Ei, pitää käyttää sormea.
Check links on your smartphone before tapping – Michigan IT News
michigan.it.umich.edu
Tietoturva & kyberhyökkäykset
- Keskustelun aloittaja fraatti
- Aloitettu
michigan.it.umich.edu
VPN:n sijaan se voisi olla myös RINA-arkkitehtuuri. RINA tarjoaa mahdollisuuden jokaiselle perustaa oman "VPN-verkon" jonka leviämistä maailmalla voi itse säädellä, sekä tietenkin sitä millä tunnuksilla siihen kukakin voi kirjautua. Se ei ole VPN perinteisessä mielessä, koska ei tarvitse mitään VPN-konsentraattoria johon VPN-putket päätetään, vaan verkko itsessään (kaikki reitittimet) hanskaa homman. Jokaisella firmalla voisi olla tuollainen oma suljettu verkko, jonne vain heidän asiakkaansa tunnuksillaan/varmenteillaan pääsevät.
Tietomurtoja tai palvelunestohyökkäyksiä noihin yritysten "VPN-verkkoihin" voisivat tehdä vain ne, joilla on kyseiseen verkkoon pääsyyn oikeuttavat tunnukset. Eli esim. DDoS-hyökkäys bottiverkolla onnistuisi vain, jos bottiverkossa olisi riittävästi kyseisen firman tunnukset omaavien asiakkaiden kotikoneita.
Mutta tämä toki on vain haavetta, koska RINA ei ole meidän verkkoarkkitehtuurimme. Se on IP, ja IP:llä tällaista tietoturvatasoa on turha haaveilla.
Yritin löytää RINA:sta tietoa miten se kestää palvelunestohyökkäystä. Wikipediassa oli linkki verkosta kadonneeseen tutkimukseen mutta siihen se sitten jäikin. Taidettu haudata koko projekti vuosia sitten.
Eihän nykyään mikään yritysverkko ole 'Internetissä' paljaana IP-osoitteilla lähestyttävissä vaikka kulkeekin samoissa reitittimissä - eikä se edes käytä niissä reitittimissä IP-osoitteita pakettien ohjaamiseen.
Ongelmana on rahvas - pahuksen asiakkaille pitää avata pääsy tietämättä mistä ne tulevat ja vasta tunnusten antamisen jälkeen tiedetään voiko päästää eteenpäin vai ei.
Tähän saumaan on hyvä iskeä koska nykytekniikka toimii niin, että ensin rakennetaan jonnelle salattu yhteys ja sitten aletaan kysellä kukas sieltä on tulossa. Salatun yhteyden rakentaminen on raskasta eli kallista ja niinpä keulaa ei rakenneta kestämään mitä vaan - se vaan laittaa luukut kiinni kun ostettu kapasiteetti tai raudan kyky tulee vastaan.
Tähän tuskin mikään verkkoarkkitehtuuri kykenee suurta muutosta tuomaan - joku kevyt keino tunnistaa asiakas aikaisin ilman salausta olisi tarpeen.
Koska tämmöistä ei ole hyökkäys pitäisi toki torjua jo ennen asiakasta. Operaattoreilla on tähän laitteisto olemassa - samoin kuin joillain isommilla globaaleilla yrityksillä, mutta tls-neuvottelu tekee tämänkin hankalaksi. Pilvipalveluissa voi olla 'ilmaiseksi' joku SYN-floodin torjunta, mutta sen jälkeen pitää ostaa lisäominaisuuksia keulilla olevaan balanseriin / WAFiin - ja sitten lasku tulee liikenteen määrän mukaan.. eli talouspuoli laskeskelee samointein tuleeko satunnainen DOS lopulta halvemmaksi.
Yhdessä näkemässäni hyökkäyksessä osa paketeista tuli osoitteen mukaan Ruotsista lähekkäisistä IP-osoitteista - veikkaanpa että siellä oli paikallinen internetin tarjoaja tarjonnut purkkia johon pystyi murtautumaan. Nämä verkothan ovat operaattoreiden tiedossa/ jopa itse verkosta haettavissa ja koko aliverkko olisi mahdollista suodattaa hyökkäyksen ajaksi pois.
