DoS/DDoS – uvaha
UPOZORNENIE: Autor nasledujuceho textu je dislektik a za vsetky gramaticke chyby sa vopred ospravedlnuje. Ak niekto z radov PU na blackhole.sk opravi gramaticke chyby v tomto clanku, zaplatim mu tolko piv, kolko dokaze vypit. Clanok je pisany v style Request for Comments. Komenty rad prijmem pod tymto clankom. Ak nie ste clenom posadky blackhole.sk, poslite ich prosim na adresu catcher@hysteria.sk a subject nastavte na DDDoSuvaha. Dakujem.
Pojmy:
DoS – Denial of Service – utok, ktory spociva v zahlteni cieloveho stroja falosnymi poziadavkami na sluzbu, ktoru cielovy stroj standardne poskytuje vsetkym klientom v sieti. Vysledkom utoku je neschopnost cieloveho stroja obsluzit legitimne poziadavky legitimnich klientov, pretoze je zahlteny a zamestnany obsluhovanim falosnych poziadaviek utocnika.
DDoS – Distributed Denial of Service – utok Dos je uspesny len v tom pripade, ked pocet falosnych poziadaviek, ktore dokaze utociaci stroj poslat za jednu sekundu na cielovy stroj je vyssi, nez pocet poziadaviek, ktore dokaze cielovy stroj plnohodnotne obsluzit za sekundu. Uspesnost utoku sa teda moze zvysit, ak na ciel posiela falosne poziadavky niekolko utociacich strojov s nezavislym HW a nezavislym prenosovym pasmom. To je utok DDoS. V praxi sa pocet utociacich strojov pohybuje v radovo stoviek az tisicov. Tieto utociace stroje su spravidla pripojene do jedneho botnetu a utok je teda distribuovany a decentralizovany, ale centralne ovladany a koordinovany.
BotNet – siet nezavislych strojov topologicky a geograficky decentralizovanych. Kazdy stroj poskytuje podstatnu cast svojho vypoctoveho vykonu a prenosoveho pasma smerom do siete, ktore ma k dispozicii. Drviva vacsina DDoS utokov v blizkej minulosti bola vedena zo siestich znamych botnetov. Dosledky kazdeho z nich boli viac, ci menej katastrofalne.
Ako sa chranit?
Za momentalnych podmienok, ktore v sieti Internet prevladaju, je odpoved jednoducha – nijako. Tato uvaha ma vsak za ulohu vysvetlit priciny absencie sposobov plnej ochrany pred touto pliagou, niciacou hodnoty vybodovane a starostlivo udrziavane na sieti Internet. Dalsim poslanim tejto uvahy je navrhnut riesenie na baze “zdravej vyzivy a prevencie” namiesto “liekov proti bolesti”.
Neuspesni kandidati na sposob ochrany pred DoS/DDoS
Prvym sposobom ochrany bol samotny fakt, ze stroj poskytujuci sluzby, ktore su citlive na utok typu DoS, mal k dispozicii omnoho vacsi vypoctovy vykon a prenosove pasmo, ktore mal k dispozicii na prijimanie poziadaviek a odosielanie odpovedi, bolo omnoho sirsie, ako pasmo na posielanie poziadavkov, ktore mal k dispozicii hociktory zo strojov, v ulohe klienta, na tej istej sieti. Trhliny v tomto rieseni su zjavne hned na druhy ci treti pohlad. Majitel hociktoreho stroja v ulohe klienta mohol svoj stroj upravit tak, aby mal k dispozicii vyssi vypoctovy vykon, ako stroj v ulohe poskytovatela sluzby (poznamka - vypoctovy vykon v tomto pripade nie je velmi dolezity. Na posielanie jedneho falosneho requestu od falosneho klienta totiz je potrebny mensi vypoctovy vykon, ako na jeho obsluzenie na strane servera). Majitel tohoto stroja tiez mohol od poskytovatela pripojenia do siete ziskat sirsie prenosove pasmo na odosielanie falosnych poziadaviek. Sirka tohoto pasma mohla dokonca prevysit sirku prenosoveho pasma na prijimanie poziadavkov na strane posklytovatela sluzby (budeme mu dalej vraviet ‘server’ alebo ‘ciel’). Netreba sa cudovat, toto riesenie totiz nebolo navrhovane ako ochrana pred DoS/DDoS, ale ako riesenie na obsluzenie nadmerneho poctu legitimnych poziadavkov v case spickoveho vyuzivania sluzieb ciela legitimnymi uzivatelmi klientskych strojov v sieti. Myslim, ze ani netreba prilis pripominat, ako bolo toto riesenie strhnute zo svojich, uz aj tak vratkych noziciek, samotnou charakteristikou utokov typu DDoS.
Dalsim riesenim bola uprava riesenia pre iny problem – packet filtering. Hovori sa tomu tiez firewall. Samotny packet filtering neposkytuje ziadnu ochranu pred utokmi DoS a DDoS. Packet filtering totiz funguje na baze analyzy packetov a nasledneho ukonu na packete hned po jeho prijati kernelom. Packet filter porovnava vysledky analyzy prijateho packetu s pravidlami, ktore su prednastavene administratorom a vysledkom tohoto procesu je jeden z nasledujucich ukonov:
Accept – packet bude posunuty do bufferu socketu, ktory bol vytvoreny funkciou socket alebo socketpair v beziacom procese, ktory bol predtym funkciou bind spriahnuty s portom, ktory figuruje v hlavicke predmetneho packetu. Packet je potom obsluzeny samotnou aplikaciou standardne.
Reject – packet nebude posunuty do vyssie spominaneho bufferu, ale bude zniceny a jeho odosielatelovi sa odosle nejaka forma spravy o tom, ze jeho packet nebol prijaty cielovou aplikaciou/sluzbou na cielovom stroji.
Drop – packet nebude posunuty do vyssie spominaneho buffer-a, ale bude zniceny a jeho odosielatelovi nebude zaslana ziadna sprava
Priklad:
Programom ping posleme niekolko ICMP packetov zo stroja A na stroj B. Ak je packet filter na stroji B nastaveny tak, ze packety ICMP splnaju podmienky pre ukon accept, packet bude prijaty strojom B a nalezite spracovany. Stroj B potom posle stroju A iny packet s vysledkom spracovania a my mozeme vidiet, ze stroj B je funkcny a za aky dlhy cas sme prijali odpoved na nas packet. Ak je packet filter na stroji B nastaveny tak, ze packety ICMP splnaju podmienky pre ukon reject, stroj B packet nespracuje, ale ho znici a posle stroju A spravu “destination host unreachable” (packet filter moze totiz bezat na inom stroji po ceste). Ak sa jedna o ukon drop, stroj B (alebo packet filter beziaci na inom stroji medzi A a B) packet znici a neposle o tom ziadnu spravu na stroj A. My potom chvilu nevidime nic a potom nam program ping nejakym sposobom oznami, ze nedostal ziadnu odpoved (ping timeout).
V tomto bode uvahy si musime uvedomit, ze falosne poziadavky odosielane z utociaceho na cielovy stroj, zasadne splnaju podmienky pre ukon accept. Packet filter totiz nedokaze rozoznat falosnu poziadavku od legitimnej poziadavky. Riesenie vsak existuje – mozeme packet filter upravit/pridat mu funkcionalitu, ktora mu umozni analyzovat packety v sirsom kontexte. Nebude analyzovat jednotlive packety, ale skupiny packetov. DoS/DDoS packety sa totiz daju lahko odhalit. Spravidla prichadza na cielovy stroj velke mnozstvo rovnakych poziadaviek, z jednej alebo viacerych IP adries a sposob, akym prichadzaju, je nezlucitelny s realnym vyuzivanim danej sluzby. Takto teda vieme rozoznat falosne poziadavky od legitimnych. Teraz nam uz len staci do packet filtru implementovat system, ktory bude automaticky a dynamicky menit pravidla packet filtra na zaklade vysledkov analyzy nie jednotlivych packetov, ale velkych skupin packetov.
