
 
 
 
#6
Это нравится:0Да/0Нет
13.01.2005 22:35:56
немножко не в тему, но был у меня с Петерстаром несколько лет назад такой случай. Сыну продали в магазине использованную практически полностью карточку доступа. Купил он ее под занавес, т. е. магазин тут же закрылся. На следующий день он пошел в магазин и был послан с угрозами обратиться в милицию. Потом последовал поход туда же с мамой в качестве поддержки и с такими же результатами.
Вечером они сказали об этом мне и я зашел в магазин, попытавшись объеснить продавцам и хозяину, что так поступать не следует. Был послан точно так же, причем достаточно хамским тоном.
Придя на работу,  позвоил кому-то из дирекции Петерстар (карточка была их) и тот переключил меня на соответствующего сотрудника. А далее было следующее - в течение пары часов из магазина позвонили мне на работу, вежливо спросили меня, когда сыну удобней прийти за новой картой и как с ним можно связаться.   Но это еще не все - когда мальчишки пришли в магазин, им только что пятки не целовали. Выдали новую карточку, надарили каких-то журналов и т. д.. Как решали этот вопрос сотрудники Петерстара, я не знаю, поэтому выложил лишь ту часть, которая ведает мне. Добавлю к этому, что при звонке в дирекцию я сразу обозначил, что у меня нет никаких финансовых претензий и мне плевать на эту карту, просто обидно за то, что их дилеры дурят детей и хамят при предъявлении им претензий.

Описанный же ^rage^ случай существенно более важен для сохранения репутации компании, поэтому при должном обращении можно надеяться на весьма позитивную реакцию.
 
 
 
#7
Это нравится:0Да/0Нет
14.01.2005 00:35:51
комичность ситуации такова, что на тот момент, когда было получено уведомление что "Ваше письмо передано в Отдел обслуживания ЗАО "ПетерСтар"." мы имели только 4Гб(которые в принципе мы согласны оплатить), остальное словили из-за бесдействия/беспомощности суппорта.
Сегодня(спустя более суток после начала атаки) нам наконец-то прописали acl.
 
 
 
#8
Это нравится:0Да/0Нет
14.01.2005 00:59:19
А ты им намекни что мы новость опубликуем как петерстар не может оперативно боротся с DDoS атакой.  Сколько всего IP адресов атакующих было?

Мне пришлось провайдера сменить пару месяцев назад после такой атаки. Атака была с 4000 IP адресов. Счет выставили на штуку баксов.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#9
Это нравится:0Да/0Нет
14.01.2005 01:09:58
5 штук всего. накатал абузу в comcast.net, осталось 2(один комкастовский, другой из аола).
кстати интересно то что сначала они заявляли про невозможность написания acl, а тут взяли да написали.
 
 
 
#10
Это нравится:0Да/0Нет
14.01.2005 02:17:07
Pig killer
про 4000 IP-адрессов. Почему-то подумалось про random src которому на вход подставляются разнообразные сети.
Как последствие указания совсем левого IP кроме всего прочего счастья, арп начинает долбить соседей с вопросом "who has этого засранца?"

Вопрос поверну немного по другому.
Как лечить пинг с random src ?

ЗЫ.
Про абуз забыл. Хорошая вещь. И суппорт на том конце почему-то всегда быстрее отрабатывает.
 
 
 
#11
Это нравится:0Да/0Нет
14.01.2005 07:52:46
Господа, ответьте пожалуйста на такой вопрос - допустим, началась ddos-атака на мой хост и я его выключил, после этого будет считаться провайдером трафик, которым меня атакуют?
 
 
 
#12
Это нравится:0Да/0Нет
14.01.2005 09:29:12
Цитата
Sc4ndy пишет:
Господа, ответьте пожалуйста на такой вопрос - допустим, началась ddos-атака на мой хост и я его выключил, после этого будет считаться провайдером трафик, которым меня атакуют?  

По идее траф до провайдера дошёл, и они спишут его на тебя.
 
