Ostatnio nasilila mi sie ilosc atakow na siec firmowa. Po glebszej
analizie ruchu przychodzacego sporzadzilismy liste adresow IP sieci z
ktorych przychodza rozne dziwaczne ataki.

Zadzwonilismy do zacnej firmy TkTelekom z ktorej uslug 'mamy
przyjemnosc' kozystac i poprosilismy o wyciecie paru podsieci. Pani z
obslugi nie potrafila poprawnie napisac adresu IP wiec poprosila
abysmy wyslali wniosek na noc at tktelekom dot pl. Uczynilismy jak
wskazano.

Po paru minutach celem potwierdzenia, ze mail dotarl a prosba zostanie
zrealizowana, zadzwonilismy z powrotem do centrum. Jak sie okazalo,
Pani stwierdzila, ze nie nie ma 'mozliwosci technicznych' wyciecia
wskazanych przez nas IP i musimy wybrac tylko jeden z podanych
adresow. Dodala, ze jesli chcemy aby wyciac wiecej niz jeden adres IP,
to nalezy skierowac pisemny wniosek na ich adres.

czy ktos byl swiadkiem podobnych eventow? czy zablokowanie 2-3
networkow z korei polodniowej jest az tak ciezkim zadaniem dla ISP?

do góry

Matt Rutkowski pisze:
> Ostatnio nasilila mi sie ilosc atakow na siec firmowa. Po glebszej
> analizie ruchu przychodzacego sporzadzilismy liste adresow IP sieci z
> ktorych przychodza rozne dziwaczne ataki.
>
> Zadzwonilismy do zacnej firmy TkTelekom z ktorej uslug 'mamy
> przyjemnosc' kozystac i poprosilismy o wyciecie paru podsieci. Pani z
> obslugi nie potrafila poprawnie napisac adresu IP wiec poprosila
> abysmy wyslali wniosek na noc at tktelekom dot pl. Uczynilismy jak
> wskazano.
>
> Po paru minutach celem potwierdzenia, ze mail dotarl a prosba zostanie
> zrealizowana, zadzwonilismy z powrotem do centrum. Jak sie okazalo,
> Pani stwierdzila, ze nie nie ma 'mozliwosci technicznych' wyciecia
> wskazanych przez nas IP i musimy wybrac tylko jeden z podanych
> adresow. Dodala, ze jesli chcemy aby wyciac wiecej niz jeden adres IP,
> to nalezy skierowac pisemny wniosek na ich adres.
>
> czy ktos byl swiadkiem podobnych eventow? czy zablokowanie 2-3
> networkow z korei polodniowej jest az tak ciezkim zadaniem dla ISP?
>

No wiesz, jest ograniczona liczba ACL w routerach. Trzeba sprawdzić czy
jeszcze jeden ACL się zmieści. :)

wer

do góry

W artykule Matt Rutkowski napisał(a):

> Ostatnio nasilila mi sie ilosc atakow na siec firmowa. Po glebszej
> analizie ruchu przychodzacego sporzadzilismy liste adresow IP sieci z
> ktorych przychodza rozne dziwaczne ataki.
>
> Zadzwonilismy do zacnej firmy TkTelekom z ktorej uslug 'mamy
> przyjemnosc' kozystac i poprosilismy o wyciecie paru podsieci. Pani z
> obslugi nie potrafila poprawnie napisac adresu IP wiec poprosila
> abysmy wyslali wniosek na noc at tktelekom dot pl. Uczynilismy jak
> wskazano.
>
> Po paru minutach celem potwierdzenia, ze mail dotarl a prosba zostanie
> zrealizowana, zadzwonilismy z powrotem do centrum. Jak sie okazalo,
> Pani stwierdzila, ze nie nie ma 'mozliwosci technicznych' wyciecia
> wskazanych przez nas IP i musimy wybrac tylko jeden z podanych
> adresow. Dodala, ze jesli chcemy aby wyciac wiecej niz jeden adres IP,
> to nalezy skierowac pisemny wniosek na ich adres.
>
> czy ktos byl swiadkiem podobnych eventow? czy zablokowanie 2-3
> networkow z korei polodniowej jest az tak ciezkim zadaniem dla ISP?

A czy napisanie wiadomości po polsku jest aż tak ciężkim zadaniem?

pac! korzystać
pac! południowa

pozdr,
fEnIo
--
,''`. Bartosz Fenski | mailto:f...@d...org | pgp:0x13fefc40 | irc:fEnIo
: :' : 32-050 Skawina - Glowackiego 3/15 - malopolskie v. - Poland
`. `' phone:+48602383548 | proud Debian maintainer and user
`- http://fenski.pl | xmpp:f...@j...org | rlu:172001

do góry

Matt Rutkowski pisze:
> Ostatnio nasilila mi sie ilosc atakow na siec firmowa. Po glebszej
> analizie ruchu przychodzacego sporzadzilismy liste adresow IP sieci z
> ktorych przychodza rozne dziwaczne ataki.
>
> Zadzwonilismy do zacnej firmy TkTelekom z ktorej uslug 'mamy
> przyjemnosc' kozystac i poprosilismy o wyciecie paru podsieci. Pani z
> obslugi nie potrafila poprawnie napisac adresu IP wiec poprosila
> abysmy wyslali wniosek na noc at tktelekom dot pl. Uczynilismy jak
> wskazano.
>
> Po paru minutach celem potwierdzenia, ze mail dotarl a prosba zostanie
> zrealizowana, zadzwonilismy z powrotem do centrum. Jak sie okazalo,
> Pani stwierdzila, ze nie nie ma 'mozliwosci technicznych' wyciecia
> wskazanych przez nas IP i musimy wybrac tylko jeden z podanych
> adresow. Dodala, ze jesli chcemy aby wyciac wiecej niz jeden adres IP,
> to nalezy skierowac pisemny wniosek na ich adres.
>
> czy ktos byl swiadkiem podobnych eventow? czy zablokowanie 2-3
> networkow z korei polodniowej jest az tak ciezkim zadaniem dla ISP?
>

