ako sa branit DDOS-u

[urgot]

Zdravim, vedel by mi nejaky sietar povedat, ako sa da branit proti ddosu?
Ide o jedneho streamera, ktoreho si vyhliadol nejaky pubertiak, a zacal ho ddosovat.
Hra mu zacne lagovat na nehratelnu uroven, a nemoze nic robit.
Par krat som si o tom hladal clanky, dokonca aj nasiel nato nastroje.
- co vsetko k tomu dotycny potrebuje aby na mna zacal utocit? staci mu ip-cka?
- ak ano, da sa problem vyriesit tak, ze si u isp dam zmenit ip adresu, popripade moze mi nejaku ochranu poskytnut isp?
- ak nie, existuju nato nejake platene sluzby?
- daju sa tieto ddos utoky nejako analyzovat, zistit ip adresu dotycneho a nasledne to pravne riesit? je to vobec nejako riesene v zakone?
alebo ak by sa mi aj podarilo ziskat ip adresu, tak to nebude priamo utocnikova ale proxy serveru napr?

ak ma niekto skusenosti ci uz ako obet, alebo isp, sem s tym
vdaka

[ITIaster]

čo by si povedal na to že ak nemá statickú IP tak sa mu mení ? ja to skôr tipujem na nízky výkon PC alebo prehrievanie komponentov ktoré si umelo znížia výkon (pokles FPS) aby sa mohli ochladiť , samozrejme ak sa to stáva iba počas online hrania , sú tu zase ďalšie možnosti , nech si skontroluje rýchlosť netu , svoj ping , no a nakoniec (neviem o akú hru ide ) môže byť preťažený samotný server..

[psichac]

- co vsetko k tomu dotycny potrebuje aby na mna zacal utocit? staci mu ip-cka?

Stačí mu IP, prípadne konkrétny port kam smeruje dáta

- ak ano, da sa problem vyriesit tak, ze si u isp dam zmenit ip adresu, popripade moze mi nejaku ochranu poskytnut isp?

zmena IP by mohla pomôcť ale môže to byť dočasné riešenie, ak si vie nejak vysledovať IP adresu toho hráča tak je to zbytočné.(napr diera v hernom serveri...)
čo sa ISP týka, podľa mňa by malo byť v jeho záujme (kedže to JEMU robí zbytočný traffic) aby mal v sieti nasadený nejaký nástroj ktorý by sa snažil blokovať DDoS.

- ak nie, existuju nato nejake platene sluzby?

neviem

- daju sa tieto ddos utoky nejako analyzovat, zistit ip adresu dotycneho a nasledne to pravne riesit? je to vobec nejako riesene v zakone?
alebo ak by sa mi aj podarilo ziskat ip adresu, tak to nebude priamo utocnikova ale proxy serveru napr?

Kedže sa bavíme o DDoS (distribuovaný denial of service) tak v podstate IP útočníka nevieš zistiť lebo on v podstate len dá povel a botnet vykoná potrebnú prácu (vygeneruje potrebný traffic ) čiže ty ako bežný user nijako nezistíš kto to bol.

A v prípade že by sa naozaj jednalo o DDoS tak by stálo za zváženie kontaktovať ISP, či o tom niečo nevedia, prípadne či vedia spraviť protiopatrenia.

[dxr]

Aj google mal nejaku sluzbu ktora pomahala proti DDOS-u kazdom pripade toto je skor na spolupracu s ISP.
potom su ako fest drahe riesenia ktore vedia ten narast traficu identifikovat a pouzivaju viac strategii.

Pruser je ze DDOS moze byt nejaky skriptik na nejakej nastevovanej stranke aj mimo SVK/CZE a
tebe mozu ist IPcky z celeho sveta pripadne kaskadovite sa zosilovat (cez DNS serveri a podobne)

[mac26]

nedavno som tu mal router od ASUSu, ten mal tusim tiez ochranu proti DOS, defaultne bola ale vypnuta.

[dxr]

len toto je Distribuovany Denial of Service....... DDoS to je nieco horsie....
nejaky malicky ASUS router co ledva taha linux a par stovak spojeni by klakol.
na toto sa pouzivaju vyssie rady CISCO alebo to balancuju/tlacia cez F5

[psichac]

nejaky mali asus klakne uz pri torrente
DoS je klasicky utok na obmedzenie sluzby a pri tomto na teba utoci jedna IP adresa takze sa da efektivne blokovat, takze aj nejaka pidi krabicka by to do urcitej miery zvladla (moj nazor, v praxi neovereny)
ale ako som uz napisal DDoS je distribuovany...naozaj to funguje na principe botnetu.
ty ako utocnik mas pod sebou niekolko pc ktore su napadnute tvojim programom, das poziadavku na utok na tvoju ip a dane pc zacnu generovat traffic. pripadne ako spomina dxr (a stalo sa to aj na SR, neviem, ci to bolo tento rok ci minuli) sa pouziju DNS servre na ktore sa posielala nejaka zmazocna poziadavka nasledkom coho bolo ze aj oni tomu prispeli
pohladaj si na dsl.sk alebo zive.sk, boli o tom clanky...