 
 
#13
Это нравится:0Да/0Нет
14.01.2005 09:40:09
Цитата
to0r пишет:
Pig killer
про 4000 IP-адрессов. Почему-то подумалось про random src которому на вход подставляются разнообразные сети.
Как последствие указания совсем левого IP кроме всего прочего счастья, арп начинает долбить соседей с вопросом "who has этого засранца?"
IP адреса были реальные. С них ишел HTTP и SYN флуд.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#14
Это нравится:0Да/0Нет
14.01.2005 09:40:54
а вообще рекомендую народ есть такая штука:
   Берем у провайдера никсовый пень 1 вполне хватит платим немного сверху они туда вешают биллинг систему. И как только начинаеться ДДос атака что нередкость в наше время. Вырубаем машинку и все провайдер с пакетами пусть сам разбрираеться у нас по крайней мере так делают в результате провайдер сам платит за трафик который не дошел до меня а так как это накладно то дыры все таки админы латают.
 
 
 
#15
Это нравится:0Да/0Нет
14.01.2005 09:45:20
У меня хуже ситуация было. После нескольких часов DDoS провайдер не долго думая вырубил весь трафик к этой машине. Однако так как атака еще 2 дня ишла на их маршрутизаторы, они все равно взяли деньги за весь трафик за 2 дня. Оправдания было простое - "трафик все равно ишел на наши маршрутизаторы". Так что ACL еще не значит что за трафик платить не придется.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#16
Это нравится:0Да/0Нет
14.01.2005 09:56:05
ну можно подать в суд это же все с нарушениями договора!  
 
 
 
#17
Это нравится:0Да/0Нет
14.01.2005 09:59:55
Цитата
async пишет:
ну можно подать в суд это же все с нарушениями договора!  
Это еще почему нарушение? Формально они правы, трафик то считается не на моей машнине, а на их граничном маршрутизаторе.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#18
Это нравится:0Да/0Нет
14.01.2005 10:00:17
Цитата
Pig killer пишет:
У меня хуже ситуация было. После нескольких часов DDoS провайдер не долго думая вырубил весь трафик к этой машине. Однако так как атака еще 2 дня ишла на их маршрутизаторы, они все равно взяли деньги за весь трафик за 2 дня. Оправдания было простое - "трафик все равно ишел на наши маршрутизаторы". Так что ACL еще не значит что за трафик платить не придется.
Ну ведь этого провайдера тоже должен был быть вышестоящий провайдер, что мешало им накать абузу и обрубить трафик на их маршрутизаторы? Мне кажется это уже явное вымогательство.
 
 
 
#19
Это нравится:0Да/0Нет
14.01.2005 10:14:09
Цитата
Sc4ndy пишет:
Господа, ответьте пожалуйста на такой вопрос - допустим, началась ddos-атака на мой хост и я его выключил, после этого будет считаться провайдером трафик, которым меня атакуют?  
На этот вопрос сложно ответить однозначно, поскольку учет трафика определяется условиями договора с провайдером. Если в договоре указано, что оплата осуществляется за входящий в сеть клиента трафик, можно отказываться от оплаты выставленных счетов и обращаться в суд, если у вас имеются подтверждения того, что вы этот трафик не принимали (кстати, провайдер в такой ситуации должен будет подтвердить обратное).
 
 
 
#20
Это нравится:0Да/0Нет
14.01.2005 10:37:52
Цитата
nmalykh пишет:
 
Цитата
Sc4ndy пишет:
Господа, ответьте пожалуйста на такой вопрос - допустим, началась ddos-атака на мой хост и я его выключил, после этого будет считаться провайдером трафик, которым меня атакуют?  
На этот вопрос сложно ответить однозначно, поскольку учет трафика определяется условиями договора с провайдером. Если в договоре указано, что оплата осуществляется за входящий в сеть клиента трафик, можно отказываться от оплаты выставленных счетов и обращаться в суд, если у вас имеются подтверждения того, что вы этот трафик не принимали (кстати, провайдер в такой ситуации должен будет подтвердить обратное).
Не помню точно как в договоре насчет сети клиента или провайдера, но у меня оплачивается превалирующий трафик. А договор надо пересмотреть и обговорить с провайдером этот вопрос, чтобы не возникали потом спорные ситуации.
 
 
 
Страницы: 1 2 3 След.
Читают тему