Priklad:
Vidime, ze na webserver nam za sekundu prislo 20 HTTP poziadaviek na jeden a ten isty html subor z jednej IP adresy, pricom samotne packety, ktore tieto poziadavky obsahuju, su identicke. To znamena, ze sa nejedna o legitimne poziadavky a z toho, ze packety su uplne rovnake vyplyva, ze sa nejedna ani o NAT stroj, ktory by mohol posielat poziadavky velkeho mnozstva klientov na jeho lokalnej sieti zo svojej externej IP adresy na cielovy stroj s beziacim httpd. Vzhladom k tymto vysledkom analyzy velkej skupiny packetov mozeme nastavit packet filtru nove pravidlo, ktore tieto packety neprepusti dalej. Tu este treba zdoraznit, ze v tomto pripade su z hladiska sietovej priepustnosti ukony Accept a Reject relativne rovnocenne, nakolko ukon reject posiela spravu naspat a tym obsadzuje prenosove pasmo urcene na prenasanie odpovedi na legitimne poziadavky legitimnych klientov. V tomto pripade teda musime packet filer nastavit tak, aby sa pri detekcii DoS/DDoS utoku vytvorilo nove pravidlo, na zaklade ktoreho budu predmetne packety, nesuce falosne poziadavky dropnute, cim sa usetri vypoctovy vykon spotrebovany packet filtrom na vygenerovanie spravy o neprijati packetu a sirka pasma, ktora by bola potrebna na odoslanie spravy o neprijati packetu.
Riesenie by sme teda mali, podme sa nan ale pozriet zblizka a hned zistime, ze v praxi je nedostatocne. Packet filter totiz potrebuje vypoctovy vykon na analyzu jadnotlivych packetov. Cim viac packetov prijme, tym viac vypoctoveho vykonu spotrebuje na ich analyzu. Dostatocne velky botnet teda moze byt schopny poslat na ciel take mnozstvo falosnych poziadaviek, ze packet filter nestihne packety, ktore tieto poziadavky nesu, zanalyzovat, pricom vsak pouzije cely vypoctovy vykon, ktory ma k dispozicii. V dosledku toho nebude mat sluzba, ktora na cieli primarne bezi, dostatok vypoctoveho vykonu na obsluzenie legitimnych poziadavkov a DoS/DDoS utok sa tym stane uspesnym. Profesionalne riesenia vsak nezdruzuju packet filter a sluzbu samotnu na jednom stroji. Vacsinou sa jedna o sustavu strojov, pricom packet filter bezi na nezavislom stroji pred strojom, na ktorom bezi primarna sluzba. Takato implementacia eliminuje problem spotrebovania celeho vypoctoveho vykonu packet filtrom a stroj, na ktorom bezi primarna sluzba, ma vzdy k dispozicii dostatok vykonu na obsluzenie legitimnych poziadaviek.
Na dalsi problem v tejto nekonecnej retazi problemov narazime, ak sa zamyslime nad packet filtrom, ktory bezi na nezavislom stroji. Ten ma k dispozicii urcity vypoctovy vykon, ktory pouziva podla momentalnej potreby na analyzu packetov a na vykonavanie ukonov, vyplyvajucich z analyzy (accept, reject, drop). Ak ale dostane take mnozstvo packetov, ze pri plnom zatazeni procesora stale nestiha analyzovat vsetky prichadzajuce packety, uschovava si tie, ktore prave nemozu byt analyzovane v bufferi, ktory sa schematicky nachadza medzi kernelom a analyzatorom. Tento buffer je zasadne typu FIFO a ma istu velkost (moznost tuto velkost dynamicky menit je irelevantna, nakolko ju nemozeme zvacsit na nekonecne mnozstvo bytov). Vezmime tiez v uvahu fakt, ze DoS/DDoS utok prebieha konstantne, pricom vsak buffer packet filtera je navrhnuty pre riesenie kratkodobych spickovych situacii velkeho zatazenia. Moze sa teda stat, ze tento buffer sa naplni a potom nastane jedna z nasledujucich moznosti:
Prva: buffer pretecie na vstupe a packety, ktore don dalej prudia sa stracaju. Cely system sa chova tak, ako keby packety neanalyzoval, ale na vsetky by pouzil ukon drop (to vsak len v pripade, ze vstup buffera je proti preteceniu nalezite osetreny a data sa naozaj stracaju namiesto toho, aby sa zapisovali do nealokovanych alebo inymi programmi alokovanych casti pamate, co by sposobilo ine, zrejme vacsie problemy z hladiska funkcnosti celeho systemu a okrem toho by to poskytlo priestor pre cielene zapisovanie pripravenych dat do nepatricnych casti pamate a nasledne zneuzitie systemu – to je ale ina tema, zvedavci nech si vygooglia clanok “Smashing the stack for fun and profit”). Z hladiska priepustnosti a dostupnosti sluzby je to nemyslitelne a preto zrejme nastane moznost
Druha: buffer pretecie na vystupe (co je vlastne dosledok spatnej vazby medzi vstupom buffera a vstupom analyzatora) a analyzator prestane packety analyzovat, ale vsetky podrobi jednemu zo svojich troch moznych ukonov (accept, reject, drop). Z hladiska zachovania trochu vyssie spominanej priepustnosti a dostupnosti sluzby to bude zrejme pravidlo allow, cim sa packet filter na kratku chvilu zmeni na obycajny kus kabla, ktory packety prenasa. Za tuto kratku chvilu sa uvolni skoro cely jeho vypoctovy vykon. Packet filter splachne (flush) svoj vstupny buffer, podla moznosti mu bude nejakym sposobom poslany signal 1 (sighup), cim svoju cinnost zahaji znovu s prazdnym bufferom a pracuje dalej. Treba dodat, ze sighup nemusi byt potrebny, nakolko sa usetril vypoctovy vykon potrebny na analyzu packetov a vsetky packety dostanu zelenu a pokracuju na stroj s primarnou sluzbou.
Pocas tejto kratkej chvile vsak stroj, na ktorom bezi primarna sluzba, dostane velke mnozstvo falosnych poziadaviek, spotrebuje cely svoj vypoctovy vykon na ich nezmyselne obsluzenie a pritom zaplni vsetky svoje buffre a DoS/DDoS utok je uspesny. Snad netreba pripominat fakt, ze perioda prichadzania falosnych packetov na vstup buffera packet filtera moze byt natolko kratka, ze tento proces resetu packet filtra a kratkodobeho zahltenia primarnej sluzby moze nastat aj niekolkokrat za sekundu a DoS/DDoS utok bude zase co? Bude zase uspesny. Kazdy zo siestich velkych botnetov fungujucich v dnesnej dobe na internete je tohoto schopny pri utoku na akykolvek system na internete okrem jedneho, o ktorom ale bude rec neskor.
