США разработали «цифровую бомбу»...

VISA и Mastercard пусть заранее убытки компенсируют. Несколько миллиардов залога на дурость американской администрации в центробанке России лишними не будут.

Партнёры...

Некая кибератака уже несколько месяцев идёт. Конкретно: DDoSят DNS (named/bind9), причём если раньше такие атаки были короткими и в основном с китайщины, то сейчас массированные налёты по нескольку суток подряд, и география очень пёстрая, включая ряд ламериканских университетов. Студенты балуются? Не думаю.

PS: Работаю в некрупном пром.провайдере, нам стабильно named кладут, примерно раз в две недели. Вчера, в четверг, 22-го, в очередной раз было. В понедельник будем собирать совет мудейших (не опечатка!) и решать, как закрываться. Поскольку мы пров терминирующий, у нас нет транзита, то есть мысль закрыть файрволом ipfw все запросы, кроме наших сеток (клиентских).

UPD: Мысль оказалась дурацкой. Наш named держит ещё и нашу зону, и несколько клиентских. Закрываться снаружи просто нельзя. Либо передать зоны на внешние NS, что, учитывая, что мы сами себе провайдер, выглядит несколько нелепо. Платить сторонним NSам за то, что мы сами для себя делаем забесплатно, никто из генералов не готов.

Сетевая инфраструктура есть, вместо цисок будут координатно-матричные АТС на декадно-шаговых искателях.

> ... нам стабильно named кладут, примерно раз в две недели. ... Поскольку мы пров терминирующий, у нас нет транзита, ...

Наличие/отсутствие своего DNS не имеет никакого отношения к транзиту чужого трафика. Эти две категории совершенно не взаимосвязаны.

> ... то есть мысль закрыть файрволом ipfw все запросы, кроме наших сеток (клиентских)

Фиг ли тут думать? DNS для клиентов должен быть закрыт для для доступа из интернета, причём закрыт файерволом, отслеживающим состояние соединения (stateful firewall).

Если есть свои прямые зоны, публикуемые в интернете -- разместить их на DNS-серверах какого-нибудь крупного хостинг-провайдера, который может себе позволить прикрыть их с помощью своей мощной IDS/IPS. И вообще, раз пошла такая пьянка с DDoSами, считаю, что мелкому провайдеру имеет смысл вообще избавиться в своей сети от всех сервисов, которые доступны из интернета и, опять-таки, разместить их у крупных провайдеров. Потому что см. выше про IDS/IPS.

> UPD: Мысль оказалась дурацкой. Наш named держит ещё и нашу зону, и несколько клиентских. Закрываться снаружи просто нельзя. Либо передать зоны на внешние NS, что, учитывая, что мы сами себе провайдер, выглядит несколько нелепо.

За*бут DDoSеры -- будет лепо.

> Платить сторонним NSам за то, ...

Да это какие-то сраные десятки баксов в месяц, не больше. А может, и меньше, я просто цен навскидку не помню. Зато полное отсутствие головной боли с падающим named'ом.

> ... что мы сами для себя делаем забесплатно, никто из генералов не готов.

А на свою IDS/IPS и систему борьбы с DDoS-атаками, они, небось, раскошеливаться тоже не готовы.

> Даладна, у кого следует есть своя связь которую замучаются отключать.

У кого следует, связь построена на тех же самых цисках, которые, по слухам, отключаются по мощному кодированному сигналу со спутника.

> Если есть свои прямые зоны, публикуемые в интернете -- разместить их на DNS-серверах какого-нибудь крупного хостинг-провайдера, который может себе позволить прикрыть их с помощью своей мощной IDS/IPS.

Для субпровов это стоит денег, и совсем немелких. Генералы платить не хотят -- их решение. Объяснять генералам, что они неправы -- не моя задача, да и ссыкотно :)

Когда на предыдущей работе поднимал шлюзак (сугубо конечно-клиентский), озадачился вопросом ценника на NS-зоны для юриков и для физиков. Разница есть. Поэтому и там одним из NS-ов выставили свой, другой был вообще левый частный хост на колоколе. Но тогда ДДоСили вяло, fail2ban успевал отбиваться.

