Pogledajte ovo:
http://www.pcmag.com/article2/0,1759,1813953,00.asp
Nesto o GPL:
http://www.eweek.com/article2/0,1759,1821418,00.asp
Neki dan sam onako čisto iz radoznalosti, svjesno izvršio jedan mali DOS napadčić na jedan poznati Linux-Server i vidi stvarno…za minutu je bio nedostupan. To je uvijek dobar dokaz o tome da sigurnost servera zavisi u prvoj liniji od admina koji ga održava. Ko se osloni na gotov SuSE-firewall nije uvijek siguran. Ko ga zna izbrisati pa novi sastavit očigledno je u prednosti.
hm… hoces reci da host-based firewallom mozes rijesiti DOS napad? :shock: sumnjam…
Pozdrav
Ice
Ne, nisam to htjeo reći IceB 
Možda je taj server imao Host-based firewall i to je bilo sve. Sa nekim dodatnim Unix-programčićima, brzom intervencijom i poznavanjem materije bi se mogla postići relativno visoka sigurnost ali 100% nemože jer nešto neočekivano se uvijek može desiti.
Ti si specijalista za mrežne teme, kako bi ti spriječio DOS-anje ako npr. imaš jedan jedini server za http, ftp, i mail ?
Baš me interesuje.
Nikako, odsjeces ga od router-a i pustis da zavrsi distributed denial of service :)…
mala bash skripta koja DROP IP for xxx sec if … :lol: 8)
… a interesuje me zašto host based firewall nemože spriječiti DOS napade. Možda mi to neko može objasniti :rolleyes:
Zato što u slučaju pravog DDoSa ne ispašta samo server nego i sva infrastruktura usput, na kraju krajeva mogu ti DDoSovati nadprovidera :shock: :lol:
Vedrane, jesili razumio moje pitanje ? Zašto nemože spriječiti ?
(D)DoS je uzasno tesko sprijeciti. Za one koji ne znaju - Denial Of Service se postize slanjem vecom kolicinom zahtjeva jednom serveru - koji onda nije u stanju da na ove odgovori. Serveri inace imaju jednu mreznu karticu kojom su spojeni na ostatak mrezne infrastrukture. Kad se napad pokrene - svi paketi sa upitima idu preko mrezne infrastrukture ( nadprovidera i njegovih routera itd ) do servera. Ta velika kolicina podataka koja odjednom dolazi opterecava kako nadprovidera tako i vezu sa serverom… najbolje bi bilo kad ti lazni podaci nebi nikako dosli do servera ( ali onda napad nebi imao smisla, zar ne 
). Posto se nekad napadi tesko raspoznaju ( neke organizacije koje ucjenjuju kompanije, lagano povecavaju opterecenost mreze, dok kompanija ne shvati da bi ipak trebala platiti ).
Host based firewall je softwareski firewall koji se nalazi na samom serveru i jedina mu je funkcija da kontrolira ulazne pakete tj. da ih filtrira - primi ili odbaci ovisno o podesenjima. Kada svi ti paketi dodju do servera, njegova veza sa ostatkom interneta je vec opterecena. Tu paketi udaraju u server i njegov firewall opterecavajuci kako mreznu karticu tako i citav server. Ako se napad “prepozna” i ukoliko se radi o jednoj IP adresi napadaca, ista se moze filtrirati putem IPtables na trecem layeru OSI sistema, znaci bezvezni paketi ne dolaze do porta na kojem je pokrenuta neka usluga ( www/mail ). Ovo zadnje nema efekta jer je opet citav link preopterecen i normalne konekcije od zagusenja ne mogu proci ( paketi idu od najnizeg layera prema najvisem u OSI sistemu - na najvisem se nalazi aplikacija/daemon ).
kako se odbraniti? ko nadje dobro rjesenje - mozda dobije oskara ili nobelovu nagradu iz ICTa 
-
otkaciti hardware - dobra ideja, ali jedino ako zelis da se ohladi. Jer i ukljucen i iskljucen je nedostupan, zar ne
??? -
poznavanje materije je uvijek dobra stvar. ali kako raspoznati koji su pravi upiti, a koji fake. Pogotovo ako se radi o Distributed DOS napadu ( napad koji ne dolazi sa jednog nego sa vise napadackih mashina - najcesce se koriste broadband useri ciji je racunar inficiran i pretvoren u zombija ).