Ongelmana on rahvas - pahuksen asiakkaille pitää avata pääsy tietämättä mistä ne tulevat ja vasta tunnusten antamisen jälkeen tiedetään voiko päästää eteenpäin vai ei.
Tähän saumaan on hyvä iskeä koska nykytekniikka toimii niin, että ensin rakennetaan jonnelle salattu yhteys ja sitten aletaan kysellä kukas sieltä on tulossa. Salatun yhteyden rakentaminen on raskasta eli kallista ja niinpä keulaa ei rakenneta kestämään mitä vaan - se vaan laittaa luukut kiinni kun ostettu kapasiteetti tai raudan kyky tulee vastaan.
Tähän tuskin mikään verkkoarkkitehtuuri kykenee suurta muutosta tuomaan - joku kevyt keino tunnistaa asiakas aikaisin ilman salausta olisi tarpeen.
Koska tämmöistä ei ole hyökkäys pitäisi toki torjua jo ennen asiakasta. Operaattoreilla on tähän laitteisto olemassa - samoin kuin joillain isommilla globaaleilla yrityksillä, mutta tls-neuvottelu tekee tämänkin hankalaksi. Pilvipalveluissa voi olla 'ilmaiseksi' joku SYN-floodin torjunta, mutta sen jälkeen pitää ostaa lisäominaisuuksia keulilla olevaan balanseriin / WAFiin - ja sitten lasku tulee liikenteen määrän mukaan.. eli talouspuoli laskeskelee samointein tuleeko satunnainen DOS lopulta halvemmaksi.
Yhdessä näkemässäni hyökkäyksessä osa paketeista tuli osoitteen mukaan Ruotsista lähekkäisistä IP-osoitteista - veikkaanpa että siellä oli paikallinen internetin tarjoaja tarjonnut purkkia johon pystyi murtautumaan. Nämä verkothan ovat operaattoreiden tiedossa/ jopa itse verkosta haettavissa ja koko aliverkko olisi mahdollista suodattaa hyökkäyksen ajaksi pois.
No jos tuosta RINA:sta vielä otetaan esimerkki, niin siinä jokainen reititin tunnistaa, onko paketti menossa verkkoon johon lähettäjällä on pääsy. Jos ei, niin paketti -> /dev/null. Eli kiinanpojan hakkerointiyritys tyssäisi, jos ei ihan ensimmäiseen reitittimeen, niin ainakin ensimmäiseen länsimaissa sijaitsevaan reitittimeen, eikä hyökkäspaketti koskaan päätyisi kohdepalvelimen portteja kolistelemaan.
Toisaalta ei niitä portteja muutenkaan voisi kolistella, koska RINA:ssa ei ole julkista osoitteistoa, eikä well known -portteja. Siinä palveluihin otetaan yhteys palvelunimellä, joka ei kerro yhteydenottajalle, missä palvelu sijaitsee. Se on ikäänkuin DNS-nimi, mutta ei kuitenkaan, vaan paketti oikeasti ohjautuu verkossa sen nimen perusteella. Sitä ei vaihdeta numeeriseen osoitteeseen jo lähettäessä, kuten DNS->IP-resolvissa.
Ei sitä haudattu ole, mutta aika verkkaisesti taitaa edetä. Koko hommaa koordinoi tällainen porukka:
About PSOC – Pouzin Society
pouzinsociety.org
Eihän se tähän julkisen palvelun ongelmaan automaattisesti auta - jossain pitää olla se avoin palvelu jossa päätetään pääseekö verkkoon ja niitä paikkojahan tässä nykyään ammutaan alas, ei itse palveluja. IP-maailmassa tuollainen epäluuloinen viritys on toki olemassa buzzwordilla Zero Trust - mistään ei pääse automaattisesti eteenpäin - mutta sekään ei estä kuorman syytämistä. Vanhan liiton normi sisäverkossa 10-osoitteineen ei myöskään ole yrityksissä avointa paluureittiä julkiverkkoon toisin kuin kotona - vaikka sinne autentikaatiosysteemin ohi johonkin kohtaan onnistuisi paketin lähettämäänkin. Toki sinnekin voi sitten koittaa dossata, mutta perusmuurin split routing - sääntö tuppaa pysäyttämään ja jaksaa sen hyvin tehdä.
