Login Form
IPv6 Ready
Σελίδα 1 από 2 12 ΤελευταίαΤελευταία
Εμφάνιση 1-15 από 22
  1. #1
    Εγγραφή
    21-09-2003
    Μηνύματα
    70.427
    Downloads
    217
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    30/3
    ISP
    Cyta Hellas
    Router
    Pirelli, DGN2200
    SNR / Attn
    6(dB) / 13(dB)
    Path Level
    Interleaved
    Intenet
    Το GitHub την Τετάρτη, έγινε στόχος της μεγαλύτερης ως τώρα επίθεσης DDoS, με την κίνηση προς αυτό να φτάνει τα 1.35 terabits per second, η οποία πραγματοποιήθηκε χωρίς την χρήση botnet, αλλά με την όλο και πιο δημοφιλή μέθοδο του memcached DDoS attack.

    memcached DDoS attacks don't require a malware-driven botnet. Attackers simply spoof the IP address of their victim, send small queries to multiple memcached servers—about 10 per second per server—that are designed to elicit a much larger response. The memcached systems then return 50 times the data of the requests back to the victim.

    Known as an amplification attack, this type of DDoS has shown up before. But as internet service and infrastructure providers have seen memcached DDoS attacks ramp up over the last week or so, they've moved swiftly to implement defenses to block traffic coming from memcached servers.
    Το δημοφιλές developer portal, "άντεξε" 10 λεπτά με outages λόγω της επίθεσης, πριν στραφεί για βοήθεια στην υπηρεσία αντιμετώπισης επιθέσεων DDoS, Akamai Prolexic, η οποία ανέλαβε το routing και το φιλτράρισμα της κίνησης, απορρίπτοντας τα κακόβουλα requests. Μετά από 8 λεπτά οι επιτιθέμενοι σταμάτησαν την επίθεση τους.

    Σύμφωνα με τους υπεύθυνους της Akamai, τα συστήματα τους είναι σχεδιασμένα να αντέχουν σε κίνηση ίση με 5 φορές την μεγαλύτερη καταγεγραμμένη επίθεση.

    Πηγή : Wired

  2. #2
    Εγγραφή
    28-03-2006
    Περιοχή
    Salonica City
    Ηλικία
    43
    Μηνύματα
    24.100
    Downloads
    22
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    50000/5000
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    CRS1092HnD Modem: VMG1312
    Path Level
    Interleaved
    Με το GitHub τι ζόρι τραβάνε;
    Εκτός και αν το κάνουν από θέμα επίδειξης.
    :~$
    "Anyone can build a fast CPU.
    The trick is to build a fast system."

    Seymour Cray...

  3. #3
    Εγγραφή
    17-10-2005
    Περιοχή
    Αθήνα
    Μηνύματα
    278
    Downloads
    11
    Uploads
    0
    Τύπος
    ADSL
    Ταχύτητα
    12288/1024
    ISP
    Forthnet
    DSLAM
    Forthnet - ΑΓ. ΑΡΤΕΜΙΟΣ
    Router
    Thomson TG784
    SNR / Attn
    6,3(dB) / 25(dB)
    Παράθεση Αρχικό μήνυμα από deniSun Εμφάνιση μηνυμάτων
    Με το GitHub τι ζόρι τραβάνε;
    Εκτός και αν το κάνουν από θέμα επίδειξης.
    Ελα ντε!

