- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
По умолчанию рубать 53 ровно как и 25 :D
Через админку включать по доп. соглашению :D
Во всем мире... ;)
hvosting, благодарю за тему!
Запустил цикл проверки каждого сервера на рекурсию. Выполнялось часа 2. Было очень приятно узнать что у нас нету ни одной машинки с открытой рекурсией. Не ожидал такого результата. :)
А вот у меня все совсем не так радужно - 50 гигабит... Еще немного и я лягу напрочь.
А вот у меня все совсем не так радужно - 50 гигабит... Еще немного и я лягу напрочь.
Так а апстрим ваш не фильтрует ничего вам?
апстримы не резиновые.
249 записей есть в ответе для тех доменов, у которых прописано 249 IN A записей в файле зоны.
Либо 249 NS-ов, в том числе.
чаще в TXT-записи пишут тонны мусора
Господа хостеры, а сколько вашей техподдержке потребуется времени, для реакции на такую заявку?
Формально - до 24 часов. По факту обычно минут 15.
Тут ведь проблема в том, что закрыть рекурсию это хорошо, но если будут лить udp на 53 или 80 порт в те же 20 гбит, то это мало поможет.
А это обычно второй шаг таких "недодосеров"
Я бы не назвал 20 гигабит недодосом.
И по моему проблема в том что вы не понимаете то, что здесь обсуждается.
Хотя информации в сети куча, в том числе достаточно внятно на педивикии, опишу еще раз суть проблемы пошагово.
1. Невозможно подделать IP адрес для полноценного tcp соединения, т.к. злоумішленник не сможет корректно закончить рукопожатие.
Однако одиночные пакеты UDP или TCP syn, s/a пакеты можно отсылать с поддельным обратным адресом.
А ответы на эти пакеты пойдут в сторону, где этот адрес действительно расположен.
Эта часть называется спуфинг, и без нее атака реально не возможна.
2. Обратный адрес в пакете подделан, а прямой - это адрес усилителя. В него приходит пакет размером 30 байт,
а в ответ вылетает ответ на 600 байт.
Все уже слышали что усилителем является dns сервер с открытой рекурсией. Однако это далеко не единственный случай. Уже упомниал выше.
=============
Как от этого защититься? Да никак. Если к вам эти 20-50-100 гигабит уже прилетели. Если у вас есть договоренности по блекхол анонсам с апстримами - часть они отфильтруют. Но если под угрозой будет их транспорт - они просто перестанут принимать анонсы вашей сети целиком.
Как не допустить того, чтобы вы стали участником такой атаки?
==============
1. проверить и закрыть возможность спуфинга из вашей сети.
пошагово:
назначаете на интерфейс какую либо ip
ifconfig eth0:10 193.19.152.74/24
запускаете ping -I 193.19.152.74 <ip>
<ip> это ваш сосед по сети или роутер
На соседе запускаете tcpdump - и видите icmp запросы от 193.19.152.74.
на роутере запускаете tcpdump, либо смотрите через netflow либо.... тут много вариантов.
tcpdump -i ix1 -n dst 193.19.152.74
И видите что ваш роутер спокойно отправляет в мир ответные пакеты от "соседа" в сторону 193.19.152.74,
в реальный интернет.
А если ваш роутер позволяет выпустить пакет с поддельным обратным адресом в мир - это вообще подарок
для кулхацкера!
Как защищаться?
1. IP-MAC binding, либо соответствующие ACL на портах свича.
2. заблокировать arp на клиентских портах, все arp запросы обслуживает только роутер со статик-arp таблицей.
3. блокировать на роутере исходящий трафик не с ваших сетей явными правилами.
======
2. усилитель.
Усилителей есть очень много типов.
От одного из них (дающего 4-х кратное усиление) вы не избавитесь никак.
Но от клссического DNS amplification защититься можно:
1. просканировать все IP своей сети на предмет ответов на dns запрос о каком то внешнем домене.
Кто ответил - тому прописать люлей.
2. просканировать на вверенных вам dns серверах зоны на предмет txt записей размером с килобайт.
В панели управления по возможности ограничить возможность создания таких больих записей.
3. просканировать зоны на предмет 100 и более одинаковых записей.
Обычно
IN A
или
@ IN A
ограничить их количество в панели управления, по возможности.
4. Не баловаться с dnssec. Он сам по себе офигенный усилитель.
С Новым Годом, товарищи.
З.Ы. reg.ru так и не снял с делегирования GHMN.RU. DDoS атака в 50 гигабит с использованием их
домена на их NS-ах для них нифига не аргумент.
Вот кондомы...
Я бы не назвал 20 гигабит недодосом.
И по моему проблема в том что вы не понимаете то, что здесь обсуждается.
Спасибо, конкретно я в курсе что такое dns amplification на собственном неоднократном опыте. Не будем меряться ;)
Речь просто о том, что и без этого udp дос вещь распространенная, к сожалению( 2013 год был очень интересным в этом плане. Кстати про спуфинг IP я тут в районе сентября тему делал даже про hetzner, но воз и ныне там. Хотя тут есть очень интересное продолжение.. IP явно подделанные, но все из блоков Hetzner.
Но! Скажем к нам в НЛ нормальный hetzner трафик ходит через другой пиринг нежели эти спуфинг пакеты, что говорит о том, что их шлют не из Hetzner сети. Спрашивается - кому это надо и зачем.
Правда с другой стороны, также досили и в самом hetzner, и там трафик шел вроде как изнутри Hetzner.
Всех с наступающими! :)