Pakettien syytämisestä esimerkkinä voisi olla vaikka muinainen Checkpointin muuri/VPN - siinä oli suorituskykysyistä poistettu tarkistukset UDP-kapseloidulta Ipsec - liikenteeltä - ja jos rakensi sopivan paketin vehkeen sai reitittämään sen sisäverkkoon sukkana läpi ohi VPN-softan - ilman lokijälkiä
- Keskustelun aloittaja
- #368
Kiinalaisten imureiden korkkaaminen ilmeisesti onnistunee kohtuullisen helposti. Kamara ja kaiutin mahdollistaa källien tekemisen.
www.hs.fi
Teknologia | Robotti-imurit huudelleet rasistisia solvauksia Yhdysvalloissa – Valmistajan tuotteita myydään myös Suomessa
Kiinalaisen teknologiayritys Ecovacsin robotti-imurit ovat huudelleet rasistisia solvauksia käyttäjilleen eri puolilla Yhdysvaltoja. Yrityksen robottien tietoturva on tiettävästi erittäin huono.
www.hs.fi
- Keskustelun aloittaja
- #369
Nordea ehdottaa mobiilivarmennetta muualle kuin pankkeihin tunnistautumiseen.
www.is.fi
Nordea ehdottaa rajua muutosta pankkitunnusten käyttämiseen
Verkkohyökkäyksistä kärsinyt pankki ehdottaa rajua muutosta suomalaisten arkirutiineihin.
www.is.fi
Husky
Hyperaktiivi
Mainittakoon että mobiilivarmenteen saaminen DNA:lta jälkikasvulle (käyttäjä ja itse olen liittymän maksaja) onkin vaikea projekti. Aspankin kanssa jo 30min ihmeteltiin että mikå mättää. Ensin piti olla väärä sim muttei ollutkaan ja nyt ei tietoa miksei onnistu netissä.
Ei pitäisi olla valesivusto minne olemme tuputtaneet pankkitunnuksia kun olen itse kirjoittanut osoitteen eikä ole googlehaku
Edit 18.10: puhuttu toisenkin aspan kanssa virka-aikana ja onpa hankala asia. Ei tietoa miksei homma onnistu DNA:n sivuilla. SIM on vaihdettu muutama vuosi sitten ja "pitäisi" olla varmenteelle sopiva SIM, mutta nyt kokeeksi lähtettävät postilla uuden kortin, niin voi kokeilla (pisteet DNA:lle ettei tarvii mennä myymälään).
Molemmat aspat ovat vähän arponeet, että onko mahdollista saada varmenne tällaiseen liittymään missä omistaja ja käyttäjä eri, että saas nähdä onko kuitenkin siitä kiinni tämä. Sitten alkaa kyllä ärsyttää.
Ei pitäisi olla valesivusto minne olemme tuputtaneet pankkitunnuksia kun olen itse kirjoittanut osoitteen eikä ole googlehaku
Edit 18.10: puhuttu toisenkin aspan kanssa virka-aikana ja onpa hankala asia. Ei tietoa miksei homma onnistu DNA:n sivuilla. SIM on vaihdettu muutama vuosi sitten ja "pitäisi" olla varmenteelle sopiva SIM, mutta nyt kokeeksi lähtettävät postilla uuden kortin, niin voi kokeilla (pisteet DNA:lle ettei tarvii mennä myymälään).
Molemmat aspat ovat vähän arponeet, että onko mahdollista saada varmenne tällaiseen liittymään missä omistaja ja käyttäjä eri, että saas nähdä onko kuitenkin siitä kiinni tämä. Sitten alkaa kyllä ärsyttää.
Viimeksi muokattu:
Ei VPN sinänsä tarvitse konsentraattoria ollakseen VPN, sanoisin.
Esim wireguard joka eittämättä on VPN, ja yleinen jos ei yleisin nykyjänsä, tukee täysin p2p arkkitehtuuria, jos niin halutaan.