  4. #4
    Εγγραφή
    09-09-2006
    Περιοχή
    Αθηνα
    Ηλικία
    44
    Μηνύματα
    1.945
    Downloads
    3
    Uploads
    0
    Τύπος
    Other / Άλλο
    ISP
    Γείτονας
    Και γιατί δεν κλείσανε εξ αρχής το UPD να τελειώνουν;
    "If you pay peanuts you get monkeys"
    ------------------------------------------------------------------------------------
    Άλλοι καταλαβαίνουν ότι διαβάζουν και άλλοι διαβάζουν ότι καταλαβαίνουν
    ------------------------------------------------------------------------------------
    Η αλήθεια που δεν σας λένε, i7 2600K vs i7 8700K σημειώσατε Χ

  5. #5
    Εγγραφή
    18-01-2006
    Μηνύματα
    254
    Downloads
    1
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ Conn-x
    Router
    ARM/MikroTik
    Path Level
    Fastpath
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    ...δημοφιλή μέθοδο του memcached DDoS attach.
    Διορθώστε το γιατί βγάζει μάτι! :P

    Με το GitHub τι ζόρι τραβάνε;
    Ίσως να σβήσανε το project κάποιου και είπε να πληρώσει για 8 λεπτά κάποιο botnet Ρώσου για να το ρίξει για να τους εκδικηθεί

    Γενικά τις τελευταίες μέρες γίνονται παντού DDoS attacks λόγω αυτού του νέου vector και υπάρχει γενικότερη αστάθεια στο Internet. Υπήρξαν προβλήματα και στην Ελλάδα, πχ με την Forthnet να δέχεται attacks πάνω από 20Gbit (σεβαστό νούμερο για τα Ελληνικά δεδομένα).
    Ή προβλήματα σε διεθνή carrier backbones να έχουν μέχρι και διπλάσιο latency και αρκετό packet loss για ώρες.

    Το κακό με την χρήση του memcached για amplification είναι ότι με ελάχιστα bytes ανά request το reply μπορεί να είναι υπερβολικά τεράστιο (συγκριτικά με άλλα vectors όπως DNS, NTP, LDAP, etc) επιτυγχάνοντας έτσι νέα DDoS records.

    Σχετικό blog post της CloudFlare επί του θέματος: https://blog.cloudflare.com/memcrash...om-port-11211/ για όσους θέλουν να μάθουν περισσότερες πληροφορίες.


    Ουσιαστικά το πρόβλημα με τα amplification attacks δεν είναι ότι υπάρχουν χύμα memcached (ή dns, ntp, ldap, etc) ανοιχτά στο internet ή το implementation των πρωτοκόλλων τους, αλλά το ότι υπάρχουν BGP AS στο internet τα οποία επιτρέπουν να στείλουν πακέτα με spoofed source IPs δίνοντας έτσι την δυνατότητα σε κάποιον κακόβουλο χρήστη να αξιοποιήσει τους τόνους από ανοιχτά memcached στο internet για να κάνει επιθέσεις όπου θέλει.
    Αν κοπούν αυτά τα AS από το internet (ή εφαρμόσουν το BCP38) τότε θα σταματήσουν όλα αυτά τα DDoS. Χωρίς spoofing δεν δουλεύουν τα amplification attacks.

    Το πρόβλημα είναι πως να εντοπιστούν αυτά τα κακά AS αφού τα πακέτα έχουν spoofed IPs και δεν μπορείς να κάνεις trace πίσω στον αληθινό attacker... Και άντε και τους εντόπισες... αν το business model τους βασίζεται στο να κάνουν host κόσμο που θέλει να στέλνει spoofed packets, σιγά μην το αλλάξουν για σένα


    Και γιατί δεν κλείσανε εξ αρχής το UPD να τελειώνουν;
    Αν εννοείς γιατί το GitHub δεν έκοψε τα UDP πακέτα σε κάποιο firewall, τότε δεν θα βοηθούσε πουθενά κάτι τέτοιο.
    Τα UDP πακέτα θα φτάσουν μέχρι και το firewall πριν γίνουν drop, γεμίζοντας έτσι το φυσικό μέσο και προκαλώντας και πάλι packet loss.
    Τα UDP attacks μπορούν να κοπούν μόνο upstream ή όπου υπάρχει παραπάνω bandwidth τελοσπάντων. Είτε τα κόβεις upstream, είτε τα απορροφάς (drop σε κάποιο edge) αν το αντέχει η υποδομή σου και τα uplinks σου.
    During times of universal deceit, telling the truth becomes a revolutionary act.