> И вообще, раз пошла такая пьянка с DDoSами, считаю, что мелкому провайдеру имеет смысл вообще избавиться в своей сети от всех сервисов, которые доступны из интернета и, опять-таки, разместить их у крупных провайдеров. Потому что см. выше про IDS/IPS.

Анриал. Ряд клиентов сидит на нашем почтаке. У некоторых на территории свои вебаки. У нас у самих вебак свой. NS-ы -- опциональны, но изначально взведены свои, и переделывать это генералы жмотятся. И не мне им объяснять, что экономия сегодня может обернуться пиздецом завтра.

У нас уже Астериску подломили на более чем 300 тыр, сейчас трём тёрки с надпровайдером, ситуация неоднозначная.

> Если есть свои прямые зоны, публикуемые в интернете -- разместить их на DNS-серверах какого-нибудь крупного хостинг-провайдера, который может себе позволить прикрыть их с помощью своей мощной IDS/IPS. И вообще, раз пошла такая пьянка с DDoSами, считаю, что мелкому провайдеру имеет смысл вообще избавиться в своей сети от всех сервисов, которые доступны из интернета и, опять-таки, разместить их у крупных провайдеров. Потому что см. выше про IDS/IPS.

Как IDS/IPS от DDoSа помогут? Тут только резервные сервисы спасут.
Кстати крупные провайдеры как раз предлагают такую услугу, резервные сервисы на случай DDoSa.

> Зачем нужно было выставлять её в интернет?

Не выставлена. Точнее, только по белому списку доступна. Всю ситуацию описывать не буду, несколько коммерческая тайна как бы. Подломили при глюке на бордере. Это всё, что могу сказать.

> Как IDS/IPS от DDoSа помогут?

DDoS бывает разный. Первый тип -- на исчерпание пропускной способности аплинка. Тут свой собственный IPS ничем не поможет. Второй тип -- изнасилование уязвимого сервиса хитровыделанными пакетами, приводящими к краху процесса сервиса (демона), либо к его подвешиванию с отжиранием процессорного времени сервера. Вот от такого типа DDoSа IDS/IPS отлично спасает. Смотрим, что за пакет вызывает крах/зависание, и поручаем IPS его фильтровать.

> Подломили при глюке на бордере.

Гхм. Вижу, МСЭ на самом сервере с астериском настроить постеснялись.

> У меня АТС, двухэтажное здание, два 10-тысячника -- ужались до половины первого этажа (с ДШ проагрейдились до 5-го поколения, вроде, Eric AXE). Остальное сдают в аренду, весь второй этаж -- фитнесс-клуб известной сети.

В Москве это уже пройденный этап. Лет пять здание районной АТС служило общагой для рабочих из солнечных среднеазиатских республик, а в прошлом году его снесли, и в настоящее время бодро возводят на её территории "илитное" жильё.

> Вижу, МСЭ на самом сервере с астериском настроить постеснялись

На Астериске теперь вздрючен иптаблес. Ну, так бюджетнее, чем развлекаться МСЭ. Астер стоит в нашей же сетке, в нашем пуле. Ну, так исторически сложилось. Переделать "как надо" можно, но у генералов жаба Жабба Хатт...

> вот отрубят до кучи гугл

Гугл не отрубят.
Ютуб жив только благодаря видео с автомобильных регистраторов и с мобильных телефонов из России. КС

А если серьёзно, его разведпотенциал было бы неразумно похерить.

> камрад Antic пишет, что у него named регулярно падает. На канал камрад Antic не жалуется, следовательно, если это DDoS, то явно второго типа.

ТТ. На отказ конкретного сервиса жалуюсь. Только во Фряхе это вызывает отказ всего шлюзака (вплоть до кернел паники, лично наблюдал).

> Может, конечно, это и не DDoS, просто кто-то счупает его named на предмет уязвимостей с целью вломиться в его сетку, не знаю.

Один раз нам сетку подломили, но на Layer 2. Доказано, что "мстил" мой предшественник. Обошлись без уголовки, как-то объяснили персонажу, что он категорически был неправ.

> Вполне может быть, что камраду Antic'у достаточно будет мигрировать с этого named'а на что-нибудь другое, и проблема будет решена

Я не имею права голоса в этом вопросе, там генералы рулят. И, это... я здесь Layer 3 не заведую, он на аутсорсе, я рулю Layer 2 и иногда Layer 1.

> > В модельном ряду Континентов, надо полагать, уже появились и коммутаторы? Всех трёх уровней: ядра, распределения, доступа?

> Тащемто да, ...

Я вот сейчас смотрю модельный ряд этих континентов, вижу в нём только МСЭ+криптошлюзы и в упор не вижу в нём коммутаторов. IPC-3034 со своими 2,5 Гбит/с -- это очень херовая замена коммутаторам, основное назначение которых -- сегментировать сеть на вланы, приоритезировать трафик в них и давать десятки и сотни Гбит/с пропускной способности. Сеть бизнес-центра только на континентах построить нереально.

> > ТТ. На отказ конкретного сервиса жалуюсь. Только во Фряхе это вызывает отказ всего шлюзака (вплоть до кернел паники, лично наблюдал).

> Ну это тогда не DDoS уже. Это в какую-то уязвимость долбят.

Отказ сервиса -- это и есть Denial of Service. Если долбят с различных адресов -- распределённый (Distributed). В итоге получаем DDoS.

> Ну это тогда не DDoS уже. Это в какую-то уязвимость долбят

Уязвимость Фряхи в том, что, если заДДоСить некий сервис и заставить его выжрать все мозги, то ядро трапается. В Линухах тоже так можно вынести ядро, но сильно реже, но там есть другие сетевые уязвимости, почему я не люблю пингвинов в качестве шлюзов. Бздяхи устойчивее к сетевым атакам вообще. Но вот по ДДоСам конкретно -- проигрывают, увы.

> Бздяхи устойчивее к сетевым атакам вообще. Но вот по ДДоСам конкретно -- проигрывают, увы.

Мигрируй уже бинд с фри на линукс ;)

> Я вот сейчас смотрю модельный ряд этих континентов, вижу в нём только МСЭ+криптошлюзы и в упор не вижу в нём коммутаторов. IPC-3034 со своими 2,5 Гбит/с -- это очень херовая замена коммутаторам, основное назначение которых -- сегментировать сеть на вланы, приоритезировать трафик в них и давать десятки и сотни Гбит/с пропускной способности. Сеть бизнес-центра только на континентах построить нереально.

Ну так мы и не за бизнес-центр вроде говорили. ФСБ, ФСО, Генштабу и иже с ними вполне хватает.

> Мигрируй уже бинд с фри на линукс ;)

Хорошая шутка :)

Пингвина сходу проткнут навылет. Та же РХЕЛ по умолчанию имеет кучу сетевых дыр.

Чёртика хрен пробьёшь. Ну, то есть, можно, конечно, но наоставляв следов при этом.

> прикинь размеры их зданий и суммарное примерное количество портов в них

Одна обычная районная поликлиника -- около 200 портов. Из моей практики.

>> Пингвина сходу проткнут навылет.

> Но он не рухнет!!!

Зато за ним всю сетку вынесут :) Пусть лучше рухнет один бордер, чем подломят сотни клиентов.

> Только не пиши сейчас, что это одна и та же машина, то есть, на бордере у тебя установлен named, открытый всему интернету!

Уже написал.

> каналы спецсвязи без всяких цисок у них таки есть

Там могут быть и циски. Только сеть изолирована от тырнетиков.

Недавно был на службе у Srg_Alex'а, это госслужба. Там на каждом рабочем месте два компа -- один для интранета, другой для Интернета. Сети изолированы физически.