Tässä varmaankin viitattiin VPN-palveluihin joissa yleensä käytetään konsentraattoria. Lähtökohtaisesti VPN ei tarvitse konsentraattoria.
Mainitsemasi ohjelmisto käyttää liikennöintiin UDP paketteja, jotka tarvitsevat kohteen IP-osoitteen, jonka tukkiminen ylimääräisellä liikenteellä on mahdollista aivan samalla tavalla kuin konstraattorin.
Eivät kaikki VPN-palvelut tarvitse konsentraattoria. Esimerkkinä vaikka tor.
Toki wireguardissa endpointin IP on dynaaminen, joten se voi vaihtua ja on siten vaikeampi tukittava.
Endpoint voi olla myös virtuaali-ip, jolloin siellä takana voi olla vaikka tuhat fyysistä IP:tä.
Wireguardissa myös jokainen paketti on implisiittisesti autentikoitu, joten ddos:n suodattamiseen on keinovalikoimaa. Ddos parvi kun ei kykene generoimaan kuin kelvottomia paketteja, vaikka päällisin puolin olisivatkin sopivia, ja udp:n ollessa kyseessä eivät saa mitään feedbackia mahdollisesta qos throttlingista kohdepäässä. Qos throttling voi olla oletuksena agressiivinen, ja höllennetty kun vastamaan endpoint tulee tietoon wg-tasolla, mikä vaatii mainitun autentikoinnin, ensin.
Joten sanoisin, että parannus on merkittävä. Täydellisyyteen ei ole mahdollista päästä kuin Pkoreassa.
Eipä ollut Tor tuossa listassa VPN-palveluista. Luulenpa ettei sitä kutsuta VPN-palveluksi. Johtuu siitä, ettei se toteuta noita kaikkia kolmea kirjainta.
Eiköhän sitäkin pysty tutkimaan sillä samaisella developer modella, jota käytit Osuuspankin yhteyden hakkerointiin. Itse käyttäisin vaikkapa Wiresharkkia.
Jos nämä tuhat ovat kuitenkin samassa putken päässä, niin lienee yhdentekevää mikä niistä valitaan kohteeksi. Mutta jos ne ovat kaikki hajautettuna ympäri maapalloa niin sitten hommassa on jo jotain mieltä. Tämän kaltaista hajautuspalvelua tarjoaa esim. Cloudflare.
Eli jokainen paketti pitää tutkia erikseen, joten se kumminkin kuluttaa resursseja.
Mitä kohtaa TOR ei toteuta, jos käytän sitä esim. etäyhteyden luomiseksi kahden koneen välille?
Niin, ei kukaan väittänyt että se olisi salainen, vaan dynaaminen.
Ja wireshark muuten käyttää tcpdumppia pellin alla, joten aivan sama softa kyseessä.
Sinäpä sen sanoit.
Luitko mitä kirjoitin? Kohdan throttlaamisesta ja oletuksena agressiivisesta qos:sta?
No oikeastaan olennaista on se, että IP-maailmassa se VPN kuitenkin kulkee sinällään haavoittuvan IP:n päällä. Sinne reikään, jonne VPN-paketit ovat matkalla, on mahdollista päästä myös muilla paketeilla, ja voi yrittää esim. tukkia sitä reikää liialla liikenteellä, tai yrittää löytää siitä joku haavoittuvuus joka mahdollistaisi sisäänpääsyn. RINA:lla tämä ei ole mahdollista, koska heti ensimmäinen reititin jonne vääränlainen paketti päätyy, hylkää sen. Mitään avointa porttia, jonne ne salatut paketit ovat matkalla, ei ole hyökkääjälle näkyvissä, kuten IP-maailmassa aina väistämättä on.
Niin, tämä on kompromissi mikä joudutaan ottamaan.
Toki esim TOR taklaa tästä suuren osan. Voit korkeintaan pommittaa yhden tai useamman exit noden alas, mutta tuskin kaikkia.