  6. #6
    Εγγραφή
    06-12-2002
    Μηνύματα
    2.957
    Downloads
    22
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    Cosmote
    Path Level
    Interleaved
    Ερώτηση κρίσεως, αν γινει μια τετοια επίθεση στην cosmote, εχει την δυνατότητα να το αντιμετωπίσει ως ο μεγαλύτερος πάροχος στην Ελλαδα?


  7. #7
    Εγγραφή
    18-01-2006
    Μηνύματα
    254
    Downloads
    1
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ Conn-x
    Router
    ARM/MikroTik
    Path Level
    Fastpath
    Ναι. Απλά κάνει null route την IP που τρώει το attack στους upstream της.
    Η IP που τρώει το attack θα μείνει down για όση ώρα είναι null routed, αλλά ο ΟΤΕ θα συνεχίσει να παίζει κανονικά.

    Κανένας πάροχος στην Ελλάδα δεν έχει διεθνή χωρητικότητα στο 1.35TB. Δεν το πλησιάζουν ούτε για πλάκα τέτοιο νούμερο lol
    Και δικαιολογημένα. Δεν έχουν ανάγκη τόση χωρητικότητα.
    During times of universal deceit, telling the truth becomes a revolutionary act.

  8. #8
    Εγγραφή
    05-11-2004
    Ηλικία
    27
    Μηνύματα
    2.451
    Downloads
    44
    Uploads
    0
    Άρθρα
    9
    Τύπος
    VDSL2
    Ταχύτητα
    37/5 Mbps
    ISP
    COSMOTE
    Router
    Speedport Entry 2i
    Path Level
    Fastpath
    Παράθεση Αρχικό μήνυμα από Cha0s Εμφάνιση μηνυμάτων
    Υπήρξαν προβλήματα και στην Ελλάδα, πχ με την Forthnet να δέχεται attacks πάνω από 20Gbit (σεβαστό νούμερο για τα Ελληνικά δεδομένα).
    Υπάρχει κάποια πηγή για αυτό;

  9. #9
    Εγγραφή
    29-11-2003
    Περιοχή
    Αθήνα , Παγκράτι
    Ηλικία
    46
    Μηνύματα
    5.833
    Downloads
    144
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    50/5 (49.999/4.999)
    ISP
    COSMOTE (VDSL)
    Router
    ZTE ZXDSL 931VII (VDSL)
    Path Level
    Interleaved
    εγώ πάντως θα ήθελα να δω μια DDOS επίθεση στους παρόχους κινητής/σταθερής/διαδικτύου ώστε να δούμε τι θα γίνει αν πέσει το δίκτυο της κινητής/σταθερής/διαδικτύου θα πέσει πολύ κλάμα πιστεύω...
    Με εκτίμηση
    Η.Κ.

    Αφιερωμένο:
    Είναι η ζωή μας "Ανόητε" - Its our life "Stupid"

    Έχεις δίπλα στο σπίτι σου ένα ΚΑΦΑΟ; Χαρτογράφησε το στο FttxGR

  10. #10
    Εγγραφή
    02-07-2005
    Περιοχή
    ::1
    Μηνύματα
    677
    Downloads
    16
    Uploads
    0
    Τύπος
    ADSL
    Ταχύτητα
    384/128
    ISP
    Forthnet
    Router
    Crypto F200
    SNR / Attn
    6(dB) / 52(dB)
    Παράθεση Αρχικό μήνυμα από Zer0c00L Εμφάνιση μηνυμάτων
    ... κινητής/σταθερής/διαδικτύου...
    • Κινητής, είτε θα σε κόβανε τα διαθέσιμα data, είτε το διαθέσιμο rate.
    • Σταθερής, θα είχε πλάκα να σπαμάρουν dialers για πάντα σε γραμμές ηλικιωμένων ή πρωινές ώρες να πετυχαίνουν νοικοκυρές. Εκεί να δείς Amplification!!!(DailDDoS)
    • Διαδικτύου, τα είδαμε.

