Интересно получается.. Странно, что про XSS понаписано, а про банальный ddos ни слова. Достаточно ведь заказать миллион показов баннера, который будет в цикле отправлять тяжёлый запрос на нужный сайт. Или, например, десяток запросов для накрутки других баннеров..
В общем, много чего можно с этого получить. Так что придётся кое-кому шевелиться, решать эти вопросы. А то так бы и сидели до выпуска крупномасштабного вируса на ActionScript.
Rusty пишет: Интересно получается.. Странно, что про XSS понаписано, а про банальный ddos ни слова. Достаточно ведь заказать миллион показов баннера, который будет в цикле отправлять тяжёлый запрос на нужный сайт. Или, например, десяток запросов для накрутки других баннеров..
Rusty пишет: Достаточно ведь заказать миллион показов баннера, который будет в цикле отправлять тяжёлый запрос на нужный сайт. Или, например, десяток запросов для накрутки других баннеров..
Сперва firewall'ом мы ставим ограничение на к-во соединений с одного хсота, что решит проблему м-ва одновремнных подключений. Затем mod_security для особо наглых настроить. НУ а если распределенно мучают, то все графическое барахло выкидывается на отдельный web сервер - ломайтесь сколько влезет, страница всегда доступна будет(кроме графики). Или как вариант - http акселератор. Это вполне решаемо.
edwin пишет: Сперва firewall'ом мы ставим ограничение на к-во соединений с одного хсота, что решит проблему м-ва одновремнных подключений. Затем mod_security для особо наглых настроить.
Согласен, только не понял как тут мод-секьюрити поможет. Разве что настроить на специфическую сигнатуру от таких запросов.
Цитата
edwin пишет: НУ а если распределенно мучают, то все графическое барахло выкидывается на отдельный web сервер - ломайтесь сколько влезет, страница всегда доступна будет(кроме графики).
Не все такие богатые на отдельный сервер складывать.
Цитата
edwin пишет: Или как вариант - http акселератор.
Это что за чудо?
IMHO если было бы все так просто, небыло проблем ddos атак.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
JavaScript имеет кучу ограничений и в браузерах (не во всех:), и в баннерных сетях. И файрволы его проверяют, антивирусы тоже иногда. Флеш в этом смысле куда эффективней: никто не проверяет, а если попытаются -- будет куча проблем с расшифровкой.
edwin:
О чём речь-то? Что сайт можно защищать от ддоса? Да, можно пытаться, у некоторых даже более-менее получается. Разве это означает, что проблемы нет? Я писал о том, что можно через флеш устроить не какой-то персональный xss, а глобальный ddos, и что для этого уже есть удобная и развитая индустрия баннерных сетей. То, что 0.1% сайтов имеют защиту (если не привышен некоторый порог по интенсивности атаки) никак не снимает вопроса о возможности этой атаки через флеш.
ПС: Файрвол ест ресурсы, что само по-себе снижает скорость обработки запросов. С одного хоста -- это не про ddos. "Графическое барахло" -- это редко самая тяжёлая часть контента. А если на сайте выводится контент из БД, то без этой БД не будет и сайта, куда её не выноси. Акселлератор тоже подойдёт только для относительно статического контента. Итого: да, бороться можно, но сложно и все средства работают до определённого порога. Если банально окажется перегружен канал или роутер, то никакой файрвол на сервере не поможет.
Странные вы ребята... Для того, чтобы Flash в браузере юзера послал запрос на какой-то сайт (отличный от того, с которого был загружен), на том сайте обязтально должен лежать файл crossdomain.xml, в котором разрешается коннект с указанного сайта. Так что ничего из вышеописанного НЕ РАБОТАЕТ.
Merlin пишет: Странные вы ребята... Для того, чтобы Flash в браузере юзера послал запрос на какой-то сайт (отличный от того, с которого был загружен), на том сайте обязтально должен лежать файл crossdomain.xml, в котором разрешается коннект с указанного сайта. Так что ничего из вышеописанного НЕ РАБОТАЕТ.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Александр Антипов пишет: Согласен, только не понял как тут мод-секьюрити поможет. Разве что настроить на специфическую сигнатуру от таких запросов.
Именно. Когда идет массовая однотипная атака - настаивается для отсеивания.
Цитата
Александр Антипов пишет: Не все такие богатые на отдельный сервер складывать.
Я имел ввиду отдельный web сервер, на той-же физ. машине с соот. ограничениями на потребление ресурсов.