Anycast
Dalsie riesenie sa vola anycast. Nenechajte sa zmylit wikipediou – anycast nema nic spolocne s broadcastom, multicastom a unicastom. Samotna myslienka je sice podobna, ale z hladiska siete sa nachadza na uplne inej urovni (a inej vrstve). Anycast je system triedenia packetov prichadzajucich na jeden system. Packety sa mozu delit geograficky, topologicky alebo na zaklade momentalneho stavu celeho systemu a jemu prislusnej siete. Cely trik spociva v tom (a teraz budeme anycast aplikovat na nas packet filter z predchadzajucej kapitoly), ze packety, ktore maju prichadzat na jeden stroj, sa podla geografickej polohy odosielatela, alebo podla jeho topologickej polohy, alebo podla momentalneho stavu (zataze) ciela a jemu prislusnej siete, smeruju na rozne stroje namiesto toho, aby smerovali na jeden stroj. Botnety su geograficky a topologicky decentralizovane, takze pouzitim anycastu sa dosiahne, ze packety smerujuce na jeden system, vlastne prichadzaju na rozne systemy, cim sa zataz celeho systemu rovnomerne rozlozi na viac strojov. Na tomto principe funguje sluzba DNS. Je to jedina sluzba, jediny funkcny system na Internete, ktory je imunny voci utokom DoS a DDoS v plnom rozsahu. Riesenim anycast a pouzitim protokolu BGP sa dosahuje stav, ked nie je mozne zahltit alebo pretazit ani jeden z korenovych DNS serverov Internetu. Podme sa ale pozriet, za aku cenu.
Preco je DNS nepriestrelna sluzba?
Pretoze sa do nej investovalo naozaj velmi, ale velmi vela milionov dolarov. Jednotlive korenove DNS servery su vlastne velke serverove farmy, z ktorych kazda stala obrovske financne prostriedky a stale poziera znacne prostriedky, potrebne na svoju bezproblemovu prevadzku. Cele toto riesenie je financovane vsetkymi pouzivatelmi siete Internet. Kazdy, kto pouziva Internet plati poplatky, z ktorych cast je priamo alebo nepriamo pouzita na chod sluzby DNS. Ako uz citatel asi pochopil, je nemozne anycast na baze protokolu BGP (alebo podobneho) implementovat na vsetky systemy Internetu – bolo by to proste prilis drahe. A okrem toho to aj tak neriesi cely problem, pretoze je mozne, ze poloha a IP adresa jednotlivych serverov, spolupracujucich na baze anycast, by sa dala zistit a utok DoS/DDoS by bol vedny priamo na jednotlive stroje, cim by sa dosiahla uspesnost DoS/DDoS utoku len v istej casti siete prislusneho systemu. Napriklad by google fingoval vsade, okrem Slovenska (toto by mohlo nastat aj z hladiska topologickeho, namiesto geografickeho).
K comu sme teda dosli?
Dokonala ochrana proti DoS/DDoS utoku existuje, ale nemozeme si ju dovolit, Existuje vsak ine riesenie, ktore je v podstate riesenim nepriamym. Ak nam totiz vadi, ze trava na travniku je prilis vysoka, mozeme ju par krat do roka pokosit, ale mozeme tiez zabetonovat cely travnik, cim problem uplne eliminujeme. Zakladnym prostriedkom existencie hrozby DoS/DDoS utokov je existencia botnetov. Botnety sa skladaju z domacich a kancelarskych PC s operacnym systemom od spolocnosti Microsoft (poznamka: vyhradzujem si pravo zmazat akykolvek komentar k tejto uvahe, ktory co i len naznakom spomenie moznost, ze chyba nie je v Microsofte - nemam totiz cas vysvetlovat, preco je to tak, ak tomu este niekto nerozumie, nech si precita ventylove clanky zo serie "How it's made" a "Why I hate Microsoft" uverejnene na blackhole.sk). Problem je v tom, ze na drvivej vacsine domacich a kancelarskych pocitacov je nainstalovany Windows, o ktory sa nikto poriadne nestara. Taketo pocitace su nakazene malwarom, ktory ich pripoji do botnetu a umozni ich zneuzitie na (nielen) DDoS utoky (poznamka: drviva vacsina spamu je odoslana z takto zneuzitych pocitacov.
Ako to vyriesit?
To je tazka otazka, ale mozno by pomohla osveta. Mozno by pomohlo, keby poskytovatelia pripojenia k Internetu pristupovali k svojej ulohe zodpovednejsie a okrem tvorby zisku, by sa zaoberali aj bezpecnostou. Mozno by pomohlo, keby spolocnost Microsoft pristupovala zodpovednejsie k vyvoju svojho operacneho systemu. Mozno by pomohlo, keby spolocnost Microsoft zamestnala par programatorov, ktori by ich nosny produkt profesionalne prekopali podla standardu POSIX. Windows je doteraz stale postaveny na standarde MULTICS a to sposobuje, ze sa cely system topi v komplexite a chyby sa vlecu a vlecu od 3.11 az do Longhornu... Spolocnost Apple prerobila svoj operacny system (od verzie X je to uz cisty POSIX) a pomohlo to (nie ze by pedtym mal MacOS problemy s virusmi) a MacOS sa stal lepsim systemom. Viete si predstavit, aky by bol svet krasny, keby Microsoft takto jedneho dna uviedol na svet operacny system dosledne zalozeny na standarde POSIX? Ja osobne by som mal kludnejsi spanok. Viete si predstavit svet bez virusov? Svet bez spamu? Svet bez hrozby DoS/DDoS Ja ano! Takyto svet by sa mi pacil!
To vsak nie je jednoduche. Mozno sa pamatate na tento clanok:
http://moishelettvin.blogspot.com/2006/11/windows-shutdown-crapfest.html
Napisal ho byvaly zamestnanec spolocnosti Microsoft a pojednava o sposobe vyvoja operacneho systemu Microsoft Vista. Ak si tento clanok cely precitate, pochopite, ze mozeme byt radi, ze operacne systemy od tejto spolocnosti vobec funguju tak, ako funguju. Sposob, akym su vyvijane, je totiz velmi zlozity a matuci. O rozdieloch medzi vyvojom opensource software a vyvojom komercnych aplikacii pojednava tiez legendarna kniha "The Cathedral and the Bazaar" od hackera Erica S Raymonda. Nechcem zboznovat opensource (poznamka: sam totiz zastavam nazor, ze Linux sa komercnym UNIXom este stale nedokaze vyrovnat (z hladiska bezpecnosti a stability) a stale uprednostnujem AIX a BSD pred Linuxom vsade, kde je to len mozne), ale prax naozaj ukazuje, ze open source funguje lepsie, ako "katedralny" vyvoj komercnych aplikacii, ktorych zmyslom, koniec koncov, je v prvom rade tvorba zisku a nie funkcnost a stabilita.
Casto sa stretavam s ludmi, ktori tvrdia, ze "Na linuxe mi nefunguje zvuk" alebo "neviem napalovat tak jednoduchym sposobom, ako vo Windows" alebo "Open Office este stale nie je dost dobry" a velmi ma znepokojuje, ze prehliadaju ovela dolezitejsie aspekty a to najma bezpecnost. Ano, Skodovka sa stale soferovala lahsie ako Lada, lebo bola lahsia o par stovak kg, ale co bolo bezpecnejsie? Co bolo silnejsie? Ktora z tychto dvoch automobiliek vyrabala auto s vykonom 80 konskych sil v sedemdesiatych rokoch? Bola do Skoda? Nie! Bola to Lada!
Momentalnu situaciu znacne vylepsuje snaha antivirovych a antimalwareovych spolocnosti, ktorych obchodnou prioritou je vyrabat kvalitny software - uzivatelia sa totiz riadia rebrickami, ktore su relativne neoklamatelne - toto vyplyva z antiviroveho a antimalwareoveho trhu, ktory je oproti trhu s OS velmi zdravy a prevlada v nom duch dravej konkurencie. Do boja proti hrozbe DoS/DDoS a tiez spamu by sa este mohli pripojit ISP a Microsoft. Svet by bol hned vonavejsi :>
10. marca 2008
Tomas Catcher Tudja
Opravy:
Na zaklade podnetu od pX som konecne pochopil co je FIFO a co je LIFO a co je buffer a co je heap (to je dost hanba, ze som to pochopil az teraz na stare kolena :>) Chyba v clanku je patricne opravena. Dakujem za comment a prosim dalsich citatelov, aby upozornili na dalsie chyby.