    ___________________________________________________
    NoDsl is playing: Muse - Uprising (Open your eyes remix)

  11. #11
    Εγγραφή
    15-03-2005
    Ηλικία
    35
    Μηνύματα
    1.908
    Downloads
    0
    Uploads
    0
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΠΕΡΑΜΑ
    1.35Tbps για 10 λεπτά, μπετό το Github
    The world can change by your actions not by your opinions

  12. #12
    Εγγραφή
    25-09-2002
    Περιοχή
    Τραχανοπλαγιά
    Ηλικία
    39
    Μηνύματα
    190
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    49998/4997
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΚΑΛΑΜΑΚΙ
    Router
    ZTE 931VII
    SNR / Attn
    29,9(dB) / 0(dB)
    Path Level
    Fastpath
    Καλημέρα,

    Παράθεση Αρχικό μήνυμα από globalnoise Εμφάνιση μηνυμάτων
    Υπάρχει κάποια πηγή για αυτό;
    Ναι, εγώ Έφαγα επίθεση τα ξημερώματα της Δευτέρας από το εν λόγω memcache amplification attack. Χρειάστηκε manual παρέμβαση στο Arbor για να αρχίσει να αναγνωρίζεται και το εν λόγω είδος attack και έγινε mitigate, παρόλα αυτά οι επιθέσεις συνεχίστηκαν σε διάφορα sites και όχι μόνο στον upstream provider μας. Υπήρξε προσωρινό θέμα για κάποιες ώρες και σε uplink της Oteglobe με την LH (δεν γνωρίζω αν είχε να κάνει με την εν λόγω επίθεση αλλά ήταν ίδια περίοδο), με αποτέλεσμα όλα τα sites που είχαν CloudFlare (έχει Athens PoP στην LH) να έχουν διάφορα θεματάκια, ανεξαρτήτως τον πάροχο τους, αν τα έβλεπες από Ελλάδα (το GR-IX πέρναγε την κίνηση στον Athens PoP).
    Φιλικά, Γιώργος Βαρδίκος

  13. #13
    Εγγραφή
    21-09-2003
    Μηνύματα
    70.427
    Downloads
    217
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    30/3
    ISP
    Cyta Hellas
    Router
    Pirelli, DGN2200
    SNR / Attn
    6(dB) / 13(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από Revolution Εμφάνιση μηνυμάτων
    1.35Tbps για 10 λεπτά, μπετό το Github
    Και μετά ανέλαβε ο Hulk Akamai
    We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
    I forgot that I might see, so many Beautiful things
    everything that has a beginning has an end
    See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me

  14. #14
    Εγγραφή
    18-01-2006
    Μηνύματα
    254
    Downloads
    1
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ Conn-x
    Router
    ARM/MikroTik
    Path Level
    Fastpath
    Παράθεση Αρχικό μήνυμα από globalnoise Εμφάνιση μηνυμάτων
    Υπάρχει κάποια πηγή για αυτό;
    Με πρόλαβε ο Gvard

    Σοβαρά τώρα, περιμένεις επίσημη ενημέρωση από την Forthnet;
    Εδώ σε πιο σοβαρά θέματα και βγάζανε ψευδή δελτία τύπου

