[johan1234]

Citat:

Ursprungligen postat av patrikweb

Fast nullroute/blackhole funnits i evigheter, någon får ändå ta kostnaden. Om en ISP ska svälja kanske 100G åt dig för tjänster på IP som attackeras vill dom självklart ha betalt för trafik och tjänsten.

Sedan krävs det snabbare respons mellan ISP och så än idag, dock svårt hantera stora botnät effektivt. Dock kan jag tänka mig mer övervakning och filtrering på dom stora knutpunkter i framtiden. Enda ställen men kan centralisera och effektivt göra saker på stora attacker

Självklart har det funnits länge men igen - fungerar på en liten del samt att du då ger attackeraren exakt det han/hon är ute efter - du sänker kunden rakt av med flit. Kan göras förstås om hela ditt nät svajar men är ju bara en "emergency" åtgärd.

Läs gärna denna som jag nämnde tidigare. Handlar precis om det du säger. Måste till samarbeten. Kanske har du rätt att det finns knutpunkter som kan användas - men jag ser många sätt för mindre leverantörer att hjälpa varandra.

http://cloudtweaks.com/2015/03/the-c...-ddos-attacks/

Du snackar om 100 Gbps ovan - jag ställer en liten intressant fråga i artikeln - hur många Gbps kräver det fö ratt sänka en stad. Hur många Tbps krävs för att sänka Sverige?

Kommer det bli så att staten måste gå in och reglera för att det går för långt med attackerna och samhället påverkas? Jag tror detta började med PTS som röt till mot Telia för deras uppenbara svagheter. Gäller att leverantörerna agerar om man inte vill se mer reglering.

[patrikweb]

Citat:

Ursprungligen postat av johan1234

Du har säkert rätt att det finns lokala leverantörer som kan göra klart bättre från sig. Som du säger är vissa mycket enkla att blocka och vissa skall ju enkelt automatiskt tas på roternivå (UDP mm). Tror dock din analys är fel och du missar vad som händer hos dem. När en leverantörs nät helt försvinner så skulle jag tippa på att det mycket oftare handlar om att attacken har fyllt deras inkommande pipor och då spelar det inte roll hur mycket de vill blocka mm i sina rotrar. Piporna är fulla. Visst de kan ringa upströmsleverantörerna och med lite tur så har de inom 30-60 minuter fått till så att alla dessa börjar blocka på olika sätt. Det där är dock inte hållbart i längden när du växer då många av dessa leverantörerana inte ger denna typen av tjänster alls. Oavsett är det inte något som du då själv har kontroll över. Så många måste köpa på sig mycket mer pipor för att kunna svälja attacken - för att sedan i alla fall kunna blocka. Tror alla fattar hur man blockar en IP.

Går du vidare på lite mer intelligenta DoS-attacker som syn-flood varianter så handlar det nästan uteslutande av Arbor-typ teknik som måste in och filtrera. Kommer trafk från ett par miljoner IPn så lär du inte sittar och blocka. Har du 10 pipor in från olika håll lär dina upstreams inte heller alla klara det. Du måste själv hantera detta. Detta kan också kräva så hård filtrering att även legitim trafik kan rensas från och till.

Så de som faktiskt påverkar leverantörer en längre tid tror jag har mycket med att pipor fylls eller så är det intelligenta attacker som då inte alla har tillgång till att filtrera på bra sätt utan jobbar oftare med "throttling" av olika sorter för att överleva.

Du nämner styra trafiken - jo centraliserad styrning är nog vägen för många att gå när man blir stor nog. Inte helt lätt dock det heller och handlar många gånger om styra om hela nät som kanske då påverkar hundra kunder som inte skulle styras om mm. Använder du dessutom sådana som Arbor eller andra "molntjänster för DoS" så styrs trafiken många gånger runt USA och andra långvägar som då kan förstöra för kunder som inte ens var påverkade till att börja med. Köp Peakflow och bygg några hallar med några hundra Gbps så har du kommit långt. ;-)

För att ge en relation till detta med upströmsleverantörer och kostnader - senast jag kollade hade i alla fall ett par av våra svenska ISPs Arbor att erbjuda (signaling är ju intressant mellan leverantörer). Utan att nämna namn så tror jag det var ca 25-35000 kr per månad för att filtrera 1 Gbps. Om man då har 5-10 leverantörer och måste hantera attacker som lätt kan överstiga 20 Gbps - jadu det drar iväg. Ring Arbor och se vad "Arbor Cloud" kostar för en leverantör som har lite volymer. Du baxnar garanterat och inser att för de attackerna du har är det knappt det fungerar tekniskt och du faller garanterat på prislappen.

Till min poäng - svår fråga där lösningarna är många och brokiga och oftast dyra och svåra och i slutänden kan vi inte garantera något. Bara säga att vi kan hantera DoS-bättre och påverkas mindre.

Tror fler skall gå ihop med sina nätverk för att skapa extrema pipor och hantera saker gemensamt många gånger istället för på sin kant. Ballou och City har inlett ett sådant samarbete. Jag hoppas det blir fler.

Du har rätt på en sak, att svenska webbhotell är rätt amatörer och ofta inte har någon egen infrastruktur alls. Vilket mer vanligt utomlands.