Nieco mi nesedi: ... Tento buffer je zasadne typu LIFO ...
a. urcite je LIFO? teda by sa pri spravnom zatazeni niektore pakety z neho nikdy nedostali?
b. ja si myslim, ze buffer je nazov pre FIFO a stack (zasobnik) je nazov pre LIFO
Ale pekne citanie.
==
Správnemu programátorovi stačí pivo a google.
hmm... FIFO = first in first out a LIFO = last in first out. Z toho mi nejak logicky (pricom musim priznat, ze mne valstna logika nie vzdy koresponduje s realnym svetom :>) vyplyva, ze FIFO je buffer, do ktoreho strany A prudia data a z tej istej strany prudia data von, pricom LIFO je buffer, do ktoreho strany A data prudia, ale odchadzaju z neho data zo strany B. Ak by to bolo inak, prve packety v buffery by boli riesene ako posledne a posledne ako prve. V kazdom pripade asi nie celkom rozumiem danej problematike, takze pls trosku to popis v dalsom commente, aby som opravil clanok.
prve packety -> riesene ako posledne
First In -> Last Out == Last In -> First Out
Som si na 99.9% isty, ze FIFO je rura - vkladas z jednej strany a vyberas z druhej
LIFO je ucpata rura - vkladas aj vyberas z tej istej strany.
> FIFO je buffer, do ktoreho strany A prudia data a z tej istej strany prudia data von
no predstav si, ze do toho, co si predstavujes vlozis zaznamy 1, 2, 3, 4, 5 a ides vyberat.
FIFO: vyberas postupne 1, 2, 3, 4, 5
LIFO: vyberas postupne 5, 4, 3, 2, 1
==
Správnemu programátorovi stačí pivo a google.
Ano, uz tomu rozumiem (google pomohol) Mal som to (z nepozhopitelnych dovodov) prehodene, ale musim sa pochvalit, ze som tomu v podstate rozumel spravne, len som si zle vysvetloval zmysel skratiek FIFO a LIFO :> Teraz je mi uz aj delenie na zasobnik (FIFO) a hromadu (heap - LIFO) jasne :>
Slovenské ekvivalenty, ktoré nám k tomu priradili v škole:
v pamätiach typu SAM:
FIFO = Fronta (v obchode, alebo proste bežiaci pás:-)
LIFO = Zásobník (náboje...prvý v zásobníku = posledný v hlave)
pekny clanocek, celkom si sa vyhral. skusim aj ja dat svoju trosku do mlyna. zacnem sietou
s tymi korenovymi dns mas pravdu, no nemas pravdu ze su jedine. v podstate na tento isty sposob funguje CDN, sam tam mam niekolko peknych kuskov masiniek, ktore mi umoznuju adekvatne rozdelovat zataz. odchytavaniu DDoSu sa zaobera aj napriklad spolocnost prolexic, ktora vyuziva CDN na rozdelovanie kapacit a zaroven cisco guard, ktory funguje ako analyzer packetov. ten zvlada spracovat prietok az do 1Gbit. Pri ich kombinacii je DDoS bezpredmetny, pretoze nikdy nedokaze vyvinut dostatocnu silu, aby odstavil vacsinu strojov, co by malo za nasledok lokalne vypadky (alebo viditelne spomalenie prace so sluzbou na strane klienta).
v jednej veci sa tiez trosku mylis. nejedna sa o radovo stovky, alebo tisice masin, ale desatisice az statisice. to ze najvavacsie botnety maju niekolko milionov infikovanych strojov je zname davno. bezny mensi botnet ale s dotatocnou silou sa pohybuje okolo cisla pol milion. vytvorit podobny botnet je otazka niekolkych tyzdnov, obcas aj rychlejsie. zalezi od sposobu sirenia malware.
co sa tyka windows, plny suhlas. 80% svetoveho spamu pochadza zo 6 botnetov (dufam ze sa nik nenahneva ze odkazujem na seba, nechce sa mi vsak hladat ci o tom pisal aj niekto iny, kludne si pohladajte na google). windows ma mnoho chyb. vdaka nemu existuje malware scena a vdaka nemu su uzivatela mostly tupe telce (tiez mam win, nemam sa co chvalit :P). bohuzial, este vela vody pretecie, kym sa nieco zmeni.
co sa tyka anti-virusovych spolocnosti, to co si myslis je len zbozne prianie. ano, existuje dravy trh, ale na druhu stranu, tieto spolocnosti urobia vsetko preto, aby ich produkty boli live. keby ms zmenil svoju politiku a windows by bol napisany podla POSIX, spolocnosti by prisli o svoju obzivu. proti 0day chranit nedokazu, takze by boli dobre len z nostalgickeho hladiska. ver mi, ze bezpecnostne riesenia dnes pohlcuju stovky miliard dolarov po celom svete rocne. to vdaka niekolkym! osobam. takze ono to nie je tak jednoduche, ako sa na prvy pohlad zda.
chyba aj je, ze stat nepodporuje skoly open-source produktami ale ms. jasne, ja viem, ze ms to dava zdarma, nuz, to je zamer. raz som sedel s jednym analytikom z ms, ktory mi objasnil, preco ms tak "laxne" bojuje proti svojim piratskym kopiam na home pc. ano, maju GAV (Genuine Advantage Validation), ale ten byva odstranovany do hodin od vydania. no a preco ms chce aby home user mal doma cracknuty win? (teda nie ze by to chcel primarne, ale vyhovuje mu to). ked ma niekto doma win, co si kupi do kanclu? videl som na to aj celkom peknu private studiu, ale nie je problem sa spytat kohokolvek kto ma win, nakolko je schopny/ochotny pouzivat iny os v praci.
kazdopadne clanok je velmi pekny, ja som si svoj odbil pri popise utoku na lightstorm (ktory podotykam uz aspon milionty krat nebol PR). botnety su pre mna fascinujuce, hlavne nova generacia. tam uz nie je problem menit TTL, velkosti packetov on-the-fly a ich odhalovanie je strasne zlozite. dalsi problem je, ze vacsinou sa pouziva subezne niekolko utokov (dnes velmi popularny je ddos cez p2p siete). predava sa jeden vyznamny bug dc++, ktory umoznuje urobit remote listing pre akukolvek ip a port. tzn, ze uzivatel si "requestne" zoznam niekoho, kto ani dc++ nema. nie ze by to pre neho nieco znamenalo, no ked takto pouzijes par tisic masin, hned to vyzera inak (zatial som videl najvacsi utok okolo 1Gbit cez tento sposob). moznosti je vela a hlavne dnesny vysokovykonny malware uz funguje pomaly ako samostatna centrala, kde sa da urobit prakticky cokolvek.
------------------------------
http://blog.synopsi.com
pekne zhrnute, jedine co by som si dovolil nesuhlasit, je ten optimisticky koniec. Botnety su coraz sofistikovanejsie a co horsie so Stormom/Nuware/Peacomm/Zhelatin sa objavil neprijemny protivnik - velmi odolne komercne botnety. Proti bonetu ktory pouziva fast-flux DNS, je decentralizovany cez DHT, ma heterogennu siet a co je najdolezitejsie je vyvijany za behu nezmozes takmer nic. Ked si niekto taketo nieco da za velke prachy napisat, bude to aj primerane ucinne, navzdory snahe antivirusovych a antimalwarovych spolocnosti (pri Storme kazdy ukazoval prstom na RBN, tajne sluzby nemenovanych statov ci nedajboze byvalu KGB, ale zatial som nepocul ziadne fakty - len same dohady). Pri peniazoch ake sa tocia okolo botnetov, si autori mozu dovolit kupit to najlepsie (malware/worm/virus/trojan) co je na trhu.