    - - - Updated - - -

    Παράθεση Αρχικό μήνυμα από gvard Εμφάνιση μηνυμάτων
    Καλημέρα,

    Ναι, εγώ Έφαγα επίθεση τα ξημερώματα της Δευτέρας από το εν λόγω memcache amplification attack. Χρειάστηκε manual παρέμβαση στο Arbor για να αρχίσει να αναγνωρίζεται και το εν λόγω είδος attack και έγινε mitigate, παρόλα αυτά οι επιθέσεις συνεχίστηκαν σε διάφορα sites και όχι μόνο στον upstream provider μας. Υπήρξε προσωρινό θέμα για κάποιες ώρες και σε uplink της Oteglobe με την LH (δεν γνωρίζω αν είχε να κάνει με την εν λόγω επίθεση αλλά ήταν ίδια περίοδο), με αποτέλεσμα όλα τα sites που είχαν CloudFlare (έχει Athens PoP στην LH) να έχουν διάφορα θεματάκια, ανεξαρτήτως τον πάροχο τους, αν τα έβλεπες από Ελλάδα (το GR-IX πέρναγε την κίνηση στον Athens PoP).
    Μερικές πληροφορίες παραπάνω για το εν λόγο περιστατικό:

    Το attack διήρκεσε 24 λεπτά και έφταναν σε εμάς 10Gbps/860Kpps. Η επίθεση έγινε στο www.hyperhosting.gr και όλα τα πακέτα ήταν UDP με source port 11211 και τυχαίες source IPs.

    Mbps
    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. 

Όνομα:  Screenshot_6.png 
Εμφανίσεις:  56 
Μέγεθος:  98,7 KB 
ID: 191837
    Packets per second
    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. 

Όνομα:  Screenshot_15.png 
Εμφανίσεις:  33 
Μέγεθος:  102,7 KB 
ID: 191838

    Μέσα σε 24 λεπτά ήρθαν πάνω από 1.5TB δεδομένων.

    Ένα sample των πακέτων που έπιασε το σύστημα μας με το που έγινε trigger το attack threshold:

    Κώδικας:
    IP: 31.22.112.8
    Attack type: udp_flood
    Initial attack power: 60666 packets per second
    Peak attack power: 60666 packets per second
    Attack direction: incoming
    Attack protocol: udp
    Total incoming traffic: 652 mbps
    Total outgoing traffic: 0 mbps
    Total incoming pps: 60666 packets per second
    Total outgoing pps: 0 packets per second
    Total incoming flows: 1431 flows per second
    Total outgoing flows: 0 flows per second
    Average incoming traffic: 652 mbps
    Average outgoing traffic: 0 mbps
    Average incoming pps: 60666 packets per second
    Average outgoing pps: 0 packets per second
    Average incoming flows: 1431 flows per second
    Average outgoing flows: 0 flows per second
    Incoming ip fragmented traffic: 0 mbps
    Outgoing ip fragmented traffic: 0 mbps
    Incoming ip fragmented pps: 0 packets per second
    Outgoing ip fragmented pps: 0 packets per second
    Incoming tcp traffic: 0 mbps
    Outgoing tcp traffic: 0 mbps
    Incoming tcp pps: 0 packets per second
    Outgoing tcp pps: 0 packets per second
    Incoming syn tcp traffic: 0 mbps
    Outgoing syn tcp traffic: 0 mbps
    Incoming syn tcp pps: 0 packets per second
    Outgoing syn tcp pps: 0 packets per second
    Incoming udp traffic: 652 mbps
    Outgoing udp traffic: 0 mbps
    Incoming udp pps: 60563 packets per second
    Outgoing udp pps: 0 packets per second
    Incoming icmp traffic: 0 mbps
    Outgoing icmp traffic: 0 mbps
    Incoming icmp pps: 102 packets per second
    Outgoing icmp pps: 0 packets per second
    
    Network: 31.22.112.8/32
    Network incoming traffic: 940 mbps
    Network outgoing traffic: 0 mbps
    Network incoming pps: 87158 packets per second
    Network outgoing pps: 0 packets per second
    Average network incoming traffic: 645 mbps
    Average network outgoing traffic: 0 mbps
    Average network incoming pps: 60044 packets per second
    Average network outgoing pps: 0 packets per second
    Average packet size for incoming traffic: 1409.6 bytes 
    Average packet size for outgoing traffic: 0.0 bytes 
    
