Атака на Интернет

a_valery>Иными словами, если у меня висит на компе счетчик трафика, типа DUMeter и я его панельку вижу, то он покажет мне в какой-то момент резкий скачок трафика?

Скорее всего - нет. Вряд ли он считает Ethernet-пакеты, скорее всего, работает уровнем выше (IP).

a_valery> При этом я "во избежание" выдерну нах сетевой кабель из компа и на след. день пойду разбираться с провайдером.... Так?

Да. Но не знаю, как ты сможешь заметить такое. Хотя если у тебя хороший firewall - то он покажет отвергаемые пакеты, и если их много - то с большой вероятностью ты под атакой.

Ну, Klez-то как раз DrWeb'ом замечательно лечится

Mishka>>Кроме того, по закону сфера обслуживания не может работать без прейскуранта. И то, что написано у них на страничке, если дока нет, и есть прейскурант.
Обязательно! Причём на момент совершения события. Прочитай ещё раз внимательно договор с ними! Ищи зацепки.

=KRoN=>Да и вообще, дело до суда может дойти.
Это страшно только в первый раз ! Не стоит этого сильно бояться. Ты - пострадавшая сторона!

Ром, а несложно, если легально, посмотреть на текст договора? Навскидку - может их послать просто можно? Если не в лом и не накладно -посоветуйся с юристами. Что касается суда -Витя прав, это только в первый раз пугает, а на деле обычная бюрократическая процедура, не боле того.

Давайте, я тоже попробую, поскольку сетевик-девелопер на данный момент. Объяснять буду используя терминологию OSI, Unix, форточек. Небольшое введение.

Принята 7-и уровневая модель. Каждый уровень общается с другим, но не перескакивает. Таким Образом, пользователь уровня работает только с этим уровнем и полностью экранирован от нижних уровней.

Вот название уровней на анлийском (нумеруют их, обычно сверху вниз, показывая тем самым, что более высокий номер соответсвует более высокому логическому положению):
7. Application.
6. Presentation.
5. Session.
4. Transport.
3. Network.
2. Data Link.
1. Physical.

Теперь маленькие объяснения про каждый уровень. Только надо помнить, что это все очень упрощенно - кому интересно, могу порекомендовать список литературы и интернетовских источников.

1. Физический уровень - это определение физической среды и электрических параметров. Если говорим про Ethernet - то это напряжение в проводах, токи, сама среда, тп.
2. Звено даныых - грубо говоря, это определение последовательности электрических сигналов, временных взаимоотношений и тп. Уровни 1 и 2 реализуются на сетевых карточках.
3. Сетевой - этот уровень отвечает за доставку пакетов и их маршрутизацию.
4. Транспортный - обеспечение надежности доставки. Скажем всем известный IP является сетевым протоколом (уровня 3) и он ненадежен. TCP протокол более высокого уровня - надстройка над IP. Так IP позволяет связаться с машиной, но не с конкретным приложением, а TCP и UDP имеют понятие порта, который открывается/создается приложением. Вообще, когда говорят о TCP/IP, то имеют ввиду все семейство протоколов - их там дофига - уже более сотни, я думаю. Итак TCP - надежный, а UDP - как и IP - нет, хотя UDP находится на уровне TCP. Вообще TCP/IP не ложиться на OSI модель полностью. Но последняя является хорошей абстракцией для понимания.
5. Сессий - этот уровень обеспечивает понятие сессии - начала, конца, таймаут, тп. Телнет, http - хорошие примеры. Хотя http имеет признаки уровня 6.
6. Представления данных - на разных машинах данные представляются по разному, так этот уровень должен заботиться о том, чтобы уровень 7 об этом не думал.
7. Приложений - хорошо писать апликуху не задумываясь про мелочи на уровнях ниже - например, пишем что-то для баз данный. Открываем базу, исполняем SQL операторы - никого не волнует, если БД на вашем компьютере или где-то в сети.

Вот, вы купили карчтоку сетевую - у вас уровни 1 и 2 есть. А карточке прилагается драйвер. Это уровень 3 - по терминологии форточек NDIS драйвер (тот коротый с MAC level читает и передает наверх). А у операционки уже есть TCP/IP стек (почему стек - потому что это целое семейство протоколов надстроенных друг над другом). Таким образом налицо преимущество многоуровневого подхода - сменили карточку и драйвер, а никто из приложений и ничего не заметил.

Каждый уровень вкладывает данные верхнего уровня в пакеты своего. Т.е. налицо некоторые издержки на дополнительные поля.

a_valery>Ром, прочел я вот это твое: Это как раз оказался Slapper, который через дыру в OpenSSL взламывает компьютер жертвы и организует P2P-сеть, которая потом и используется для рапределённой DDoS-атаки.

