We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Apsauga nuo adresų padribimo


oles@ovh.net
02-27-2011, 08:56 AM
Laba diena,
Savo tinkle esame įdiegę paslaugą nuo atakų, taip pat apsaugą prieš atakas, taip pat prieš atakas iš interneto, kuomet padirbinėjamas IP adresas. Dabar tokios atakos blokuojamos.

Tai išsprendė 300 klientų anti-įsilaužimo problemą, penktadienio vakarą. Visų serverių būklė normali, jie veikia kaip priklauso.

Apgailestaujame dėl kilusių problemų.

Linkėjimai,
Octave

Daugiau informacijos
http://darbai.ovh.lt/?do=details&id=1176

-----------------------------------------------------------------

Italijos klientas (programišius) užsisakė 15 serverių. Jis naudojo šiuos serverius atakoms ir skanavimams. Keletą kartų jos serveriai buvo perjungti į "anti hack" (rescue) režimą, kad būtų apsaugotas mūsų tinklas.

Iki šiol nieko naujo. Įprasta.

Serveris 94.23.4.70 buvo naudojamas atakuoti kitus programišius tinkle. Sulaukėme kontratakų į 94.23.4.70. Įjungėme apsaugas, kurias mūsų komandos naudoja 24/24 kaip apsaugą nuo atakų.

Vis dar nieko naujo.

Kadangi blokavimas pasirodė labai efektyvus ir programišiai, kurie puolė 94.23.4.70, nebuvo patenkinti rezultatu, todėl paleido ataką padirbdami IP - naudojo OVH adresą. Tai (neblogas) būdas apeiti automatines apsaugas ir duomenų pralaidumo apribojimus atakos atveju. Kadangi paketo kilmė internete (nesvarbu kur), pakeitus šaltinio adresą į 94.23.4.70 ir nurodžius 80 prievadą, paketai pasiekdavo vieną OVH skirtąjį serverį. Serveris (kuris nesiuntė jokios užklausos), atsakydavo 94.23.4.70, į 80 prievadą: "aš nieko neprašiau, atšauk jungtį". Paleidę masinę padirbinėjimo ataką, programišiai išprovokavo ataką į OVH tinklą, galutinė atakos auka - 94.23.4.70:80. 500Mbps ataka prasidėjo 25 d., penktadienį, 20 valandą.

Ovh analizavo duomenų srautą ir aptiko atakas, po to įsikišo, kad ataka būtų sustabdyta. Taip pat aptikome, kad beveik 300 OVH serverių paleido atakas į 94.23.4.70, todėl, siekiant apsaugoti mūsų tinklą, visi serveriai buvo perjungti į rescue.

Tai labai specifinis atvejis, tačiau visi serveriai dar tą pačią naktį buvo atstatyti į normalų režimą.

Siekdami pašalinti šią spragą įdiegėme papildomą apsaugą iš interneto įeinančiam srautui. Daugiau negalima į mūsų tinklą pasiųsti paketo, kuomet šaltinio adresas yra iš mūsų tinklo. Tai užblokuota. Taigi, problemos nebėra.

Atsiprašome už kilusius nepatogumus.

Tai ppat norime pranešti, kad visi mūsų skirtieji serveriai, prijungti prie mūsų maršrutizatorių, yra su tokio paties tipo apsaugomis, kitaip sakant, negalima inicijuoti srauto su serveriams priskirtais IP (swich port). Iš esmės, kiekvieno komutatoriaus kiekvienas prievadas yra su IP, kurie gali inicijuoti duomenų perdavimą, sąrašu. Taigi, negalėsite paleisti atakų su padirbtais IP nei į OVH tinklą, nei į internetą.