    
    2018-02-26 00:04:14.593354 158.69.51.11:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
    2018-02-26 00:04:14.593381 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
    2018-02-26 00:04:14.593390 185.89.204.4:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 54 sample ratio: 1  
    2018-02-26 00:04:14.593398 139.59.242.222:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
    2018-02-26 00:04:14.593406 188.130.7.87:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
    2018-02-26 00:04:14.593414 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
    2018-02-26 00:04:14.593421 218.232.75.192:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
    2018-02-26 00:04:14.593430 185.89.204.4:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 54 sample ratio: 1  
    2018-02-26 00:04:14.593442 188.132.219.171:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 48 sample ratio: 1  
    2018-02-26 00:04:14.593450 188.132.219.171:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 48 sample ratio: 1  
    2018-02-26 00:04:14.593526 166.78.211.144:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
    2018-02-26 00:04:14.593535 218.232.75.198:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
    2018-02-26 00:04:14.593542 58.191.154.83:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
    2018-02-26 00:04:14.593550 139.59.242.222:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
    2018-02-26 00:04:14.593557 163.172.83.142:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1  
    2018-02-26 00:04:14.593566 153.126.138.38:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
    2018-02-26 00:04:14.593574 139.59.242.222:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 50 sample ratio: 1  
    2018-02-26 00:04:14.593586 37.187.196.9:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
    2018-02-26 00:04:14.593598 188.132.219.171:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 48 sample ratio: 1  
    2018-02-26 00:04:14.593606 198.202.88.97:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
    2018-02-26 00:04:14.593613 218.232.75.198:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
    2018-02-26 00:04:14.593620 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
    2018-02-26 00:04:14.593628 218.232.75.198:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
    2018-02-26 00:04:14.593635 169.46.56.105:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 51 sample ratio: 1  
    2018-02-26 00:04:14.593642 163.172.83.142:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1  
    2018-02-26 00:04:14.593650 188.132.219.171:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 48 sample ratio: 1  
    2018-02-26 00:04:14.593657 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
    2018-02-26 00:04:14.593665 37.187.196.9:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 55 sample ratio: 1  
    2018-02-26 00:04:14.593673 58.191.154.83:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
    2018-02-26 00:04:14.593681 169.46.56.105:11211 > 31.22.112.8:60965 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 51 sample ratio: 1  
    2018-02-26 00:04:14.593772 172.98.194.242:11211 > 31.22.112.8:32469 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 52 sample ratio: 1  
    2018-02-26 00:04:14.593781 91.121.54.91:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1  
    2018-02-26 00:04:14.593789 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
    2018-02-26 00:04:14.593797 91.121.54.91:11211 > 31.22.112.8:14901 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1  
    2018-02-26 00:04:14.593804 66.90.119.95:11211 > 31.22.112.8:57984 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 53 sample ratio: 1  
    2018-02-26 00:04:14.593812 163.172.83.142:11211 > 31.22.112.8:62462 protocol: udp frag: 0  packets: 1 size: 1442 bytes ttl: 56 sample ratio: 1
    Επιβεβαιώνονται τα άρθρα που αναφέρουν για τα μεγάλα replies της memcache αφού όπως φαίνεται και πάνω όλα τα πακέτα έχουν μέγεθος 1442 bytes.


    Από το 1ο δευτερόλεπτο της επίθεσης μπήκε σε λειτουργία το δικό μας mitigation (πέρα του Arbor που μας παρέχει η Forthnet) γυρνώντας την IP που έτρωγε το attack στον 2ο standby router μας ώστε η επίθεση να έρχεται από dedicated 10g fiber uplink χωρίς να επηρεάζει καθόλου την κίνηση στους υπόλοιπους πελάτες που συνέχιζαν κανονικά από τον 1ο master router.