[ слишком длинный топик - автонарезка ]

a_valery>Ну и ясный перец них не понял.

OpenSSL - это проект, который имплементирует HTTPS - должны знать - это HTTP secure. В программках была ошибочка (почему была? Потому что она уже достаточно давно исправлена - еще до того как ее начали пытаться использовать). Этот модуль не надо загружать в Apache без необходимости. И вообще правло должно быть таким - не надо вам чего-то - не устанавливайте/запускайте. Если делаете firewall - то на этом компьютере надо только его и запускать, даже Apache я бы запускал на другом компе!

a_valery>Ты можешь простыми словами объяснить грозит ли эта беда абсолютно всем или же только продвинутым юзерам?

Это грозит всем, у кого не патченыый OpenSSL, но помните, что дырок может быть много и в других программах и других ОС.

a_valery>Достаточно ли для защиты банального файрвола с тотальной блокировкой входящего и исходящего трафика или нужно хирургическое вмешательство. Видна ли атака на компе? Как выглядит?

Если вы под словом "тотальной" имеете ввиду полной отключения от сети - то да, но только в этом случае легче выдернуть сетевой шнур из компа. Скажем, тот же ICQ позволял при одном открытом порте захватить управление компом. Или взять http-tunnel - это такая маленькая GNU программка, которая создает тунель HTTP ove IP и после этого делай что хочешь. Я так пробивал любые firewalls у которых был открыт на доступ только HTTP доступ (я не говорю порт 80, тк это не имеет значения). Правда инсталяция этого тунеля требует доступа к компу изнутри. Но при современном распространении вирусов через e-mail - никаких проблем.

KRoN>Поражаются пока только Linux-компьютеры (есть версия, вламывающаяся и на FreeBSD, но она малораспространена).

Будет - дайте время и для виндов тоже пойдет - OpenSSL это одна из немногих реализаций HTTPS доступных бесплатно. А Apache и на виндах исполняется.

KRoN>Через какую-либо из дыр в машине (обычно дыра в OpenSSL, но есть версии, рассчитанные и на переполнение буфера) червь вламывается на машину (получает управление), протаскивает за собой исходник (около 70кБ весьма грамотного Си-кода), компилирует его, и запускает полученный бинарник. Тот, в свою очередь сканирует Интернет в поисках других поражабельных компьютеров и попутно включается в распределённую вирусную сеть. По команде "из центра" компьютеры сети могут начать атаку любого заданного компьютера, в т.ч., понятно, что и не Linux'овые. Обычно - DDOS-атака.

Этот механизм будет использоваться для других вирусов тоже. Помните - CodeRed, CodeBlue и тд. В случае упомянутого вируса - Крон прав.

Атаки можно поделить на два типа - внутренние и внешние. Внутренние - это те, когда вирус уже на вашей машине и начал он пакостить. Внешняя - это когда другой комп или компы начали делать что-то, что ваш компьютер не способен на оказание услуг, на которые он был расчитан. Забивается ваш канал связи, перегружается ваш процессор, диски память. Чтобы объяснить более простыми словами я приведу аналонию. Вы открыли магазин и пытаетесь продавать. Я могу залезть внутрь и все испортить - это вирус. А могу пойти на этаж выше и открыть воду, так чтобы вас затопили, и вы чераете воду (предпологаем, что товар водой не портится). Или, я проходя мимо вашего магазина на тротуаре гажу чем-то или завариваю вам двери. Надеюсь идея понятна - заставить вас заниматься вас всем чем угодно, но не тем чем вы должны.

[ слишком длинный топик - автонарезка ]

a_valery>Достаточно ли для защиты банального файрвола с тотальной блокировкой входящего и исходящего трафика или нужно хирургическое вмешательство.

KRoN>Блокировка спасёт от заражения, но не спасёт от DDOS-атаки и генерации большого количества входящего и даже исходящего траффика.

Фаервол будет хорош в комплексе с другими мерами. А от DDOS - нет - Крон прав на 100% - потому выше в топике я и упоминал про то, что провайдер должен ставить блокировки.

a_valery>Видна ли атака на компе? Как выглядит?

KRoN>Гм. Если комп хорошо прикрыт и на быстром канале, то никак. Если канал узкий или атака интенсивная - накрывается Интернет. Если комп слабый или плохо защищён - вешается.

Вы можете еще увидеть в списке задач что-то. Резко возрастает трафик. А, в принципе, пока червь спит - надо мониторить открытые порты, программы, которые крутяться.

a_valery>Иными словами, если у меня висит на компе счетчик трафика, типа DUMeter и я его панельку вижу, то он покажет мне в какой-то момент резкий скачок трафика?

KRoN>Скорее всего - нет. Вряд ли он считает Ethernet-пакеты, скорее всего, работает уровнем выше (IP).

