Sunday, 11 November 2007

Odkiaľ prišiel útok

Pre zaujímavosť uverejňujeme zoznam miest, odkiaľ ešte v tomto momente prichádza najväčšia časť zvyškov útoku na sme.sk - väčšinou ide o švédske, fínske a nórske servery:

*.swipnet.se
*.cust.bredbandsbolaget.se
*.254.159.235
*.110.26.154
*.ias.bredband.telia.com
*.110.58.222
*.wetternet.net
*-dynamic.15-87-r.retail.telecomitalia.it
*-16-251-219.customer.telia.com
190.*.34.140
pc-183-117.cable.aina.net
*.208.83.71.chello.no
*-1-64736c10.cust.bredbandsbolaget.se

3 comments:

Anonymous said...

K čemu ten seznam je? Majitelé těchto počítačů zřejmě vůbec netuší o tom, že jsou součástí nějakého útoku na jakési SME.

Celá "causa" svědčí o naprosté neprofesionalitě a nepřipravenosti administrátorů SME a jejich hostingu. DDOS útok je nepříjemný, ale není to nic, s čím by každý větší server neměl počítat. Měl by mít systém nastaven tak, aby nemusel utíkat na zahraniční blogískový systém a budovat tam jakousi zoufalou "základnu".

Anonymous said...

s tym suhlasim. www.sme.sk patri k najnavstevovanejsim strankam na slovensku a tym padom by sa asi patrilo, aby server, na ktorom bezi mal nadstandardne zabezpecenie. slovensky trh vsak pravdepodobne nestoji za investiciu do primeraneho hardwaru a softwaru. urobia to len vtedy, ked sa to ukaze uplne nevyhnutne. takkze teraz asi o nieco navysia rozpocet a investuju.
co sa mne nepaci na tomto blogovom nahradnom rieseni je vytvaranie atmosfery, ze ide o nieco strasne dramaticke, uz len cakam, kedy vyzvu ludi, aby vysli do ulic. pritom ide len o jednoduchu otazku: pustime tych par milionov na lepsiu ochranu alebo nie :).
ale inak so sme sympatizujem, v podstate ine ani necitam :)

Marki said...

Co sa tyka ochrany proti DDoS... Nemam teraz presne linky, ale na SME to najdes a aj na zive.sk (ohladne par mesiacov starsieho utoku na web zakaznika housingu firmy Lightstorm). Ten utok bol taky rozsiahly, ze zahlcoval medzinarodnu konektivitu nextry smerom na Slovensko. Takze niekde k tvojmu serveru sa vsetky pakety ani nedostanu a nie ze by si ich este nejako stihal filtrovat - teda nehovoriac o tom ze velmi nemas ako, kedze dany DDoS isiel z desiatok tisic IP. ISP v takychto pripadoch odfiltruje IP tvojho servera na vstupe na Slovensko, aby chranila ostatnych svojich klientov. Takze ty uz nemusis filtrovat nic, ale ani si nikto tvoj web nepozrie :)
Lighstorm to musel riesit tak, ze kupil nejake najvykonnejsie Cisco za par milionov (tusim nejaky Cisco Guard) a vsetok traffic pre dany web ide cez 2-3 datacentra po svete, kde sa to filtruje a na server prichadzaju len legitimne poziadavky. Ale aj ta masinka mala co robit pri tom pocte miliony paketov za sekundu.
Takze nie je to take jednoduche ako sa moze zdat niekomu kto si doma na linuxe nastavil firewall cez iptables. Nech skusi pri kolkych paketoch za sekundu mu to prestane stihat...
Dalsi problem je ze na taketo filtrovanie nie su routre prisposobene... Routovacie tabulky su podla IP prijimatela. Tu by bolo treba napr. pocitat pocet poziadavkov za sekundu z kazdej IP a ak ich je vela, tak na routri filtrovat... Ale routre by to nestihali (filtrovat/routovat podla zdrojovej IP).