    Στον 2ο router έγινε ξεκαθάρισμα της κίνησης για όση ώρα διαρκούσε το attack επιτρέποντας μόνο κίνηση από Ελλάδα να φτάσει στον server. Δεδομένου πως το 99% της κίνησης μας είναι από Ελλάδα, το προσωρινό μέτρο αποκλεισμού της κίνησης από εξωτερικό μας επιτρέπει να συνεχίζουμε να τρώμε το attack απορροφώντας το στο edge μας και ταυτόχρονα να παραμένει προσβάσιμη η σελίδα που τρώει το attack.

    Το DDoS mitigation μας είναι συνδυασμός του FastNetMon μαζί με in-house/custom scripts τα οποία εκτελούνται όταν γίνει detect κάποιο attack επιτρέποντας την παραπάνω συμπεριφορά εντός 1-2seconds από την ώρα που θα γίνει trigger το FNM.

    Καθόλη τη διάρκεια του attack δεν έπεσε κανένας πελάτης και παρόλο που το 10g uplink ήταν γεμάτο δεν υπήρξε packet loss ή lag με τον upstream (Forthnet) μας.
    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. 

Όνομα:  Screenshot_7.png 
Εμφανίσεις:  31 
Μέγεθος:  72,6 KB 
ID: 191839

    Αυτό που έχει ενδιαφέρον είναι πως κατά τη διάρκεια του attack υπήρξε αυξημένο latency & loss με κάποιους διεθνής προορισμούς και δεν ήταν στην forthnet ή στους upstreams της αλλά πιο κάτω.
    Πχ προς Γαλλία (Online.net)
    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. 

Όνομα:  Screenshot_44.png 
Εμφανίσεις:  23 
Μέγεθος:  69,1 KB 
ID: 191840
    Traceroute:
    Κώδικας:
    Start: 2018-02-26T00:15:00+02:00 
    HOST: ***************                                             ASN  Snt  Rcv  Loss%   Last   Best    Avg   Wrst
      1.|-- ***** (*******)                                             0   10   10     0%   0.28   0.22    0.3   0.57
      2.|-- Gi-08-core1-ase.hyperhosting.net (185.23.88.241)       197746   10   10     0%   0.39   0.34   0.36   0.41
      3.|-- e2-10.host-ase-01.forthnet.gr (62.1.2.1)                 1241   10   10     0%   0.72   0.72   0.83   1.25
      4.|-- te0-0-0-1.distr-kln-02.forthnet.gr (213.16.247.201)      1241   10   10     0%   1.08   1.08   1.21    1.6
      5.|-- BE3.core-kln-03.forthnet.gr (213.16.247.17)              1241   10   10     0%   1.41    1.1   1.35   1.56
      6.|-- ??? (80.249.212.93)                                      1200   10   10     0%  57.74  57.74  60.86  66.84
      7.|-- ??? (195.154.2.103)                                     12876   10    9    10%  81.02  77.53   81.8  84.51
      8.|-- ??? (195.154.1.67)                                      12876   10   10     0%  72.42  70.66  73.45  79.04
      9.|-- ***** (*******)                                         12876   10    9    10%  82.09  74.33  78.52  82.09
    Ή προς Αγγλία (RapidSwitch)
    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. 