Näin juuri... suojaus on silloin luonnostaan hajautettu. Mutta onko RINA:ssa vastaanottajalla mahdollisuus kieltää ottamasta yhteyttä, jos joku häiritsee yhteydenotoillaan julkiseen kohteeseen? Siinähän osoitteena ei ole portti, kuten TCP:ssä vaan prosessi. Vai onko jokaiselle asiakkaalle avattu oma prosessi salaisella tunnisteella?
En ole samaa mieltä siitä, että Tor auttaisi hyökkäyksen torjumiseen, silloin kun hyökkääjä generoi suuren määrän liikennettä. Tor verkon omassa esittelyssä asia kuvataan näin: "So in general, attackers who control enough bandwidth to launch an effective DDoS attack can do it just fine without Tor." Eli hyökkääjän tarvitsee vai ohittaa Tor, saadakseen hyökkäyksen onnistumaan.
En tunne asiaa mitenkään hirmuisen syvällisesti, joten en osaa varmaa vastausta antaa. Lähtökohtaisesti kaiketi ei, julkinen prosessi on julkinen prosessi ja siihen saa yhteyden kuka vain. Toki pitkälti samat torjuntakeinot ovat käytettävissä siellä yhteyden päässä, kuin IP:ssäkin, mutta pakettia ei voi "ampua alas etänä" kuten autentikoiduissa "VPN:issä" (eli RINA-termein DIF:eissä).
Toisaalta RINA:ssa ajatus on se, että kaikki palvelut jotka voidaan piilottaa autentikoituihin DIF:eihin, viedään niihin, eikä jätetä julkisiksi. Jos ajatellaan analogiana vaikka tätä foorumia, niin ainoastaan foorumin uusien käyttäjien rekisteröityminen tapahtuisi julkisen DIF:in (eli "internet-DIF:in") kautta, jollain eri alustalla kuin missä itse foorumipalvelin sijaitsee. Kun tunnus on hankittu, foorumille kirjauduttaisiin sitten salatun "Lämpöpumput.info DIF:in" kautta, ja kirjautumistunnukset siis olisivat tuohon verkkoon pääsyyn oikeuttavia tunnuksia. Kun verkkoon on päästy, ei foorumille tarvitsisi enää kirjautua erikseen, koska varsinaiseen foorumipalvelimeen ei tulisi paketteja muilta kuin rekisteröityneiltä käyttäjiltä - kaikki muut paketit verkko pudottaisi pois jo kaukana itse foorumipalvelimesta.
Tai jos ihan noin yksityiskohtaiseen erotteluun ei haluaisi mennä, niin useita foorumeita voisi sijaita alustalla, jolla olisi yksi oma autentikoitu verkko. Sitten itse foorumeille pitäisi kirjautua myös. Tämä rajaisi pääsyn foorumien verkkoon vain niille, joilla on tunnukset jollekin samassa verkossa sijaitsevalle foorumille.
Kiinassa about kaikki toimii qr-koodilla.
Aivan.
Itselläni ei ole oikein käsitystä, miten massiivisina suuret palvelinestohyökkäykset ilmenevät kohdedomainiin johtavien verkkoyhteyksien varrella. Sinällään kuvittelisi, että hyökkääjillä ei kuitenkaan voi olla käytännössä rajatonta joukkoa pyydystettyjä hyökkäyskoneita hajallaan ympäri maailmaa, että lähes jokaisen paketin lähettämiseen löytyisi aina uusi neitseellinen lähettäjäkone, vaan lähettäjiä kierrätetään jollakin satunnaisella syklillä niin, että jokainen lähettäjä osallistuu hyökkäykseen useita kertoja ja jokseenkin jatkuvasti.
IP-arkkitehtuurin heikkoutena/vahvuutena/haavoittuvuutena on, että reititinverkko keskittää kaiken hyökkäyksen kohteeseen, joka kylläkin voi tällaisessa tilanteessa varsin tehokkaasti blokata kaiken hyökkäykseltä vaikuttavan liikenteen, mutta vasta kohdesolmun luona (rapatessa vain roiskuu, eli sivutuoteena voi hyökkäysanalyysimenetelmän tarkkuudesta riippuen mennä aiheellisiakin verkko-osoitteita paikallisesti blokattavaksi). RINAa kevyempi ja joustavampia vaihtoehto voisi olla, että välillä oleva reititinverkosto olisi mahdollista saada adaptoitumaan hyökkäyskohteen "avunpyyntöön" menetelmällä tai toisella (toki turvallisuusasiat huomioon ottaen) sulkemalla jo välisillä reitittimillä väliaikaisesti koneita ja osoiteavaruuden osajoukkoja, joiden reitityksen sulkemista itselleen hyökkäyksen kohde on pyytänyt. Järjestelyllehän riittäisi, että se toimii statistisessa mielessä riittävän tehokkaasti, eli pudottaa riittävän suuren osan ylikuormitustilanteen aiheuttavasta liikenteestä pois hyökkäyksen kohteen toiveiden perusteella. Tämän ei tarvitse vaikuttaa muiden kuin hyökkäyksen kohdeosoitteiden reititykseen mitenkään.
IP-arkkitehtuurin heikkoutena/vahvuutena/haavoittuvuutena on, että reititinverkko keskittää kaiken hyökkäyksen kohteeseen, joka kylläkin voi tällaisessa tilanteessa varsin tehokkaasti blokata kaiken hyökkäykseltä vaikuttavan liikenteen, mutta vasta kohdesolmun luona (rapatessa vain roiskuu, eli sivutuoteena voi hyökkäysanalyysimenetelmän tarkkuudesta riippuen mennä aiheellisiakin verkko-osoitteita paikallisesti blokattavaksi). RINAa kevyempi ja joustavampia vaihtoehto voisi olla, että välillä oleva reititinverkosto olisi mahdollista saada adaptoitumaan hyökkäyskohteen "avunpyyntöön" menetelmällä tai toisella (toki turvallisuusasiat huomioon ottaen) sulkemalla jo välisillä reitittimillä väliaikaisesti koneita ja osoiteavaruuden osajoukkoja, joiden reitityksen sulkemista itselleen hyökkäyksen kohde on pyytänyt. Järjestelyllehän riittäisi, että se toimii statistisessa mielessä riittävän tehokkaasti, eli pudottaa riittävän suuren osan ylikuormitustilanteen aiheuttavasta liikenteestä pois hyökkäyksen kohteen toiveiden perusteella. Tämän ei tarvitse vaikuttaa muiden kuin hyökkäyksen kohdeosoitteiden reititykseen mitenkään.
Overview | Cloudflare DDoS Protection docs
Cloudflare automatically detects and mitigates distributed denial-of-service (DDoS) attacks via our autonomous DDoS systems.
developers.cloudflare.com
Jossain tapauksissa riittäisi varmaan kansallinen toimi. Eli jos esim. Nordean palvelut eivät toimi kunnolla kellekään, niin eikun röyhkeä geo-ip-blokkaus, että toimii edes Suomen sisältä jne. Tosin Nordea tuntuu puolet ajasta sössivän ihan itse.
Ongelma oli että ilmeisesti merkittävä määrä liikenteestä tuli Suomesta koska onnistuttu valjastamaan bottiverkkoon laitteita tavalla tai toisella
HiTec
Eipä turhia höttyillä :)
Öö... Tässä tapauksessa kun Nordeaankin paukkasi sen 15 miljoonaa pyyntöä sekunnissa, niin tuo määrä ei ihan parista botatusta päätelaitteesta kyllä generoidu
www.hs.fi
Pankit | Nordea: Verkkohyökkäysten voima ja kesto täysin ennennäkemätön, tarkoitus horjuttaa yhteiskuntaa
Nordeaan jo kuukauden ajan kohdistuneet palvelunestohyökkäykset ovat maksaneet tekijälle jo kymmeniä miljoonia euroja, johtaja Sara Mella arvioi.
www.hs.fi
Kuka sen tekee ja missä? Kovin hankalaa lienee suomalaisia IP-osoitteita blockailla väärien blockauksien pelossa, ilman patriootin silmälasejakaan. Ja mikäli siellä on iso pooli josta valjastaa koneita ja välillä laittaa jäähylle osa koneista ja ottaa taas uusia käyttöön on perässä juokseminen käsipelillä kenties haastavaa. En sano etteikö jotain tarvitse tehdä ja ilmeisesti on tehtykin vai lopettivatko hyökkääjät toimensa, en tiedä.