Samozrejme bol tu pokus utocit na najslabsie miesto botnetov - komunikaciu samotneho botnetu - ale vysledkom bolo len to, ze autori prepisali botnety tak, ze je coraz tazsie odlisit komunikaciu botnetu od "beznej" komunikacie. Takto napisana siet je nevypnutelna, pretoze nikdy neodstavis dostatocny pocet uzlov, aby sa siet samotna rozpadla. A to uz nespominam dnes uz bezne veci, ako je sifrovanie komunikacie botnetu ci ddosovanie neautorizovanych ip pristupov. O vypinani dolezitych uzlov botnetu (ked sa ich aj napriek kaskade proxy podari identifikovat) nejakou sudnou/pravnou cestou je snad zbytocne vobec pisat.
A co sa tyka obmedzovania skod sposobovanych botnetmi, tak najlepsie je bojovat proti samotnym botnetom a nie sanovat skody, ktore sposobuju - pretoze taka strategia je dlhodobo neudrzatelna. Najprv treba znizit pocet infikovanych pocitacov - prekopanim najma windowsu, ako si napisal, aby sa velkost botnetov stlacila co najviac a potom zasahovat samotne botnety. Pretoze pri dnesnej velkosti botnetov je to boj s veternymi mlynmi. Mam pocit, ze to bude velmi dlha zakopova vojna s neistym vysledkom. Tolko kratka uvaha na optimisticky koniec tvojej uvahy :)
----------------------------------
Pri navrhovani blbovzornych veci sa casto robi zasadna chyba, spocivajuca v podcenovani vynaliezavosti blbcov. (D. Adams)
edit by vektor: na tie hrubky sa nedalo pozerat:)
pekne si to napisal. co sa tyka botnetov, netreba zabudat na botnety, ktore cez exploity lezu po masinach v podstate automaticky. podobny botnet som mal moznost skusit, ked sa objavim webmin bug. bol napisany bot, ktory prechadzal ip a hladal na nich webmina (rychla zalezitost), stiahol z neho shaddow, a dal decryptovat botnetu. po objaveni hesla na niektore z kont sa dalsi bot pokusil automaticky prihlasit a spustit svoju vlastnu kopiu. takto mal botnet asi 30k masin behom par tyzdnov. jasne, ze sa botnet neda porovnavat so stormom, ale to je presne o tom, ako povedal drepe. kde su peniaze, je aj technologia.
a v predoslom poste som zabudol dopisat jednu vec. celkom dost by pomohlo, keby si isp robili poriadok doma vo vlastnej sieti. bezny botnet ma dost priamociare spravanie a nie je az tak velky problem zistit, co sa deje. vacsinou vsak admini ani netusia, ze tam maju skodnu. malokto vobec pozera logy, pouziva analyzacne nastroje, lebo len malokomu to zaplatia. momentalne obrovsky biznis z botnetov je poskytovanie ip obete, cize proxy. nielen ze je potom prakticky nemozne odhalit pachatela, ale aj vysoko-nepravdepodobne zistit, ze sa jedna o podvodnika (napriklad pri platbe kreditnou kartou). mat moznost vymenit niekolko tisic ip z akejkolvek krajiny na svete je proste vyhra pre black hat komunitu. za jedno taketo proxy sa pyta okolo 1$ za den. takto sa da zarobit niekolko stoviek tisic dolarov mesacne.
------------------------------
http://blog.synopsi.com
Veľmi kvalitný článok. Ale nebol by som až taký optimista, čo sa týka MS...
Viete si predstavit, aky by bol svet krasny, keby Microsoft takto jedneho dna uviedol na svet operacny system dosledne zalozeny na standarde POSIX? Ja osobne by som mal kludnejsi spanok. Viete si predstavit svet bez virusov? Svet bez spamu? Svet bez hrozby DoS/DDoS Ja ano! Takyto svet by sa mi pacil!
Áno - z bezpečnostného hľadiska by to bolo ideálne, svet bez vírusov a IT svet by bol bezpečnejší. Chrániť sa pred DoS/DDoS je však ťažké, priam nemožné, takže firmy, ktoré sa zaoberajú ochranou pred Dos/DDoS (Cisco, Radware), stále budú mať svoje miesto na trhu ale na druhej strane by o svoju prácu prišlo plno ľudí (zamestnanci AV-firiem, security experti) a z dlhodobého hľadiska by to nebolo dobré pre nikoho. Schválne - koľko userov Blackhole-u zarába na svoje živobytie z toho, že (priamo, či nepriamo) spravuje riešenia od MS? Že odstraňuje to svinstvo (vírusy, adware, malware) z kompu sekretárky vo firme, kde pracuje...?
Takže čo sa týka bezpečnosti MS systémov - podľa mňa je to zaiaľ tak dobre, ako to je, pretože paradoxne tým, že je Windows taký, aký je (aj so všetkými bezpečnostnými chybami) prináša rovnováhu vo svete IT, pomedzi všetky tie *nix-ové a linuxové riešenia, ktoré sú bezpečnosťou niekde úplne inde...
P.S.: Ak niekto z radov PU na blackhole.sk opravi gramaticke chyby v tomto clanku, zaplatim mu tolko piv, kolko dokaze vypit.
Kedy bude ďalšia BH session? :D Pretože niekto mi ide pekných pár pív... :P
:D:D:D
________________________________________________________________________
Ak nájdeš v živote cestu bez prekážok, určite nevedie nikam...
no offence,ale tato uvaha mi pride mierne az pokrocilo postavena na hlavu. v prvom rade,it sa nedeli na windows a bezpecnu cast. rozmyslanie co by,keby je vstupom na velmi subjektivny tenky lad... keby bol ms bezpecnejsi/menej rozsireny, ludia venujuci sa rieseniu zakladnych rutinnych bezpecnostnych problemov by sa venovali rieseniu inych problemov. keby bolo bezpecnostnych problemov podstatne menej,ako spravny idealista si myslim ze viac ludi by sa miesto zarabania penazi mohlo venovat zarabaniu penazi robenim niecoho kreativneho - napr. by bolo viac programatorov -> programy by boli kvalitnejsie a bezpecnejsie,pretoze by neboli take problemy s deadlinami. spravcovia podnikovych sieti by miesto vymyslania kadejakych workaroundov,latania dier a riesenia casto absurdnych problemov s kompatibilitou,etc mohli venovat viac casu implementovaniu novych prvkov,vylepsovaniu starych, atd. jeden zo zakladnych problemov ale ostane.. bfu model sekretarka,uctovnicka,etc, zostane bfu vzdy.
------
Kto je Španielsko?
S tvojim názorom súhlasím, fakt je to úvaha kategórie walking on a thin ice. Ale ja mám úvahy takého druhu rád... :)
keby bolo bezpečnostných problémov podstatne menej,ako správny idealista si myslím, že viac ľudí by sa miesto zarábania peňazí mohlo venovať zarábaniu peňazí robením niečoho kreatívneho - napr. by bolo viac programatorov.