Όνομα:  Screenshot_55.png 
Εμφανίσεις:  19 
Μέγεθος:  63,3 KB 
ID: 191841
    Traceroute:
    Κώδικας:
    Start: 2018-02-26T00:15:00+02:00 
    HOST: ***************                                             ASN  Snt  Rcv  Loss%   Last   Best    Avg   Wrst
      1.|-- ***** (*******)                                             0   10   10     0%   0.32   0.24   0.28   0.32
      2.|-- Gi-08-core1-ase.hyperhosting.net (185.23.88.241)       197746   10   10     0%   0.39    0.3   0.39    0.7
      3.|-- e2-10.host-ase-01.forthnet.gr (62.1.2.1)                 1241   10   10     0%   0.81   0.73   0.84   1.21
      4.|-- te0-2-0-0.distr-kln-01.forthnet.gr (213.16.252.169)      1241   10   10     0%   0.79   0.71   0.85   1.51
      5.|-- BE2.core-kln-03.forthnet.gr (213.16.247.13)              1241   10   10     0%   0.79   0.69   0.92   1.22
      6.|-- ??? (79.140.91.14)                                       6762   10   10     0%   1.03   0.92   1.02   1.22
      7.|-- et2-1-0-51.franco71.fra.seabone.net (195.22.205.131)     6762   10   10     0%  64.83  64.76  64.83  64.95
      8.|-- be3034.rcr22.fra06.atlas.cogentco.com (130.117.15.37)     174   10    7    30% 143.22 143.22 149.86 154.86
      9.|-- be2846.ccr42.fra03.atlas.cogentco.com (154.54.37.29)      174   10    9    10% 143.33 143.33 148.77 155.46
     10.|-- be2814.ccr42.ams03.atlas.cogentco.com (130.117.0.141)     174   10    9    10% 150.06  148.7  154.4 161.38
     11.|-- be12488.ccr42.lon13.atlas.cogentco.com (130.117.51.41)    174   10    9    10% 155.56 153.31 158.77 167.56
     12.|-- be2869.ccr22.lon01.atlas.cogentco.com (154.54.57.162)     174   10    8    20%  140.7 138.29    144 152.33
     13.|-- be5.asr01.thn.as20860.net (149.6.184.50)                  174   10   10     0%  77.72  77.71  77.85  78.06
     14.|-- po112.net1.north.dc5.as20860.net (185.91.76.106)        20860   10   10     0%  85.61  85.46  87.12 101.27
     15.|-- ??? (87.117.211.38)                                     20860   10   10     0% 157.29 156.69 162.28 171.68
     16.|-- ***** (*******)                                         20860   10    9    10% 156.14 154.41 159.39 167.71
    Για όσους πρόσεξαν, το latency/loss στα 2 παραπάνω γραφήματα κράτησαν παραπάνω ώρα απόση ώρα έφτανε το attack στους router μας.
    Αυτό είναι γιατί το Arbor έκοψε το attack στα 24 λεπτά αφότου ξεκίνησε (αναφέρει ο gvard τον λόγο) αλλά το attack συνέχιζε να φτάνει στην Forthnet για 17 λεπτά ακόμα όπου και σταμάτησε (σχεδόν ακριβώς στα 40 λεπτά σύνολο).
    Τελευταία επεξεργασία από το μέλος Cha0s : 02-03-18 στις 14:38. Αιτία: typo
    During times of universal deceit, telling the truth becomes a revolutionary act.

  15. #15
    Εγγραφή
    30-04-2008
    Μηνύματα
    4.343
    Downloads
    0
    Uploads
    0
    Φανταστειτε τι εχει να γινει στο μελλον που ο average joe θα εχει 100 Mbps upload για πλακα (ενω τωρα ουτε 1 λογω ADSL), τι δυναμη θα εχουν τα botnets... εκτος αν πανε ολα στο cloud και εκλειψουν τα παραδοσιακα PC, μαζι με τα malware που τα μολυνουν.

Σελίδα 1 από 2 12 ΤελευταίαΤελευταία

Παρόμοια Θέματα

  1. Μηνύματα: 2
    Τελευταίο Μήνυμα: 28-03-18, 20:18
  2. Μηνύματα: 29
    Τελευταίο Μήνυμα: 21-02-18, 23:52
  3. Δελτίο Τύπου της Α.Δ.Α.Ε. σχετικά με το exploit CRACK
    Από nikraven στο φόρουμ Γεγονότα και Απόψεις
    Μηνύματα: 0
    Τελευταίο Μήνυμα: 21-10-17, 22:25
  4. Μηνύματα: 10
    Τελευταίο Μήνυμα: 24-06-17, 09:07
  5. Μηνύματα: 13
    Τελευταίο Μήνυμα: 01-05-17, 18:25

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας