recentpopularlog in

ddos

« earlier   
UDP Flood от Google или как не лишить всех Youtube / Хабр
Пару минут общения с Корпорацией Добра — и все встает на свои места. В попытке улучшить скорость доставки контента компания Google еще в 2012 году анонсировала протокол QUIC, позволяющий убрать большую часть недостатков TCP (да-да-да, в этих статьях — Ррраз и Два говорится о совершенно революционном подходе, но, будем откровенны, хочется, чтобы фоточки с котиками загружались побыстрее, а не вот эти вот все ваши революции сознания и прогресса). Как показало дальнейшее исследование, на подобный вариант доставки контента многие организации сейчас переходят.
Проблема в моем и, я думаю, не только в моем случае оказалась в том, что пакетов в итоге идет очень уж много и файрвол воспринимает их как флуд.
Вариантов решения оказалось немного:
1. Добавить в список исключения для DoS Policy на файрволе скоуп адресов Google. При одной только мысли о диапазоне возможных адресов глазик начал нервно дергаться — отложена идея как бредовая.
2. Повысить порог срабатывания для udp flood policy — тоже не комильфо, а вдруг кто действительно зловредный прошмыгнет.
3. Запретить обращения из внутренней сети по UDP на 443 порт наружу.
Почитав дополнительно про реализацию и интеграцию QUIC в Google Chrome был принят как указание к действию последний вариант. Дело в том, что, любимый всеми повсеместно и беспощадно(не пойму за что, уж лучше наглая рыжая Firefox-овская морда будет получать за отожранные гигабайты оперативки), Google Chrome изначально пытается установить соединение с использованием своего выстраданного QUIC, но если чуда не происходит, то он возвращается к проверенным методам типа TLS, хоть и стыдится этого дичайше.
...
Почему нельзя исползовать например conntrack или правило на фаерволе, которое будет разрешать входящие udp пакеты с списка адресов.
Создать список:
ipset -N gquic_set nethash
Сам список адресов организовать с помощю ipset автоматическим добавлением в список правилом типа:

iptables -A FORWARD \
-p udp --dport 443 \
-s 10.0.0.0/8 \
-j SET --add-set gquic_set dst

Таким образом, хосты dst будут попадать в список, если клиент из внутреней сети 10.0.0.0/8 отослал пакет на 443 порт по udp.
Дальше по этому списку можно разрешать ходить пакетам.
dizaar
6 ноября 2019 в 23:48
+2
Конкретно в моем случае, Fortigate я не нашел возможности динамической генерации списка. Согласен, такой метод намного предпочтительней.
...
Современные реалии таковы, что самостоятельно блокировать дос-флуд на конечных узлах технически невозможно. Это должен делать или твой провайдер или соединяться с каким-то облаком безопасности, которое бы риал-тайм имело информацию о всех бот-сетях и проходящих атаках и автоматически конфигурировало бы ваши IPS-ки и файрволы. Но даже это лучше делать на стороне провайдера.
Максимум что сейчас можно сделать конечному хосту, это включить syn_cookies и начинать копить бабло на готовые облачные решения. Пытаться самому генерить какие-то листы на основе наколеночной эвристики — это создать больше вреда бизнесу и пользователям, чем пользы.
...
Везде, где есть 1е100 в домене, это тоже google. Так как он назван от числа с 100 нулями.
google  network  tcp  udp  protocols  security  fortigate  linux  firewall  ddos 
8 days ago by some_hren
The “Great Cannon” has been deployed again | AT&T Alien Labs
The Great Cannon is a distributed denial of service tool (“DDoS”) that operates by injecting malicious Javascript into pages served from behind the Great Firewall. These scripts, potentially served to millions of users across the internet, hijack the users’ connections to make multiple requests against the targeted site. These requests consume all the resources of the targeted site, making it unavailable:
security  china  dos  ddos  network  analysis  malware  javascript  politics 
december 2019 by danesparza
Mitigating a DDoS, or: how I learned to stop worrying and love the CDN - Coffee and Dreams
TLDR: Sorry, your browser doesn't support webm This will mainly be a story into how I experienced and reacted to my first real-time attack. As you may or may...
ddos  mitigation  mastodon  fediverse  devops 
december 2019 by ivar
China attacks the Internet
The Great Firewall injects malware into all Chinese users' browsers that has them attack a Hong Kong protestor website
china  ddos  badtech  politics  greatfirewall  internet 
december 2019 by nelson
Ddos-info-sharing
CRITS (Collaborative Research Into Threats) is an open source project that provides a unified tool for analytics and collaborative engagement in threat defense. The CRITS platform is implemented in the form of the core CRITS system that provides various TLO's (Top Level Objects) and a web interface to administer and manage users, sources and visibility into the data. CRTIS also provides a system of addon services to extend CRITS.
ddos  information  sharing  collaboration  security  network  service  provider  isp 
december 2019 by curiousstranger

Copy this bookmark:





to read