-
prikljuciti server na dva razlicita nadprovidera sa dvije mrezne kartice i onda jednostavno ( ako se radi o nekom hostingu ) saltati putem dns unosa koja se IP adresa koristi kako bi ruta do servera bila druga. Ali ni ovo ne pomaze ako napadac skuzi isto
dosta supljaka - gore navedeni principi nemaju efekta - teorija samo
- filtriranje podataka “sto dalje od servera” U ovom slucaju se instalira AntiDDoS appliance na samom ulazu u mrezu ili na sve POPs kod vecih telekom kompanija. Ovi jako skupe igrackice su recimo u stanju da propuste oko 3 miliona paketa u sekundi i da ih pri tome filtriraju. U mom slucaju se radi o linux masini sa “obicnim” iptables sistemom. Ovom sistemu je potrebna ljudska intervencija, jer se sa istom moze smanjiti opterecenje mreze - 80%. 80% jednog gigabitnog linka je ( ako me matematika ne vara ) 800 MBita necijeg bandwidtha.
Babysitter - da odgovorim na tvoje pitanje - NIKAKO. Ukoliko imas kritican server, mogu ti ponuditi DoS zastitu kao uslugu a ne kao hardwareski dio :). Pri tom jednostavno sav tvoj promet ide kroz ovaj uredjaj smjesten u jednom mocnom DCu 8)
Eto toliko od mene…
Pozdrav,
Ice
Ma ja, a postoji i 5. rješenje a to je da si spojen direktno na backbone gigabitnim linkom što su u BiH pusti snovi.
dragi vedrane - pa sve linkove iz BiH prema svijetu kad saberes neces doci ni blizu tog 1 Gbita. istina - ovo bi se moglo promjeniti kad tad, a opasnost od DOS mafije uvijek postoji - zato sam mislio da nije lose imati jedan uredjaj u ponudi koji je u stanju da stiti citavu BiH odjednom 
to 5to rjesenje je ono - nice i dusu dalo za freakove. Pogledat cu imam li jos grafove od jednog napada pa da vidis onda kad opticki kablovi pocnu da gore ( cca. 1,5 GBitni napad ! ).
testni_hamo - prekopiraj tekst - meni se neda… vidite i sami kad je tekst pisan ( u Europi sam 
)…
Pozdrav
Ice
Ok, hvala na opširnom objašnjenju. Znači DDOS napadom se može put do servera blokirati ako je ovaj preko jedne mrežne direkto spojen na provajderovu mrežu. Nisam odmah na to pomislio iako je logično. Pravio sam neke filterčiće tako da nedođe do preopterećenja servera ali tačno je da nepomaže ako je kablo do porta preopterećeno. :rolleyes:
server ti moze preopteretiti samo velik broj procesa koji zderu memoriju i procesorsko vrijeme. iptables imaju kernel dio i user dio… rade takve integracije i jesu dosta uspjesni. evo jedan link o preformansama netfiltera.
http://people.netfilter.org/kadlec/nftest.pdf.
Pozdrav,
Ice
Da ice, i baš sam mislio da se to može spriječiti jer koliko je meni poznato servisi se daju podesiti tako da se samo određeni broj procesa aktivira za određeni servis. Isto tako možemo spriječiti istovremeno korištenje više procesa od iste IP adrese. Također možemo otvoriti neke portove samo u određeno vrijeme itd… Znači malaksalost servera se može spriječiti.
Pa nebi se bas slozio… Kernel kad ti pocne jest procesor onda ga neces sprijecit. Zavisi o kakvoj vrsi distributed denial of service se radi.
maher_ slazem se, ali opet zavisno od podesenja ( i to ne onih koji smrtnik moze naci u /etc ) se da sprijeciti da ti recimo iptables pozdere i popapa sve resurse.
babysitter - apache recimo ima podesenja za spare procese ( koliko da ih bude slobodno dok su drugi zauzeti ) kao i podesenja o broju pokrenutih procesa. kod mail servera su antivirusi kao i antispam rjesenja pravi zderaci resursa. mislim bezveze da mi sad ovdje raspravljamo o tome kad se sve da matematicki prilagoditi i proracunati za optimalan rad…
Pozdrav,
Ice
Postoje DoS napadi koji specifično ciljaju neku slabost u programu, npr. server u slučaju određene vrste konekcije neznatno više opterećuje procesor, pa se uspostave milioni takvih konekcija 8) … takve slabosti se tretiraju kao sigurnosni propusti i obično budu brzo ispravljene (naravno kod free softvera za microsoft nisam siguran)… a postoje i čisto brutalni napadi kvantitetom protiv kojih nema adekvatne zaštite. U slučaju host-based firewalla može se koristiti skripta poput Šahbazove koja automatski blokira određene IP adrese, ali najveći problem kod ovakvih skripti je što iptables (ili neke druge tabele pravila) vremenom narastu i postane ogromne a to usporava rad računara :? Znači moraš imati neku skriptu koja npr. svakih 5 minuta čisti tabele.
ma vedrane - jednostavno zaboravi host-based firewalle kao protekciju od DDoSa… pa mislis da ces se moci uopste prijaviti na server ( osim ako ne sjedis za terminalom ) dok traje nesto sto se stvarno moze staviti u kategoriju napada?
Pozdrav
Ice