/tak minuli rok to bolo, iked totosa tykalo NTP zneuzitia, najdem aj to s DNS :
http://blog.vnet.sk/vnet-a-400gbps-ddos ... -europu-2/

//DNS dokonca v 2013 :
http://www.dsl.sk/article.php?article=13918
http://www.dsl.sk/article.php?article=14939

[dxr]

ja mam tiez spravu z 2013
tu je free riesenie od G.
http://gizmodo.com/google-now-offers-fr ... 1449416865

[rudko]

v praci pouzivame toto
http://www.cisco.com/c/en/us/products/c ... fa552.html
ak ma dost penazi smelo do toho

[dxr]

Teraz by bodlo porovnanie F5 vs CISCO

[urgot]

slaby vykon pc a prehrievanie? to pochybujem, kedze nedavno dotycny kupovat komplet novy pc a na komponentoch zrovna nesetril
a navyse ten utocnik sa tym chvalil na svojom facebooku, pisal tam statusy ze dotycny si uz nezahra, a vyzvy ako: hit this ip: xxx.xxx.xxx.xxx, + nieco pisal o whitehat/blackhat (nemam sajnu co to je)
-a myslim ze hry ako CS:GO a WOW to maju opatrene, aby sa bezny hraci nedostali k ip-ckam tych druhych
-ale napada ma skype- pokial viem tam sa da zistit ip adresa

[psichac]

noo, ano. Skype bol P2P, pokiaľ s tým mrkvosoft nič nerobil tak stále je, čiže pokiaľ ho má v kontaktoch a bol online, tak ho samozejme uvidí v connections (napr vo firewalle)
A samozrejme výzvam typu hit this.... sa neubráni, jedine zmeniť IP a odhlásiť skype

/teda, uvidí ho...uvidí dostupné (online) kontakty takže niekoľko IP adries... a až z toho vydedukuje ktorá je jeho nejako
//ked sa tým útočník chváli, tak si daný status printscreen a pošli email jeho ISP, preťažovanie linky resp. jej zneužívanie môže byť považované za porušenie zmluvných podmienok

[urgot]

lenze on nevie kto je utocnikov isp- a ak mas na mysli hracovho isp, tak medzi utocnikom a hracovym isp nie je ziadna zmluva, takze ziadne porusenie podmienok ci?

[psichac]

pokiaľ máš útočníkovu IP tak mi ju kludne pošli do SS, zistíme kto je ISP.

[urgot]

praveze nemam, preto som sa pytal, ci sa da ta adresa nejako ziskat, ale pisali ste, ze aj keby som nejaku ziskal, tak nemusi byt jeho, resp ich moze byt viac

ak by som mal tu ip-cku, hodit ju do whoisip by nebol zas taky problem (predpokladam ze tak by si zistoval isp)

[dudoo]

Pridám sem môj sedliacky názor:
V podstate môže byť problém v tom, že server patrí tomu "pubertiakovi" útočníkovi a ten má celkom dobrý prehľad kto odkiaľ sa mu tam pripája. A ak mu ide o to ukazovať sa aký je on pánko kibervládca a maipulátor, tak to treba riešiť cez ISP toho napadnúteho (v prípade, že jeho iSP je solidný a nieje to WIFI od vedľajšieho vchodu, tak by mal najsť nejaké riešenie na ochranu svojho zákazníka). Pretože útočník IP obete si dokáže zistiť vždy keď sa mu na ten server naloguje tak zmena IP nerieši jeho problém.

[psichac]

ved si pisal ze ho ma na skype... nech mu skusi napr zavolat alebo poslat subor aby lahsie zistil ip nez hadanim z tych ktore su akurat online...
pripadne si pozriet ci dany user nevystupuje aj niekde na webe v diskusiach, niektore maju pri prispevku aj ip adresu odosielatela bez posledneho oktetu a pokial mas toto + skype tak je velmi mala sanca ze by si tam mal viacero zhodnych adries.
hej, network-tools, ak by nenaslo tak osobny zoznam.

dudoo : tam by to bolo jasne, na druhej strane obet ma adresu servera a moze si overit ci sa jedna o domace pripojenie alebo normalny serverhousing. Ak je to domace, je to porusenie podmienok a koniec zmluvy.
aj keby to bola wifi z vedlajsieho vchodu (myslis pomenovanie zdielac dsl? ) tak aj ten dsl provider (tcom...) na to ma paky, ked by "zdielac" nechcel riesit, pohrozit emailom na TUSR a hned by nasli spolocnu rec

[dudoo]

Jasne myslel som niečo ako "zdielač" alebo "prenajímateľ" WIFI proste niekto, kto si na internete našiel, že sa dá skryť SSID a nastaviť heslo a súsedom za nejaké vopred dohodnúte výhody ponúknuť SSID s heslom. A šikonvnú podnájomníčku s trojkami očami od súsedov o poschodie vyššie v letných mesiacoch odpája len preto, aby jej to ako profesionál mohol u nej na notebooku nastaviť