Men då blir man mer beroende av köpa det som tjänst av sin ISP.

Men som jag som haft eget AS från 2005, typ under 6 mån sedan jag startade första företag när jag var 19. Så handlar mer om kunskap där i grunden.

Men av den orsak varför rimligt med minst 10G samt egen BGP så man kan automatiskt nullroutra/blackhole IP som är attackerat för inte hela nätet ska bli lidande.

Hade man haft kunskap och vet hur man pratar med sin ISP och sagt att vi vill ha filter som gör att UDP samt övriga IP protokoll inte får ta upp mer än 30% av länkhastighet. Eller tvärtom att TCP alltid ska garanteras 70% om det behövs. Det hade skyddat mot extrem stor del av DDoS som fyller linor.

Sedan använda Arbor för simpla SYN attacker låter löjligt, det ska normala FW klara eller standard utrustning. SYN attacker eller attacker rent allmänt som inte fyller linan går filtrera massa sätt. Ända ner till L7 för hitta mönster. Går även bygga filter som baserar sig vilket land olika IP kommer ifrån eller världdelar. Just för kunna prioritera och ha olika möjligheter.

Går även ha mer avancerad check för kolla om dom som skapar SYN gör full handskakning om inte lägg dom i full block så länge.

I grunden så attacker från botnät innehåller ofta ett visst mönster.

Även om du har fler pipor/transit behöver inte alla leverantörer har Arbor utan räcker med 1 av dom.

Vid DDoS behöver du bara lägga om det nät till den leverantör som du har Arbor eller annan DDoS skydd ifrån med en more specefice route.

Detta är bara självklara saker som bara handlar om kunskap, behöver inte bli så dyrt alls om man har kunskapen.


Sedan går det styra affärsmodell med lite om man har lite olika pipor, ha ett premium nät där kunder som vill betala lite extra får egen unik IP sedan se till styra det nät separat åt vissa pipor sedan kunna styra om trafik just för dom nät automatiskt för inte det ska för störningar för mindre värda kunder får DDoS.

[Monkboll]

Hur beräknas upptiden?
99.58% upptid i Mars när det har varit DDos på samtliga tjänter från och till sedan den 5e?

[BHS]

Citat:

Ursprungligen postat av Monkboll

Hur beräknas upptiden?
99.58% upptid i Mars när det har varit DDos på samtliga tjänter från och till sedan den 5e?

Tror dom har börjat räkna den omvänt om ja ska tro något.

[Lidback85]

Citat:

Ursprungligen postat av Monkboll

Hur beräknas upptiden?
99.58% upptid i Mars när det har varit DDos på samtliga tjänter från och till sedan den 5e?

Så som jag fattar det så räknas inte all nertid.
Allt under 3 minuter räknas inte in.

Exempel som jag fattar det:
1st störning på under 3 minuter räknas inte in.
100000000000st störningar vardera på under 3 minuter räknas inte in.

Men iaf så får jag inte helhetsuptime'n att gå ihop med tanke på att det gått 10 dagar på denna månad och med stora/långa avbrott.

[Nicklas]

Binero funkar ju inte att köra alls längre, jag lägger ner dem helt nu!
.

[ZynX]

Tror helt ärligt att ni inte kan räkna med kompensation då DDoS går under force majeure så det är nog något ni lär kolla i deras avtal.

[Lidback85]

Citat:

Ursprungligen postat av ZynX

Tror helt ärligt att ni inte kan räkna med kompensation då DDoS går under force majeure så det är nog något ni lär kolla i deras avtal.

Tror ingen räknar med kompensation, som har läst avtalet.
https://www.binero.se/webbhotell/avtalsvillkor

Citat:

Binero utövar ingen kontroll över information som hanteras av Kund inom Webbhotellet. Binero är således inte ansvarigt för verksamheten på enskilda hemsidor eller innehållet där, eller direkta eller indirekta skador som uppkommer till följd av agerande från Kund. Binero svarar inte för Kunds eventuella ersättningsskyldighet mot tredje part. Binero ansvarar inte för dataförlust, eller annan skada som uppstått till följd av virus eller obehörigt intrång eller obehörig påverkan av Bineros servrar.

[SvanteH]

Citat:

Ursprungligen postat av Monkboll

Hur beräknas upptiden?
99.58% upptid i Mars när det har varit DDos på samtliga tjänter från och till sedan den 5e?

Gissningsvis så räknas det som medelsnitt över alla tjänster. Så går ett apache kluster ner så påverkar det inte uptime nämnvärt.

[Binero]

Våra kontroller mäts av pingdom som visar alla störningar på servernivå som varar tre minuter eller mer.

Att vi haft störningar vid flera tillfällen är inte riktigt samma sak som att en dag försvinner från upptiden för att vi har problem någon timme, eller som under DDoS-attacken de senaste dagarna, under flera timmar. Siffran på binerodrift stämmer hyggligt, dock är inte 99,63% upptid (som det står i skrivande stund) en bra siffra på något sätt. Den representerar ganska många timmar av strul.

Vi är självklart inte nöjda efter de senaste dagarnas DDoS-attack. Vad som är särskilt surt är att vi redan före attacken tittade på och utvärderade olika varianter av skydd mot attacker. Det arbetet växlas upp en aning nu.

MVH
Christer