Perus PC 100 mbits/s yhteydellä, paljonkohan SYN paketteja sekunnissa saa aikaan? 50k? Oletettavasti pitkin poikin maailmaa kloonien armeija hyökännytÖö... Tässä tapauksessa kun Nordeaankin paukkasi sen 15 miljoonaa pyyntöä sekunnissa, niin tuo määrä ei ihan parista botatusta päätelaitteesta kyllä generoidu
Pankit | Nordea: Verkkohyökkäysten voima ja kesto täysin ennennäkemätön, tarkoitus horjuttaa yhteiskuntaa
Nordeaan jo kuukauden ajan kohdistuneet palvelunestohyökkäykset ovat maksaneet tekijälle jo kymmeniä miljoonia euroja, johtaja Sara Mella arvioi.
Jos hyökkäyksen kohde voi pyytää moista, niin vastuu kaiketi kanavoituu tuonne (eli pitäisi olla palveluinterface tuon automaattiseksi aktivoimiseksi hyökkäyksen kohteen tarkkailuohjelmiston laukaisemana). Kyllähän joistakin osoitteista ketjussa tulevat kesken jäävät yhteyspyynnöt ovat aivan riittävä aihe kieltäytyä ottamaan tuolta lisää pyyntöjä ennen tietyn varoajan päättymistä.
Vain lähiverkossa, koska osoite ei toimi sen pidemmälle verkossa. Sen avulla toki suodatetaan jo nyt liikennettä.
IP4 on aika helposti suodatettavissa lähdekohtaisesti, kun koko osoiteavaruus on koneineen, verkkoineen ja broadcast-osoitteineen "vain" 4G yksikköä. Vaikeampi kysymys on, että onko Internetissä paljon sellaisia reitittimiä, jotka päästävät lävitse täysin väärennettyjä paketteja muka jostakin aliverkosta, joka ei selvästikään voi olla saavutettavissa sen reitittimen kautta, jolta ne verkkoon tulivat. Ainakin tuollaisen voisi rakentaa, jos organisaatiolla on hallussaan kokonainen aliverkko ja tuon kautta voi palvelunestohyökkäystarkoituksissa syöttää väärennettyä liikennettä, joka voisi olla periaatteessa mistä vain Internetissä, mutta miksei yksittäiseltä koneeltakin, jos verkko-operaattori on hoitanut hommat hyvin leväperäisesti.
Moiseen puuttuminen edellyttää suodatustoimia laajemminkin runkoverkko-operaattoreiden puolelta (mikä kaiketi tulisi tehdä joka tapauksessa, jotta toiminnassa noudatettaisiin edes minimilaatutasoa; mutta toimivatko kaikki runkoverkko-operaattorit noin ja kaikkialla?). Mitään hyödyllistähän tuollaisilla huijauspaketeilla ei voi tehdä, mutta palvelunestohyökkäyksissä kävisivät täydestä, kun vastaukset yhteydenottoyrityksiin saavatkin hyökkääjän puolesta kadota bittiavaruuteen.
Moiseen puuttuminen edellyttää suodatustoimia laajemminkin runkoverkko-operaattoreiden puolelta (mikä kaiketi tulisi tehdä joka tapauksessa, jotta toiminnassa noudatettaisiin edes minimilaatutasoa; mutta toimivatko kaikki runkoverkko-operaattorit noin ja kaikkialla?). Mitään hyödyllistähän tuollaisilla huijauspaketeilla ei voi tehdä, mutta palvelunestohyökkäyksissä kävisivät täydestä, kun vastaukset yhteydenottoyrityksiin saavatkin hyökkääjän puolesta kadota bittiavaruuteen.
Ei rungossa voi mitään paketteja suodattaa, toisi viivettä, loisi vikapaikkoja, vaatisi hirveästi tehoa. Rungossa vain välitetään.
Suodatus tehdään muualla.
Voi.
Toki mac on L2 konsepti, joten skooppi on väkisti rajallinen, lähimpään reitittimeen asti.
