|
Poslao: 07 Feb 2007 15:37
|
offline
- Peca
- Glavni Administrator
- Predrag Damnjanović
- SysAdmin i programer
- Pridružio: 17 Apr 2003
- Poruke: 23211
- Gde živiš: Niš
|
Ne osetih nista...
Izgleda da internet paketi izmedju Srbije i MC servera ne idu preko tih backbone-ova
Inace, pitam se hoce li strucnjaci preuzeti nesto po pitanju pronalazenja zastite od toga... jedan inteligentan softver na ruteru bi mogao da resava te stvari, ali... eh....
|
|
|
|
Poslao: 07 Feb 2007 15:41
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Pa vidi, nasli su da je najveci deo napada bio izveden iz Juzne Koreje.
Jedino mogu da se tamo zale provajderima i nadprovajderima, a ovi su duzni da preuzmu mere prema krajnjim korisnicima.
Znam koliko je moj provajder azuran oko ovoga, tako da ne ocekujem nikakvu akciju.
Eventualno moze da ih pogodi da im sibnu da plate ovoliki protok, pa da ovi onda napadnu krajnjeg korisnika da on to plati.
Sve u svemu, za sve napade botnetova i slicnih, uvek su ISP-ovi oni koji mogu nesto da ucine, ali to uglavnom ne rade da ne bi izgubili musterije.
|
|
|
|
Poslao: 07 Feb 2007 15:46
|
offline
- Peca
- Glavni Administrator
- Predrag Damnjanović
- SysAdmin i programer
- Pridružio: 17 Apr 2003
- Poruke: 23211
- Gde živiš: Niš
|
Ma mislio sam na softverska resenja... automatska detekcija DDoS-a i automatsko filtriranje paketa...
|
|
|
|
Poslao: 07 Feb 2007 16:00
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Pa filtriranje ce da zastiti samo onog iza "filtera", a konekcija ispred njega ce i dalje da bude zagusena tako da legitimni paketi nece stici na red.
Jedino efikasno bi bilo da kada se detektuje DDoS, da se pokupe IP adrese, pa da se posalje policija da zakuca na vrata.
To je ono za cime sada kukaju proizvodjaci AV programa. Imali smo skoro temu sa izjavom Natalije Kasperski u kojoj poziva na ovakve akcije.
|
|
|
|
Poslao: 07 Feb 2007 16:02
|
offline
- Pridružio: 16 Feb 2006
- Poruke: 269
- Gde živiš: Šabac
|
Meni je internet postao spor u zadnja 2 meseca, ne uvek, ali često, pogotovu u terminima oko 21 uveče. To je bio početak akcije uvođenja ADSL-a, pa sam mislio da je zbog toga, al' vi'š, moguće da je ovih napada bilo i ranije
|
|
|
|
Poslao: 07 Feb 2007 16:12
|
offline
- purple
- Elitni građanin
- Pridružio: 02 Apr 2005
- Poruke: 1516
- Gde živiš: # :(){ :|:& };:
|
uh,bilo bi zlo i naopako da se desi tako neshto globalno na netu..
moze li net kao globalna mreza stvano da se po*ebe od strane individualaca kao shto su ovi?
|
|
|
|
Poslao: 07 Feb 2007 16:15
|
offline
- Peca
- Glavni Administrator
- Predrag Damnjanović
- SysAdmin i programer
- Pridružio: 17 Apr 2003
- Poruke: 23211
- Gde živiš: Niš
|
MladenIsakovic ::Meni je internet postao spor u zadnja 2 meseca, ne uvek, ali često, pogotovu u terminima oko 21 uveče. To je bio početak akcije uvođenja ADSL-a, pa sam mislio da je zbog toga, al' vi'š, moguće da je ovih napada bilo i ranije
uh, u zabludi si onda.
ovakvi napadi se dese mozda jednom u godinu dana.
to sto je tvoj net spor je ili zato sto tvoj provajder nema dovoljno veliki link za sve korisnike, ili je ADSL agregacija u pitanju.
al ne idimo offtopic.
Dopuna: 07 Feb 2007 16:15
purple ::uh,bilo bi zlo i naopako da se desi tako neshto globalno na netu..
moze li net kao globalna mreza stvano da se po*ebe od strane individualaca kao shto su ovi?
moze, na par sati recimo
ali ako se botnet mreza omasovi, mozda cemo imati ceste takve ispade
|
|
|
|
Poslao: 07 Feb 2007 17:08
|
offline
- Pridružio: 09 Dec 2004
- Poruke: 6488
- Gde živiš: Nis -> ***Durlan City***
|
Ja sam definitivno osetio ovo... ali definitivno
mozda je nesto do mene, ali stvarno je bio nekako... neobicno prigusen... na momente.. weired
|
|
|
|
Poslao: 07 Feb 2007 17:32
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Ovo je bila samo proba.
Jedan botnet ne moze da se koristi puno puta bez da uposlis programera koji ce da radi 24/7.
Jedan model bota moze da prezivi svega par dana u divljini dok ne bude otkriven ukoliko je u procesu sirenja.
Da bi botnet preziveo, skoro svaki dan bot mora da se modifikuje.
Kada se bot useli na neki komp, on periodicno (recimo na sat vremena) proverava da li je izasao update (novi model) i kada se update pojavi ovaj ga skine, instalira, a sebe obrise.
Ovaj proces je neprestan, i ukoliko se ne pojavi novi model u roku od par dana, a stari je nastavio sirenje, velika je verovatnoca da ce biti uhvacen i ubacen u detekcije.
Znaci, neko ko drzi jedan botnet ove velicine garant iza sebe ima ogromnu masineriju koja vrsi modifikacije bota.
U divljini se sada nalaze mozda svega 10 familija botova (RxBot, SdBot...) a dnevno se pojave minimum 10 modifikacija svakog od njih.
U moj honeypot upadaju minimum po 3 modifikacije dnevno, a pred Novu Godinu su se u jednom danu upecale cak 27 modifikacija RxBota i jedno 10 SdBota.
Zanimljivo je da se najvise sire preko DCOM, LSASS i ASN1 exploita:
DCOM (2003 godina): http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
LSASS (2004 godina): http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
ASN1 (2004 godina): http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx
Kada se pogleda koliko su to matore greske koje su ispravljene pre par vekova, zapitam se kako to da neko toliko godina nije uradio update Windowsa.
|
|
|
|