Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'a…

Delete this message

Reply to this message
Author: q9c9p
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] attacco DDoS a Nodo50, suggerimenti sull'autodifesa
On 10/22/2013 01:40 PM, bisco wrote:
> Il 22.10.2013 11:06 Jaromil ha scritto:
>>
>> si ma l'operazione e' a livello IP e la distinzione la fa la
>> tabella di routing sul source ip. credo sia il piu' basso livello
>> di latenza possibile sull'operazione, che produce pure il minor
>> carico http://en.wikipedia.org/wiki/Black_hole_(networking)
>>
>
> ok, ma in ogni caso t'arrivano i pacchetti (a cui tu poi non
> rispondi e quindi iptables o chi per esso non deve gestirli) e la
> tua banda viene saturata.
>
> a mitigare mitiga, sicuramente, ma stiamo sempre li': se ho piu'
> banda di te, hai voglia a mettermi in nullroute sul server, ti
> tengo giu'.
>
> saluti
>


Salve a tutti,

( un saluto a chi mi conosce di persona, ho avuto problemi fisici
gravi e sono ancora un po convalescente, mi rivedrete al piu presto
per gli schiaffoni e i calci in culo xD )

riprendo questa mail per dare qualche spiegazione e delucidazione,
come dice bisco se l'attaccante ha piu banda e satura il link sopra di
te e se la farm se ne fotte sei fottuto.

Leggendo un po e informandomi ho scoperto che la cisco fa una cosa
simile sempre basandosi sugli hitcount di routing e non gli hitcount
in firewall ma anche li stessa storia, golia vince su davide.

Comunque nel discorso bisogna differenziare sempre tra DDoS ( denial
of service distribuito quindi da piu macchine ) e DoS ( denial of
service da una macchina magari sfruttando qualche bug di qualche
servizio pubblico).

Ancora una volta ripeto, se hai piu banda di me sono fottuto. Poi il
discorso cambia se parliamo di una rete di messaging distribuito che
informa altri server "amici" dell'attacco potendo fornire un contro
attacco ai server attaccanti o anche solo una fila distribuita di mail
abuse ai vari provider ( sempre che parliamo di macchine hostate come
attaccanti, dei lamerini da casa me ne faccio una gran copiosa
omosessuale sega, credo come tutti voi )...ma questo e' un altro
discorso, e se l'attaccante ruota il tuo traffico contro la vittima
diventa un delirio ( credo sia possibile, sono aperto a prendermi
insulti nel caso mi sbagliassi ).

Fail2ban puo anche essere riconfigurato per usare iproute2 blackhole (
che non e' altro che un null route ) invece che iptables drop ma
appunto si basa sui log e non sugli hitcount reali.

La stessa cosa ( il routing a nullo ) la faccio in default per tutti
segmenti di rete/botnets controllate e tracciate da abuse.ch oltre che
per tutta una serie di segmenti di rete gia tracciati come stati (
tipo ho in null route mezzo sudafrica e una bella fetta di cina ).

Tutto questo non evita che se mi saturano finisco con il culo all'aria
fresca ( che sarebbe anche piacevole se non ci fossero in giro preti
pedofili e ultras omofobi xD ) pero per lo meno ti eviti di rispondere
all'attaccante.

Di usare servizi esterni di compagnie piu o meno valide per me non se
ne parla, anche se non faccio niente di politicizzato al momento ( ho
un gameserver di un gioco closed e uno di un gioco open ) va contro
ogni mio ideale di autonomia e autogestione tecnologica per gli stessi
motivi detti nelle mail da altri.

Piuttosto autodistruggo il server, se non ne posso imparare niente
allora non ha senso continuare xD e chi mi conosce sa cosa intendo :)


Ciao!

PS: qualcuno che mi sfida a Feed The Beast o Skyblock? q^c^p

PPS: credo che l'unica vera maniera di mitigare un attacco ddos peso
sia di avere un proprio provider con banda illimitata e anche qui
parliamo di fantascenza.