S týmto by som si dovolil nesúhlasiť - byť programátorom je IMHO poslanie - programátorom sa, obrazne povedané, človek musí narodiť, mať pre to potrebné zanietenie, vzťah a spôsob uvažovania. Tak isto, ako sa nestane hocikto neurochirurgom len preto, lebo trh sa nasýtil všeobecnými lekármi a je akútny nedostatok neurochirurgov...
Takže programátorov by určite viac nebolo, akurát by manažéri firiem a personalisti musel riešiť problém vytvorenia nových tabuľkových miest na iných úsekoch. Preto uvažovanie na spôsob - keby bolo bezpečnostných problémov menej - bolo by viacej programátorov - je viacmenej scestné...
...pretoze by neboli take problemy s deadlinami...
Problémy s deadlinami tu budú vždy - človek je od počiatku tvor lenivý, takže problémy s časovými harmonogramami by kvôli nedostatku práce učite nepominuli...;-)
jeden zo zakladnych problemov ale ostane.. bfu model sekretarka,uctovnicka,etc, zostane bfu vzdy.
To je pravda, s týmto mi neostáva nič iné, len súhlasiť.
________________________________________________________________________
Ak nájdeš v živote cestu bez prekážok, určite nevedie nikam...
Súhlasím s tebou.
koderi ako hovorí jeden môj známy sú kone:)
soft voz a admini to co ich spaja problémom je ze kvalita nie je vždy zodpovedajúca a je zavinená deadline termínmi :)
I hate deadline :) i ked nie som koder iba mini admin :)
----------------------------------------
Hlúposť užívateľa je úmerná jeho právam.
ono to xcela byt demonstracia nutnej subjektivnosti takehoto typu uvahy:) samozrejme si nerobim iluzie ze vsetci nadbytocni sietovi admini by sa stali kvalitnymi programatormi,preto som napisal ze je to idealisticka uvaha,zakladom pre tuto nahodnu uvahu je,ze si myslim ze aspon ludi ktori by si inak zvolili sietarinu lebo ich bavi/je lahsia/whatever (cast tych mudrejsich) by sa rozhodlo pre programatorstvo. ludia ktori si hladaju lahku pracu v it by si nasli lahku pracu v it aj keby bolo menej dopytu po "preinstalovavacoch win pre sekretarky" (cim zdaleka nechcem povedat ze je to hlavna napln prace vsetkych co sa zaoberaju bezpecnostou win vo svojej praci) . s tym suvisi pokracovanie mojej idealistickej uvahy. viac programatorov na projekte->mensia cast kodu na jedneho->kvalitnejsi vysledok (toto uz zavana neospravedlnitelnou naivitou:). samozrejme to neriesi lenivost jednotlivcov..to co si nechavali na poslednu chvilu si mozu nechat este na poslednejsiu,lebo toho maju menej:)
mne pride trochu silne prirovnanie s neurochirurgami,ked uz tak chirurg vseobecne, podla mna ak chces byt lekarom a vseobecnych lekarov je privela, tak je vacsia pravdepodobnost ze si zvolis nejaky specifickejsi lek.odbor ako keby bol dopyt po vseobecnych.
suhlasim s tym ze byt programatorom by malo byt "poslanie",resp. mal by sa tomu venovat skutocne inteligentny clovek,ktoreho to bavi,ale dnes to nie je pravda(hlavne kvoli velkemu dopytu po programatoroch a s tym suvisiacemu nutnemu znizeniu poziadavkov mnohych firiem).
------
Kedy je vľavo?
.to co si nechavali na poslednu chvilu si mozu nechat este na poslednejsiu,lebo toho maju menej:)
Práve na toto som narážal s tou ľudskou lenivosťou. Sám som to postrehol, napríklad na škole - učenia máme čím ďalej, tým menej, ale 98% ľudí si robenie zápotových prác necháva na posledný týždeň pred skúškovým... :))
mne pride trochu silne prirovnanie s neurochirurgami,ked uz tak chirurg vseobecne, podla mna ak chces byt lekarom a vseobecnych lekarov je privela, tak je vacsia pravdepodobnost ze si zvolis nejaky specifickejsi lek.odbor ako keby bol dopyt po vseobecnych.
Ten neurochirurg bol len príklad, drvivá väčšina študentov si na lekárskej fakulte aj tak vyberie všeobecné lekárstvo namiesto užšej špecializácie(tak isto aj na iných školách) a hned ako skončí školu, pôjde robiť do DE,SWE, GB ako všeobecný lekár, lebo je to jednoduchšie a menej sa pritom nadrú.
suhlasim s tym ze byt programatorom by malo byt "poslanie",resp. mal by sa tomu venovat skutocne inteligentny clovek,ktoreho to bavi,ale dnes to nie je pravda(hlavne kvoli velkemu dopytu po programatoroch a s tym suvisiacemu nutnemu znizeniu poziadavkov mnohych firiem).
Tu by som si dovolil s tebou nesúhlasiť, pretože sú programátori a sú "programátori". To, že niekto upravuje skripty a zliepa ich dokopy a z toho vznikne "program", ešte nerobí z dotyčného programátora(aj keď je na tabuľkovom mieste evidovaný ako programátor)...
Iná vec je vzťah daného človeka ku tej robote - ja v súčasnosti pracujem ako radový zamestnanec (nie som programátor), plat mám tabuľkový a šancu na kariérny rast mám mizivu, pokiaľ nebudem mať nejaké známosti, alebo nenastane rapídna zmena v politike ľudských zdrojov ( čomu veľmi neverím :D ). Ale napriek tomu môže byť dopyt po programátoroch obrovský, plat môže byť kľudne aj nad 100K a predsa sa nebudem učiť .NET a nepôjdem robiť programátora do BA, pretože nemám k tomu vzťah, takže politika firiem, spočívajúca v znižovaní požiadaviek, rozhodovanie mladých ľudí, stojacích pred rozhodnutím "ako ďalej" IMO veľmi neovplyvňuje .
________________________________________________________________________
Ak nájdeš v živote cestu bez prekážok, určite nevedie nikam...
Ja by som ešte zaútočil na túto pasáž:
z dlhodobého hľadiska by to nebolo dobré pre nikoho. Schválne - koľko userov blackhole-u zarába na svoje živobytie z toho, že (priamo, či nepriamo) spravuje riešenia od MS? Že odstraňuje to svinstvo (vírusy, adware, malware) z kompu sekretárky vo firme, kde pracuje...?
1. Z dlhodobého hľadiska by firmy nemuseli najímať toľko IT expertov, zjednodušilo by sa im fungovanie (lepšie slovo ma momentálne nenapadá) a znížili náklady => potenciál na zníženie cien produktov alebo rast zisku. A hlavne by to pomohlo BFU a firmám bez takýchto adminov, ktorí by si zmeny možno ani nevšimli.
2. Odôvodňovať zdržiavanie pokroku stratou pracovných miest je podľa mňa veľmi krátkozraké. Myslím si, že milióny ľudí "stratili" prácu zavedením automatizácie. Ale pomohla produkcii kvalitnejších a lacnejších produktov. Ľudí, ktorí by potencionálne stratili zamestnanie v dôsledku zaplátania všetkých chýb vo windowse (resp barzjakom softvéri) by mi síce bolo ľúto, ale pokrok je pre mňa cennejší.
==
Správnemu programátorovi stačí pivo a google.
Z dlhodobého hľadiska by firmy nemuseli najímať toľko IT expertov, zjednodušilo by sa im fungovanie (lepšie slovo ma momentálne nenapadá) a znížili náklady
S tým súhlasím, avšak to by ale negatívne ovplyvnilo pracovný trh. Je však nesporné, že z dlhodobého hľadiska by to bolo ale užitočné a efektívne, pretože trh by sa s tým skôr či neskôr vysporiadal a prinieslo by to svoje ovocie vo forme pokroku v IT...