Нет, эти ребята не работают так низко. Они все на уровне IP. Но ifconfig должен показывать их. tcpdump точно показывает количество байт прошедших через интерфейс. Я не знаю, про DUIMeter - но они тоже должны (разработчики) считать то, что идет на MAC. Для мониториния портов надо выдавать netstat -a - и смотрет порты и tast monitor - смотреть, кто крутиться.
Под Линух-ом и не только (под Юнихами) я пользуюсь lsof.

Под форточками - можно пользоваться командой netstat -e или netstat -e -s - выдает статистику по Ethernet и по протоколам.

Про скачок трафика смотри выше - пока нет приказа червь спит.

a_valery> При этом я "во избежание" выдерну нах сетевой кабель из компа и на след. день пойду разбираться с провайдером.... Так?

KRoN>Да. Но не знаю, как ты сможешь заметить такое. Хотя если у тебя хороший firewall - то он покажет отвергаемые пакеты, и если их много - то с большой вероятностью ты под атакой.

Не верно - разбираться надо сразу. Если это не TCP трафик, то другой стороне будет наплевать, что посылаемые данные не доходят до получателя. А какой-нибудь М9 будет давать статистику что на вас сыпятся данные. Если ваш провайдер достаточно технически образован, чтобы установить фичи в роутерах, для отсылки ICMP мессажей о том, что клиент не доступен, то я не уверен, что программа статистики достаточна умна, чтобы увидеть это. Единственно, что можно будет сделать, это у провайдера попытаться найти в логах данные, что ваш интерфейс лежал. И то это только в случае выделенного соединения. А скажем, если есть хаб и один из компов выдернут из него, то при DDOS атаке на отключенный комп трафик в сети есть и адрес в нем стоят этого отключенного компа. Кроме того, фаейрвол то сбросит пакеты, но трафик-то будет - и за него будут пытаться взять денег.

Для тех кто интересуется безопасностью в сети - гляньте сюда
- там человек очень известный в Интернете (Steven Bellovin) в соавторстве с другим написал книгу и выложил ее в сеть. правда это на английском и в pdf. Книга расчитана на начинающих и чуть выше.

Блин, кажется, 10Гб траффика - "честные". Cray тут поглядел исходники ifconfig'а - он 4-х байтовый. Так что как раз 4Г+4Г+2Г = 10Гб. Два переполнения

Придётся платить... Застрелюсь...

Да, исходящего. При чём изначально говорилось об оплате только входящего и бесплатном исходящем. Сейчас стали говорить об оплате доминирующего траффика.

А может, застрелить провайдера?.. Ну, обокрасть?.. На сумму изменения договора?.. Честно?..

Даже если это исходящий трафик. Всё равно конечный пользователь не может быть специалистом по безопасности. Если Крон будет платить, а другие не будут - это странно, если все будут - это переносит груз компетентности с провайдеров на пользователей -им же защищаться придётся. По-моему, вопрос только в том, как не платить - а не в том, платить ли.

Другое дело, что может не получиться. Но должно.

=KRoN=>Проверь почту, Володь!

Посмотрел. С одной стороны напирать нужно на п 2.2.4 - сбои в работе должен устранять Исполниетль, с другой есть нехорошие пункты 4.2 и 8.1, следуя им Исполнитель ни фига не несет ответсвенности за входящий поток. Нда..

Это исходящего или входящего? Если исходящего, то тяжко. А, если входящего, то надо бороться и говорить с провайдером. В крайнем случае пригрозить и создать анитрекламу - не идите к этому провайдеру - он лох и не защищает клиентов от DDOS атак.

Народ, есть у кого-то тут реальные случаи списания "форс-мажорного" траффика провайдерами нулевого уровня? Если бы кто-то назвал точный прецендент, это было бы очень здорово...

=KRoN=>Народ, есть у кого-то тут реальные случаи списания "форс-мажорного" траффика провайдерами нулевого уровня? Если бы кто-то назвал точный прецендент, это было бы очень здорово...

Боюсь, что это почти всегда устные договоренности. Ничего официального. Я спрошу у своего провайдера. Но проблема в том, что он не берет за траффик.

=KRoN=>Народ, есть у кого-то тут реальные случаи списания "форс-мажорного" траффика провайдерами нулевого уровня? Если бы кто-то назвал точный прецендент, это было бы очень здорово...

Ром, в твоем случае форс-мажор наверняка не прокатит, так как то, что им считается расписано вдоговре. Вот если бы пункт был просто "форс-мажор", без разъяснений что это такое - другое дело...

Ну, имеется в виду списание не по договору с моим провайдером (они это и не потянут), а по неофициальному соглашению с вышестоящим.