Цитата
Александр Антипов пишет: IMHO если было бы все так просто, небыло проблем ddos атак.
НУ вообще-то серьезные атаки редко случаются и боротся с ними тяжко. Но все что я сказал, относится к тому, что большую часть атак можно отсеить, что и надо делать
edwin пишет: Когда идет массовая однотипная атака - настаивается для отсеивания.
Меня ддосят постоянно. Но с мод секьюрити идея мне не очень нравится. Во первых атаки обычно кратковременные на пару часов. А быстро сигнатуру атаки не так просто определить. Быстрее IDS перевести в агресивный режим и блокировать все что подозрительно идет. Сейчас при атаке до 1000 хостов связка IDS+Firewall справляется с атакой за 20-30 минут. При большем количестве хостов все сложнее, уже каналы не справляются. Но это проблема провайдера.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Accept-Ranges, Age, Allow,Allowed, Connection, Content-Length, Content-Location, Content-Range, ETag, Host, Last-Modified,Locations, Max-Forwards, Proxy-Authenticate, Proxy-Authorization, Public, Range, Retry-After, Server,ТЕ, Trailer, Transfer-Encoding, Upgrade, URI, Vary, Via, Warning, WWW-Authenticate-эти заголовки вообще не доступны во флеше, так что о произвольном HTTP-заголовке не может быть и речи :). Да и Merlin прав, должен обязательно присутствовать crossdomain.xml
Извините, что не ответил сразу. Это когда между непосредственно http сервером и клиетами ставится некоеприложение - посредник, который частично кеширует контент и дергает http долько для выгребания динамики. К примеру тод-же squid можно так прикрутить. Если отдается много мелкой статики - эффект очень положительный.
Александр Антипов пишет: Быстрее IDS перевести в агресивный режим и блокировать все что подозрительно идет. Сейчас при атаке до 1000 хостов связка IDS+Firewall справляется с атакой за 20-30 минут.
Перед расшифровкой аббревиатуры, если есть сомнения, стоило зайти на сайт Макромедии (теперь Адоб), или на википедию - http://en.wikipedia.org/wiki/SWF
Гость пишет: Да, можно пытаться, у некоторых даже более-менее получается.
У некоторых очень хорошо получается. Например, у Akamai, у которых сеть из 15000 реверспрокси серверов, с которых отдается вебконтент, при чем хитрые DNS-сервера вместо IP адреса реального вебсервера отдают IP ближайшего к клиенту прокси-сервера Akamai, таким образом каждому DDoS-боту - свой прокси-сервер, который тот может долбить хоть до посинения. Защита по принципу "клин клином вышибают" - распределенная система прокси-серверов против распределенных DDoS атак.
Получить ответные куки это не тоже самое, что получить куки хранящиеся на компе пользователя (вреда от свеже полученых, а не от реальных кук нет)
Подделка Referer это конечно веселее: вреда для пользователя 0, но какой простор для банера-накрутки имитировать посещение со своего сайта для повышения бонусов разплюнуть.
Организация Дос возможна и другими законными средствами (без хаков, троянов)
Вывод: Выдать себя за текущего пользователя и получить в место него конфеденцальную информацию скрипт не может. ActionScript подрывает доверие у следящих за деятельностью людей в интернете
непрекосновенность пользователя не только сохранина но вносит неразбериху в ряды следящих за деятельностью людей в интернете
Ошибка Adobe не разработал язык ActionScript авторы языка 1 Future Animation 2 Macromedia ActionScript базируется на ECМАScript
Уважаемые, может я покажусь слишком казуистичным, но вывод таков, что crossdomain.xml действительно необходим, но и даже с его использованием ничего не выходит. Делал так: на сайте А располагаю сам SWF, на сайте В в корне располагаю crossdomain.xml (<allow-access-from domain="*" />). Гружу SWF из сайта А он переходит с заголовком "Expect" и полем "<script>alert(document.domain);</script>" на сайт В с методом GET через LoadVariables.send(); Алерт не выводит, хотя сайт В с версией апача 1.3.34 и гружу SWF из IE (лису тоже пробовал), у которого отключены все органичения по яве... Давайте рассудим что не так? Да, также пробовал явно указывать расположение файла полиси crossdomain.xml через System.security.loadPolicyFile(); Подскажите, кто знает, в чем дело. П.С.: Подтверждаю, что далеко не все типы заголовков могут быть сформированы. Список недоступных уже приводился здесь.