Len ja si už nejako neviem predstaviť svet bez spamu a adware; bez toho, aby mi stále v jednom kuse niekto vyvolával, že má vírus a že ako ho má odstrániť...
Asi som staromódny, ale taký svet by sa mi asi nepáčil... :D
________________________________________________________________________
Ak nájdeš v živote cestu bez prekážok, určite nevedie nikam...
no, samozrejme som namiesto znaku =< chcel napisat => , uz sa asi vypla moznost editovat komentare, tak sa prosim povzneste nad tuto formalnu chybu.
edit by Raven : formálna chybička opravená
==
Správnemu programátorovi stačí pivo a google.
Clanok aj komenty som si precital, ale na nejaky schopny reply bych sa zmohol v prudko teoretickej rovine :-).
Ale! - To P.S.: "Ak niekto..." - plati stale? o niekom ochotnom by som vedel (ma aj statnicu :-)
Preco je DNS nepriestrelna sluzba?
Pretoze sa do nej investovalo naozaj velmi, ale velmi vela milionov dolarov. Jednotlive korenove DNS servery su vlastne velke serverove farmy, z ktorych kazda stala obrovske financne prostriedky a stale poziera znacne prostriedky, potrebne na svoju bezproblemovu prevadzku. Cele toto riesenie je financovane vsetkymi pouzivatelmi siete Internet. Kazdy, kto pouziva Internet plati poplatky, z ktorych cast je priamo alebo nepriamo pouzita na chod sluzby DNS. Ako uz citatel asi pochopil, je nemozne anycast na baze protokolu BGP (alebo podobneho) implementovat na vsetky systemy Internetu – bolo by to proste prilis drahe. A okrem toho to aj tak neriesi cely problem, pretoze je mozne, ze poloha a IP adresa jednotlivych serverov, spolupracujucich na baze anycast, by sa dala zistit a utok DoS/DDoS by bol vedny priamo na jednotlive stroje, cim by sa dosiahla uspesnost DoS/DDoS utoku len v istej casti siete prislusneho systemu. Napriklad by google fingoval vsade, okrem Slovenska (toto by mohlo nastat aj z hladiska topologickeho, namiesto geografickeho).
Dovolím si nesúhlasiť :) takže stručne:
DNS je ľahkým cieľom a dôsledok útoku na DNS je nepríjemný a podobný útokom na RT (Routing Tables) Väčšinou stačí do cache nemeservera vložiť nesprávnu informáciu, čím začne presmerovávať užívateľov na iný server alebo na blackhole (nie blackhole.sk ) DNS attack je jednou zo súčastí DoS attacks :)
Ak budete dobrý a budem mať čas niečo o tom napíšem.
----------------------------------------
Hlúposť užívateľa je úmerná jeho právam.
ako sa do cache nameservera vklada nespravna informacia, ked je to take jednoduche ?
noo tak to sem teda nezverejnim :)
mimochodom ujo google :) a dns injection
----------------------------------------
Hlúposť užívateľa je úmerná jeho právam.
na zaklade tvojej bezstarostnosti a presvedcenia o jednoduchosti nam uz internet nefunguje lebo je pomocou dns niekam loopovany do riti. tiez len tak mimochodom. uz neexistuju ziadne root servery ani tld servery, vsetko je uz rozbite na kusy nie nahodou? to ze obcas si daky curacik nieco pojebe je jeho problem, nie je to o nic ine ako ked si nainstalujes deravu aplikaciu na deravy webserver. nema to nic spolocne s temou, ktora je preberana v tomto clanku.
______________
nález plný strát
mozno kamaratovo DNS takto napadnes - to bude velka rana pre Internet
Botnety sa skladaju z domacich a kancelarskych PC s operacnym systemom od spolocnosti Microsoft
Každý, kto prevádzkuje ssh na porte 22 bez patričného filtra aspoň pár týždňov, nájde vo svojom /var/log veľa riadkov v tomto štýle:
Mar 7 09:51:58 serko sshd[22702]: Failed password for operator from 218.4.232.197 port 36729 ssh2
Mar 9 04:21:08 serko sshd[31069]: Failed password for root from 58.53.194.72 port 58048 ssh2
Mar 14 08:10:06 serko sshd[23575]: Invalid user aiko from 200.25.207.210
Mar 14 08:10:06 serko sshd[23575]: Address 200.25.207.210 maps to mail.speedy.net.ec, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Mar 14 08:10:06 serko sshd[23575]: Failed password for invalid user aiko from 200.25.207.210 port 47355 ssh2
Dá sa na túto tému vygoogliť viacero článkov, napríklad o analýze honeypotov. Takže tvrdenie, že botnety sa skladajú z PC s OS Windows, je scestné.
Botnety neobsahuju Linuxove stroje. Material, ktory si nalinkoval do svojho commentu nic take nepotvrdzuje. Prevadzkovatelia botnetov niesu tak hlupy, aby do botnetov pripojili linuxove stroje, ktore skompromitovali. Samozrejme, o kompromitaciu linuxovych strojov sa neustale snazia a dari sa im v tom, ale do botnetov ich nepripajaju. Potrebuju ich totiz na ovladanie botnetov (a nielen na ovladanie, ale aj na zber vysledkov cinosti botnetov, ak nejake su - napr. pri pouziti botnetu na bruteforce utoky alebo hromadne scany velmi velkych sieti).
Blackhat komunita potrebuje linuxove stroje ako sol. Vobec tu neide o rizsirenost ci nerozsirenost daneho OS. Ide o to, ze existuje asi 350000 roznych malwareov, pricom na linuxe ich funguje ani nie 20. Jeden linuxovy stroj v botnete by vydal aj na niekolko desiatok windowsovych strojov, pretoze linuxove stroje maju v priemere lepsi HW a ovela lepsiu linku - su to totiz internetove servery.
Takze citat rychle a pisat pomaly! A namiesto tvrdeni "Je to scestne" v diskusiach na blackhole.sk pouzivaj nieco ako "Nie je to pravda".
BTW tvoj vypis sshd logu nepotvrdzuje to, ze v botnetoch sa nachadzaju linuxove stroje, ale to, ze botnety robia bruteforce na linuxove stroje.
A nazaver este jedna vec - botnet je siet zombikov, ktora vznika automaticky. Tebou nalinkovany material obsahoval popis skompromitovania jedneho honeypotu uplne normalnou, poloautomatizovanou cestou.
A namiesto tvrdeni "Je to scestne" v diskusiach na blackhole.sk pouzivaj nieco ako "Nie je to pravda".
Nebola to úplná lož, preto som sa to nesnažil ani tak označiť. Prečo si zakladáš na tom, že ak niečo nemá x-sto tisíc uzlov, tak to nie je botnet?
botnet je siet zombikov, ktora vznika automaticky. Tebou nalinkovany material obsahoval popis skompromitovania jedneho honeypotu uplne normalnou, poloautomatizovanou cestou.
Ospravedlňujem sa, nalinkoval som len tak zvrchu googla náhodný honeypot report a prebehol som ho očami len narýchlo a nevšimol som si, že to nie je ten správny. Tak skúsim znovu:
1 2 3 4 (čítať relevantné časti)
Botnety neobsahuju Linuxove stroje.
Či už ako control-points, alebo ako koncové uzly (a nesnaž sa tvrdiť, že poznáš "všetkých 6 existujúcich botnetov"), niektoré botnety obsahujú *nixové stroje.