Zainteresuj się projektem BGP Blackholing... i chociaż troszkę sprawę to
załatwi...
Chociaż jak to duży ruch od nich, to i tak przez łącze Ci będzie szło...

do góry

Art from [ komuch@{NOSPAM}komuch.pl ] ...

: Zainteresuj się projektem BGP Blackholing... i chociaż troszkę sprawę to
: załatwi...

a ktoś tam w ogóle procesuje nowe zgłoszenia?
bo jeśli sam Łukasz to chyba jest zajęty bo na swoje odp. nie dostałem :)

--
:|[ kondi.net ]|:::::::::::::::::::::::::::::::::::|[ 2:480/1...@f...org ]|:

do góry

konrad rzentarzewski pisze:
> Art from [ komuch@{NOSPAM}komuch.pl ] ...
>
> : Zainteresuj się projektem BGP Blackholing... i chociaż troszkę sprawę to
> : załatwi...
>
> a ktoś tam w ogóle procesuje nowe zgłoszenia?
> bo jeśli sam Łukasz to chyba jest zajęty bo na swoje odp. nie dostałem :)
>
Poczekaj... Odpisuje (z pewnym opóźnieniem)

--
[WRC] Biały Scenic 2000 1,9 dTI
CB: Intek M-490 + ML 145

+-=-=-=-=-=-=-=- Przemysław Gubernat -=-=-=-=-=-=-=-=-=-=-=-+
| _API Internet_ A. Stolarczyk i P. Gubernat Spółka Jawna |
+-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
=-=-=-=-+

do góry

Przemysław Gubernat pisze:

> Poczekaj... Odpisuje (z pewnym opóźnieniem)
>

Dokładnie... To bardzo zajęty człowiek...
Ja czekałem też dość długo, ale odezwał się i zestawiło się sesje BGP :)
Chociaż mnie jeszcze nie ma na liście uczestników.

do góry

Przemysław Gubernat wrote:

>> a ktoś tam w ogóle procesuje nowe zgłoszenia?
>> bo jeśli sam Łukasz to chyba jest zajęty bo na swoje odp. nie dostałem :)
> Poczekaj... Odpisuje (z pewnym opóźnieniem)

:)

Prawda jest taka, że faktycznie zostałem sam tak naprawdę i prawda
jest też przy okazji taka, że mimo że projekt jest ważny, trafiają
się non-stop rzeczy ważniejsze, zatem kolejka wcale tak szybko nie
maleje. Mam jednak asa w rękawie i nie zawacham się go użyć! :)

Przy okazji trafiają się również problemy sprzętowe, problemy z
rzetelnością i wiele innych problemów. Ale projekt jest, trwa, niebawem
(może przed świętami?) powinno udać się dołączyć dwa ważne ASy. Ale
na razie cicho-sza i wracam za kurtynkę :)

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

Projekt dosc sensowny i dobrze, ze cieszy sie popularnoscia:)

Pocieszajace jest, ze admini tk-telekomu czytaja grupe. Na razie
czekamy na rozwoj eventow. Zobaczymy co czas przyniesie.

Z czystej ciekawosci, udalo sie komu przejac botneta intruzowi? Z
czysto teoretycznego punktu widzenia jest to wykonalne. Jak praktyka
pokazuje ...?

do góry

Matt Rutkowski wrote:

> Z czystej ciekawosci, udalo sie komu przejac botneta intruzowi? Z
> czysto teoretycznego punktu widzenia jest to wykonalne. Jak praktyka
> pokazuje ...?

Można, parę razy takie rzeczy były robione. Z drugiej strony to
zwykle dosyć krótkotrwałe 'włamy' i szybko właściciele zaczynają
się mścić. Inna sprawa, że przy bocie który ma parę milionów nodów
tworzą się grupy/sektory i trudno jest kontrolować jednym zestawem
danych uwierzytelniających całego botneta.

O numerach takich jak wysłanie SYN na port kontrolny bota który
nie zawiera odpowiedniego 'cookie', co kończy się DDoSem na adres
źródłowy już na pewno słyszeliście. Teraz trendy jest szyfrowanie
transmisji kontrolnej i odpowiednie whitelisty na różne istotne
zakresy adresów IP należące do ISP, tak aby botnet nie próbował
przypadkiem zaatakować 'czegoś dużego'.

Zresztą, częściej boty służą do dystrybucji nielegalnej zawartości niż
DDoSów, sharing jest zwykle bardziej opłacalny niż ataki (po parę
centów za bota).

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry