Védelemre kötelezhetők az internet szolgáltatók?

Oo, az Nemzetbiztonsagi Hivatal, nem? 😊
A tobbiben viszont abszolut egyetertek.

Ezen kinyúltam.

Mi magunk is írunk botokat még UNIX-os rendszerekhez is, amik emulálják egy-egy kedves user tevékenykedését és sajna SEMMILYEN módon nem tud a szerver oldal meggyõzõdni, hogy azt igazi ember mûveli, vagy csak egy bot. Egyetlen módszer van, az ha olyan interaktivitást követelsz meg a felhasználótól, amit bot nem képes kivitelezni. Pl. ezért van az mikor számokat/betûket kérnek be egy kép alapján, ami eléggé meg van buherálva ahhoz, hogy nagyon nehéz legyen gépi intelligenciával kiértékeltetni (bár az analog kompjúterek lassan beszivárgó korában, már ez sem "lesz" igaz).

Mellesleg a legjobban balance-olt UNIX szervermonstrum is megfexik, ha túl sok felhasználó csücsül rajta, mivel olyan válaszidõket generál, amitõl lefexel kajakra. Term. lehet figyelni a bejövõ kérelmek gyakoriságát, meg bûvészkedhetsz jobbra-balra mindenféle statisztikákkal, kizárási algoritmusokkal, de szerintem az az AMATÕR, aki azt állítja, hogy hathatós védelmet tud ésszerû költségkereteken belül készíteni ez ellen. Kb. mint akik azt állítják, hogy a jelenlegi mail szerverek/protokollok/azonosítás használata mellett 100%-osan kiszûrik neked a spam-et (és csak azt!)! Jó szórakozást hozzá! A spam kiszûrésére törekvõ új irányvonalak mind azt célozzák, hogy meg KELL változtatni a mailküldés/feldolgozás és a domain kezelés módját. Ezzel azonban magát a világon elterjedt rendszer egészét kell átalakítani, nem pedig feltelepíteni egy szoftvert, mint egy tûzfalat és jóccakát.

A támadó felkészültségén múlik minden. Primitív józsikák ellen a hülye is tud védekezni, de egy óvatos és képzett támadó, aki nem sajnálja az idõt és pénzt egy támadás elõkészítéséhez, szinte mindig végre is tudja hajtani amibe belekezdett. Ez ellen senki sincs védve. ÉS bármilyen új támadási módszer ellen csak azután lehet megkezdeni a védelem kiépítését, miután már találkozott vele valaki. Aztán a sötét oldal megint lép...

Mondjuk leszarom mit gondolnak egyesek. A különbség az, hogy én pl. nem bûvész/hazudósmarkecinges vagyok, hanem fejlesztõ és nem fogom hamis álmokkal traktálni a kedves megrendelõt, hanem reálisan elétárom, mi az ami ellen meg tudjuk védeni (és mi milyen nagyságrendû beruházás) és mi az ami ellen a Nemzetvédelmi Hivatal sem fogja!

Nézd senki sem állította, hogy 100% sikeres. Különben csak a triviális dolgokban szokott 100% siker lenni. De, hogy védekezni lehet az biztos. Különben már Cisco Firewall-ok (Cisco PIX) nak is vannak DoS védelmi ellemei, valószínûleg csak marketing fogás ugye? "Mit lehet tenni, ha DoS támadás következik be?" - "Hát tudomásom szerint imádkozni, hogy minnél elõbb véget érjen." Ha erre a kérdésre ezt a választ kapnád állásinnterviewen, akkor gondolom a pasinak rögtön munkát adnál. Szóval a DoS támadásoknak is megvan au osztályozása és a megfelelõ védelmi mechanizmusok, és megvannak az elõjelek is, csak oda kell figyelni.

Különben aki az IT-ben azzal akar dolgozni amit tegnap is tudott... az inkább legyen pék, mert az IT-ben nem sokra viszi.

Na legyen úgy! 😊

Azt biztosan el lehet érni, hogy ne fagyjon le a szervered. Ez kezdetnek már jó.

Én inkább a Jedi-vel értek egyet, a védendõ gépen egyszerûen nincs elegendõ információ, hogy hatékonyan megvédd a DoS támadásokkal szemben. Persze biztosan vannak trükkök, és a gépet talán "megvéded" a túlterheléssel szemben, de a fõ problémát, vagyis, hogy a szerver nem fog rendesen mûködni nem tudod megoldani.
Jön egy halom csomag amelyben 1:1000 (vagy 1:10000 vagy több) az értelmes csomagok száma még ha tudod is mi alapján blockold, szürd, vesd el akkor is fel kell dolgozni, meg kell kapni és kiértékelni (ok 1000/s nem tétel, de ha tényleg több 10000 zombi gép kezd el nyomulni akkor is gáz ha mindnek tudod az IP címét és így technikailag blockolod). Azonban én sem értek hozzá, de majd valami igazi hacker megmondja.

Azért nem csak elõre legyártott elemekbõl történõ probléma megoldásra gondolj. Ha valamire nincs megoldás létezõ eszközökkel, idõ és pénz ráfordítással kifejleszthetõ, és máris ott tartassz, hogy megoldható.

hát akor elég amatör vagy. ugyanis vannak lehetetlenek egy-egy problémára. az más dolog hogy meg lehet oldani egy dolgot ugy benne, hogy igazából egy másik problémát oldasz meg elötte, amivel a régi probléma már nem áll fenn. ilyennel sokat fogsz találkozni, de nem összekeverendõ egy hagyományos probl. megoldással...

Már hogyne tudnál. Persze nem könnyû és nem olcsó, de ha komoly rendszered van a neten (és pl. egy online szerencsejátékos cégnek ez nem árt) akkor igen is kell védekezni. Pl. Emergency IP Address Block, Load Balancing, Separate Route, Intrusion Prevention, Firewall-al is lehet részben védekezni ha nem a 80 porton történik a forgalom. Senki nem mondta, hogy egyszerû, de elég jól lehet csinálni.
Mindegy, ezt csak messzirõl ismerem, úgyhogy nem mélyednék el. De olyan, hogy nem lehet, az az IT-ben nincs, ha valaki azt mondja az IT-ben hogy "nem lehet", akkor azt egyenessen "nem tudom"-nak lehet értelmezni (nem konkrétan neked mondom).

DoS támadások ellen nem tudsz védekezeni, ha te vagy a cél. Hogyan döntöd el, hogy ki valódi, békés szörfölõ, ki támadó. Mivel (ahogy írják is), egy szerver magától is leülhet, így esély sincs arra, hogy ki lehessen biztosan szûrni a támadókat, fõleg, hogy még azt is nehéz eldönteni adott pillanatban, hogy egyáltalán támadás alatt állunk, vagy csak menõ a site-unk... 😄

A brit jogásznõ hülye... most nem is a technikai gondok miatt, ... na de már unom itt magyarázni, hogy milyen jó is nekünk a korlátlan hatalmú államocska. Aztán miért ne háritsák át az állam egyetlen jogos dolgát (az ember és vagyon védelmét) a cégekre. Mert ugye már maguk nem tudják elvégezni, sokkal fontosabb nekik, hogy meghatározzák, milyen szinû gatyánk legyen, és mit szabad enni, inni, cigizni stb. The f* nanny state. Ha valaki DOS támadást indít kérem fogják el, itéljék el... mi köze ehez a szolgálatóknak. A cégek amelyek meg veszélynek vannak kitéve, védjék meg magukat, ez technikailag sokkal egyszerübb, és sokkal kevesebb erõforrás pocsékolást igényel.