Muinoin tuo ainakin onnistui ja koko verkon ideahan on se että paketit voi tulla outoa reittiä pitkin. Käsittääkseni tuo ei enää kaikkialla onnistu. Jotain on yritetty asialle tehdä mutta ei se vielä riitä https://manrs.org/2023/04/why-is-source-address-validation-still-a-problem/
Harrastelija
Vakionaama
Eikös vastaanottajan kannalta kaikki paketit tule (operaattorin) reitittimeltä eli kaikissa paketeissa on sama lähettäjän mac osoite. Tuon macin kun blokkaa niin varmasti loppuu yhteyspyynnöt. Mutta ei kyllä toimi mikään muukaan.
Eikös noissa ongelmaksi tule myös internetyhteyden nopeus? Oman verkon puolella blokkailu on liian myöhään kun ne pyynnöt tukkii internetyhteyden joka tapauksessa. Eli jotenkin se blokkaus pitää tehdä operaattorin puolella.
Toki Nordealla on oletettavasti useampi yhteys internet verkkoon että kaikki ei kulje yhtä kaapelia/reittiä pitkin.
Joku täällä on varmaan tehnyt töitäkin noiden asioiden parissa. Oma näkemys on että tarvii yhteistyötä ”internetin” eli useamman operaattorin kanssa jotta hyökkäys saataisiin torjuttua. Aina ei ehkä onnistu sittenkään.
Tarpeeksi kun on botteja niin yhden botin ei tarvi ottaa yhteys kuin kerran minuutissa. Ei voi oikein suodattaa silläkään perusteella että jostain tulee x kpl pyyntöjä sekunnissa tai 10 sekunnissa. Tommonen yksi per minuutti lähentelee normi käyttäjää ja sillä ehdolla blokkaaminen blokkaa oikeat käyttäjätkin.
Eikös noissa ongelmaksi tule myös internetyhteyden nopeus? Oman verkon puolella blokkailu on liian myöhään kun ne pyynnöt tukkii internetyhteyden joka tapauksessa. Eli jotenkin se blokkaus pitää tehdä operaattorin puolella.
Toki Nordealla on oletettavasti useampi yhteys internet verkkoon että kaikki ei kulje yhtä kaapelia/reittiä pitkin.
Joku täällä on varmaan tehnyt töitäkin noiden asioiden parissa. Oma näkemys on että tarvii yhteistyötä ”internetin” eli useamman operaattorin kanssa jotta hyökkäys saataisiin torjuttua. Aina ei ehkä onnistu sittenkään.
Tarpeeksi kun on botteja niin yhden botin ei tarvi ottaa yhteys kuin kerran minuutissa. Ei voi oikein suodattaa silläkään perusteella että jostain tulee x kpl pyyntöjä sekunnissa tai 10 sekunnissa. Tommonen yksi per minuutti lähentelee normi käyttäjää ja sillä ehdolla blokkaaminen blokkaa oikeat käyttäjätkin.
Riippuu yhteystyypistä.
Operaattoreilla on esmes tämmöisiä palveluita: https://www.dna.fi/wholesale/security/ddos-protection?gad_source=1
ja DDOS-torjuntaan on omat verkkorautansa jotka poimivat hyökkäyspaketteja pois. Tarkkaa logiikkaa ei tietenkään missään haluta avata. Kun hyökkäys alkaa purkkiin esikonffattu kohde reititetään purkin läpi. Cloudflare jne osaavat tehdä samaa.
Palvelut ovat kuitenkin harvoin ostettuja - ilmeisesti siis joko kalliita tai huonoja. Tai molempia.
Harvoin myöskään enää ammutaan verkon paketinsiirtokykyä tukkoon - se kun on kalliimpaa kuin liikenteen tukkiminen jollain palvelun heikolla kohdalla. Vanhan liiton esimerkki voisi olla F5 verkon reunalla. Sen lisenssit ovat vähän kalliita - ja tarjolla on ollut vaikkapa 10 TLS neuvottelua sekunnissa - lisenssi joka voi riittää jo aika isollekin kioskille. Ja lisenssi on myös hyvin helppo ampua täyteen.