11
-
eax #11 Oo, az Nemzetbiztonsagi Hivatal, nem? :)
A tobbiben viszont abszolut egyetertek. -
#10
Ezen kinyúltam.
Mi magunk is írunk botokat még UNIX-os rendszerekhez is, amik emulálják egy-egy kedves user tevékenykedését és sajna SEMMILYEN módon nem tud a szerver oldal meggyőződni, hogy azt igazi ember műveli, vagy csak egy bot. Egyetlen módszer van, az ha olyan interaktivitást követelsz meg a felhasználótól, amit bot nem képes kivitelezni. Pl. ezért van az mikor számokat/betűket kérnek be egy kép alapján, ami eléggé meg van buherálva ahhoz, hogy nagyon nehéz legyen gépi intelligenciával kiértékeltetni (bár az analog kompjúterek lassan beszivárgó korában, már ez sem "lesz" igaz).
Mellesleg a legjobban balance-olt UNIX szervermonstrum is megfexik, ha túl sok felhasználó csücsül rajta, mivel olyan válaszidőket generál, amitől lefexel kajakra. Term. lehet figyelni a bejövő kérelmek gyakoriságát, meg bűvészkedhetsz jobbra-balra mindenféle statisztikákkal, kizárási algoritmusokkal, de szerintem az az AMATŐR, aki azt állítja, hogy hathatós védelmet tud ésszerű költségkereteken belül készíteni ez ellen. Kb. mint akik azt állítják, hogy a jelenlegi mail szerverek/protokollok/azonosítás használata mellett 100%-osan kiszűrik neked a spam-et (és csak azt!)! Jó szórakozást hozzá! A spam kiszűrésére törekvő új irányvonalak mind azt célozzák, hogy meg KELL változtatni a mailküldés/feldolgozás és a domain kezelés módját. Ezzel azonban magát a világon elterjedt rendszer egészét kell átalakítani, nem pedig feltelepíteni egy szoftvert, mint egy tűzfalat és jóccakát.
A támadó felkészültségén múlik minden. Primitív józsikák ellen a hülye is tud védekezni, de egy óvatos és képzett támadó, aki nem sajnálja az időt és pénzt egy támadás előkészítéséhez, szinte mindig végre is tudja hajtani amibe belekezdett. Ez ellen senki sincs védve. ÉS bármilyen új támadási módszer ellen csak azután lehet megkezdeni a védelem kiépítését, miután már találkozott vele valaki. Aztán a sötét oldal megint lép...
Mondjuk leszarom mit gondolnak egyesek. A különbség az, hogy én pl. nem bűvész/hazudósmarkecinges vagyok, hanem fejlesztő és nem fogom hamis álmokkal traktálni a kedves megrendelőt, hanem reálisan elétárom, mi az ami ellen meg tudjuk védeni (és mi milyen nagyságrendű beruházás) és mi az ami ellen a Nemzetvédelmi Hivatal sem fogja! -
BlackRose #9 Nézd senki sem állította, hogy 100% sikeres. Különben csak a triviális dolgokban szokott 100% siker lenni. De, hogy védekezni lehet az biztos. Különben már Cisco Firewall-ok (Cisco PIX) nak is vannak DoS védelmi ellemei, valószínűleg csak marketing fogás ugye? "Mit lehet tenni, ha DoS támadás következik be?" - "Hát tudomásom szerint imádkozni, hogy minnél előbb véget érjen." Ha erre a kérdésre ezt a választ kapnád állásinnterviewen, akkor gondolom a pasinak rögtön munkát adnál. Szóval a DoS támadásoknak is megvan au osztályozása és a megfelelő védelmi mechanizmusok, és megvannak az előjelek is, csak oda kell figyelni.
Különben aki az IT-ben azzal akar dolgozni amit tegnap is tudott... az inkább legyen pék, mert az IT-ben nem sokra viszi. -
BlackRose #8 Na legyen úgy! :) -
BiroAndras #7 Azt biztosan el lehet érni, hogy ne fagyjon le a szervered. Ez kezdetnek már jó. -
zjápsretne #6 Én inkább a Jedi-vel értek egyet, a védendő gépen egyszerűen nincs elegendő információ, hogy hatékonyan megvédd a DoS támadásokkal szemben. Persze biztosan vannak trükkök, és a gépet talán "megvéded" a túlterheléssel szemben, de a fő problémát, vagyis, hogy a szerver nem fog rendesen működni nem tudod megoldani.
Jön egy halom csomag amelyben 1:1000 (vagy 1:10000 vagy több) az értelmes csomagok száma még ha tudod is mi alapján blockold, szürd, vesd el akkor is fel kell dolgozni, meg kell kapni és kiértékelni (ok 1000/s nem tétel, de ha tényleg több 10000 zombi gép kezd el nyomulni akkor is gáz ha mindnek tudod az IP címét és így technikailag blockolod). Azonban én sem értek hozzá, de majd valami igazi hacker megmondja. -
Yv@n #5 Azért nem csak előre legyártott elemekből történő probléma megoldásra gondolj. Ha valamire nincs megoldás létező eszközökkel, idő és pénz ráfordítással kifejleszthető, és máris ott tartassz, hogy megoldható. -
#4
hát akor elég amatör vagy. ugyanis vannak lehetetlenek egy-egy problémára. az más dolog hogy meg lehet oldani egy dolgot ugy benne, hogy igazából egy másik problémát oldasz meg elötte, amivel a régi probléma már nem áll fenn. ilyennel sokat fogsz találkozni, de nem összekeverendő egy hagyományos probl. megoldással... -
BlackRose #3 Már hogyne tudnál. Persze nem könnyű és nem olcsó, de ha komoly rendszered van a neten (és pl. egy online szerencsejátékos cégnek ez nem árt) akkor igen is kell védekezni. Pl. Emergency IP Address Block, Load Balancing, Separate Route, Intrusion Prevention, Firewall-al is lehet részben védekezni ha nem a 80 porton történik a forgalom. Senki nem mondta, hogy egyszerű, de elég jól lehet csinálni.
Mindegy, ezt csak messziről ismerem, úgyhogy nem mélyednék el. De olyan, hogy nem lehet, az az IT-ben nincs, ha valaki azt mondja az IT-ben hogy "nem lehet", akkor azt egyenessen "nem tudom"-nak lehet értelmezni (nem konkrétan neked mondom). -
#2
DoS támadások ellen nem tudsz védekezeni, ha te vagy a cél. Hogyan döntöd el, hogy ki valódi, békés szörfölő, ki támadó. Mivel (ahogy írják is), egy szerver magától is leülhet, így esély sincs arra, hogy ki lehessen biztosan szűrni a támadókat, főleg, hogy még azt is nehéz eldönteni adott pillanatban, hogy egyáltalán támadás alatt állunk, vagy csak menő a site-unk... :D -
BlackRose #1 A brit jogásznő hülye... most nem is a technikai gondok miatt, ... na de már unom itt magyarázni, hogy milyen jó is nekünk a korlátlan hatalmú államocska. Aztán miért ne háritsák át az állam egyetlen jogos dolgát (az ember és vagyon védelmét) a cégekre. Mert ugye már maguk nem tudják elvégezni, sokkal fontosabb nekik, hogy meghatározzák, milyen szinű gatyánk legyen, és mit szabad enni, inni, cigizni stb. The f* nanny state. Ha valaki DOS támadást indít kérem fogják el, itéljék el... mi köze ehez a szolgálatóknak. A cégek amelyek meg veszélynek vannak kitéve, védjék meg magukat, ez technikailag sokkal egyszerübb, és sokkal kevesebb erőforrás pocsékolást igényel.