Takže ešte raz: Šéfredaktor, nešéfredaktor, tvrdenie, že botnety sa skladajú z domácich a kancelárskych PC s operačným systémom od spoločnosti Microsoft, je scestné.
Väčšina ich koncových uzlov? Určite áno. Väčsina? Možno áno. Všetky? To určite nie. Buď uznáš omyl, alebo mi naďalej môžeš hádzať pod komentáre hodnotenie 1.
Tak znovu a skratene:
Botnety neobsahuju Linuxove stroje. Vzhladom k tomu, ze si do predosleho commentu nalinkoval nieco, co si si sam poriadne neprecital a plytval si mojim casom (mimochodom, poriadne neprecitane zdroje je zakazane linkovat), necakaj odomna, ze budem citat dalsie 4 linky, ktore si sem dal.
"Sefredaktor nesefredaktor" frazu pokladam za invektivu a rozputavanie flameware. Este raz a delete. Cely tento thread je irelevantny (v clanku som napisal, ze budem, taketo commenty mazat, ja totiz nepotrebujem diskutovat o tom, ci je windows OK alebo nieje) a vecer bude zmazany.
Dajme si všetci na linuxové stroje používateľa peter s heslom peter, flushnime iptables, vyclearujme /etc/hosts.deny, odkomentujme všetky riadky v /etc/inetd.conf, povoľme všetky moduly v apachi a v php, nainštalujme ľubovoľnú verziu hociktorej aplikácie čo sa nám už roky váľa v ~/downloaded, a nechajme ležať, pretože žiadne použitie Linuxu v botnete nehrozí! - to je odkaz, ktorý chceš čitateľom zanechať?
Nie, to zasadne netvrdim (resp. ukaz mi, kde to tvrdim), tvrdim, ze zo,biky so pocitace s nainstalovanym Windowsom a pokladam to za zlyhanie Microsoftu.
"Citat relevantne casti"
Commentovat na blackhole.sk bez prestudovanej netiquette je zakazane. Keby si si ju prestudoval, vedel by si, ze nie ja mam citat relevantne casti, ale ty mas postnut relevantne casti. Ak chce kvalitne diskutovat, nauc sa, ako sa to ma spravne robit a vyhrad si na to cas.
1 Unfortunately, it is increasingly clear that Linux boxes (as well as MacOS X and other UNIX boxes) are participating in botnets, but in a bit of a twist, it is mostly servers that have been subverted.
...
Having cleaned up a share of Linux systems.. the standard infection methods are:
1) ssh scanning. ...
2) PHP scanning. ...
3) Webmin scanning. ...
4) Xvnc scanning. ...
2 More likely the prefer Linux, because after going to all the time and effort of creating a botnet you don't want some other cracking asshat hijacking your botnet.
3 Of course there've been Unix botnets, though most of them were a few years ago and not as tightly integrated as the current ones (or as the Morris worm, which was in 1988.)
...
4 Linux computers are very valuable to hackers. A bot army, similar to real armies, needs a general (controller) and infantry (zombies). Linux boxes are often used as servers, which means they have a high up-time - essential for a central control point. A Windows computer, on the other hand, is found at home or as a desktop machine in an office, and these computers are regularly switched off. This makes them less attractive as controllers, but ideal for infantry, or zombies.
Netiquette preštudovanú mám. Ty si zabíjaš môj čas tým, že si nenecháš vyvrátiť svoje pôvodné scestné tvrdenie, ktoré v článku naozaj malo byť solídne podložené. To je z mojej strany všetko, budem rád, keď irelevantné posty (vrátane svojich) k tomuto flame zmažeš. Nebudem rád, keď tu nezostane zmienka o tom, že Windows nie je jediný systém, ktorý sa v botnete vyskytuje, a keď máme Linux, tak nesmieme mať na saláme.
Konecne poriadny post :>
Nas spolocny problem tkvie v tom, ze chapeme pojem botnet rozdielne. Botnet je armada zombikov, pricom tebou spominane linuxove stroje, ktore boli skompromitovane, pracuju ako control pointy. Jeden tvoj citat podporuje moje tvrdenie. Linux je bezpecnejsi ako Windows, a preto si ho blackhataci vybrali ako ten spravny system na ulohu control pointov.
Este na zdoraznenie: Kompromitovane Linuxove stroje (ale aj akekolvek ine nez Windowsove) su dosledkom zlej prace administratorov. Kompromitovane Windowsove stroje su dosledkom zlej prace Microsoftu. Vid sposob vyvoja a opravy chyb v Microsofte, zatial co vid sposob vyvoja a opravy chyb v pripade Open Source a GNU/Linux.
Niektore kommenty v tomto vlakne sa mi vidia prospesne, takze este neviem, co s nimi urobim...
zaujimavu statistiku registrovanych utokov na servre zverejnil Zone-H.org - je to statistika za roky 2005 az 2007. Kazdy nech si urobi nazor sam :)
----------------------------------
Pri navrhovani blbovzornych veci sa casto robi zasadna chyba, spocivajuca v podcenovani vynaliezavosti blbcov. (D. Adams)
To s temou a ani s tymto vlaknom nema nic spolocneho. Toto vlakno je o botnetoch a zastupeni OS na zombikoch, zatial co statistika, ktoru si uviedol je o utokoch vo vseobecnosti. Ked sa zombik pripoji do botnetu, je to zalezitost, ktora sa nikam nezaznamenava. Tvoja statistika len vypoveda, ze Linux je v serverovej oblasti ovela rozsirenejsi nez cokolvek ine. Treba este dodat, ze v tejto statistike sa jedna len o internetove servery.
Velmi zaujimava uvaha a dobre sa cita aj diskusia.
Mam par nametov do diskusie.
Z mojho pohladu je botnet nastroj.
Co by s botnetmi a ich sucasnym svetom urobil motivujucejsi system odmenovania pre tych, ktori zanalyzuju a verejne publikuju informacie o "rucani" botnet infrastruktur? Inymi slovami publikuju rady ako ich "ukradnut, ci znicit".
Pomohlo by, spravit z toho "atraktivny sposob zarobku", cosi ako vypisana odmena (od ISP, policie, ...) za "polapenie zlocinca"? Jednoducho zatraktivnit cinnosti, ktore by pomahali zjednodusit naburavanie botnet infrastruktur a robit vrasky ich spravcom.
Mate pocit, ze su samotne IT security firmy dostatocne motivovane aby robili takyto vyskum, lov a hlavne "open-source" botnetov?
Co si myslite o reverse engineering pokusoch, ktore sa snazia narusat cudzie botnet struktury?
Berte to ale iba ako uvahy, bez analyzy rizik.
----------------------------------------------------------------
I am a living, thinking entity that was created in the sea of information.
Musim pochvalit naozaj skvely clanok. Ale koniec o porovnani skodovky a Lady ma doslova postavil zo stolicky. Viem je to OT, ale musim ta na takuto zavaznu chybu upozornit.
Lada ako auto (tebou oznacene za bezpecnejsie ako skodovka) bola jednym z najnebezpecnejsich aut. Chyba spocivala v koncepcii hriadela volantu. Lada ma tuto hriadel ako jednu spojitu tyc, priamo spojenu na zatacacie ozubenie. Bohuzial ma tato (opustena) koncepcia velmi zavaznu bezpecnostnu chybu! Pri celnom naraze auta je volant doslova vystreleny do hrude vodica.
Skodovka uz pouziva novsiu koncepciu s klbom (screen). Tusim sa takto riesena hriadel pouziva povinne dodnes. Takato hriadel sa po celnom naraze zlomi a volant ostava na mieste.
Len tolko som kcel, reagujuc na vyzvu o ozamenie chyb.
----------------------
Ja len v dobrom.