bigdrum (bigdrum) wrote,
bigdrum
bigdrum

Убить Кенни, тьфу, Билла, тьфу, Интернет...



Тут недавно Авааз мне феерический спам прислал, как они Интернет спасали... Да, эта нива еще ждет своего возделывателя... М-м-м-м... Ну это мы отвлеклись, да. Так вот. Разгребая старые письма с целью освобождения места на диске, обнаружил ссылку на статью из Популярной Механики. Статья называется "Кто-то готовится убить интернет".

Нет, ну какие злодеи, а?

Ну и в статье ссылка на заметку "признанного эксперта в области сетевой безопасности" Брюса Шнайдера.

Давайте разберемся, чо уж. Прикольно ведь...

Over the past year or two, someone has been probing the defenses of the companies that run critical pieces of the Internet.

[...]

China and Russia would be my first guesses.


Ну конечно, где же еще искать врагов, ка не в России и в Китае, особенно если ты - американский "признанный эксперт"... Собственно говоря, на этой цитате чтение заметки Шнайдера уже можно закончить. Но мы продолжим.

Упарываться - так упарываться.

If you want to take a network off the Internet, the easiest way to do it is with a distributed denial-of-service attack (DDoS).

[...]

But largely it's a matter of bandwidth. If the attacker has a bigger fire hose of data than the defender has, the attacker wins.


Так вот. Господин Шнайдер пиздит. IP-сетевое оборудование построено таким образом, что балансирует нагрузку. Как бы вы не забивали канал мусором с миллиона IP-адресов, одиночный пакет пройдет по каналу - возможно, с чудовищной задержкой - и достигнет сервера. Забить канал так, чтобы ничего не прошло, в логике IP-сети практически невозможно. Что-то да пройдет обязательно.

Основные проблемы ДДос связаны с тем, что сервера обрабатывают запросы медленнее, чем они могут поступать. При ДДОС-атаке на сервере - не в канале, а на сервере - образуется огромная очередь запросов, которые очень медленно - нагрузка-то большая - обрабатываются. Если время ожидания в очереди больше TTL пакета, он дропается. Возникает отказ в обслуживании.

Но это не проблема канала, ребята, это проблема сервера.

Recently, some of the major companies that provide the basic infrastructure that makes the Internet work have seen an increase in DDoS attacks against them.

[...]

The attacks are also configured in such a way as to see what the company's total defenses are. There are many different ways to launch a DDoS attacks. The more attack vectors you employ simultaneously, the more different defenses the defender has to counter with.

[...]

This means that the companies have to use everything they've got to defend themselves.

[...]

They're forced to demonstrate their defense capabilities for the attacker.


Я сталкивался именно с таким вариантом атаки. На один адрес у меня собиралось более 130 тысяч атакующих IP в неделю. Следует понимать, что с каждого из адресов валил поток мусора, а не одиночный пакет падал. И многие адреса повторялись изо дня в день. Да, пришлось немного подумать головой. Но в конце концов, на пике атаки, мои сервера обслуживали клиентов так, как будто атаки не происходит вовсе.

Тут дело не в патронах, тут дело в принципе.

Verisign is the registrar for many popular top-level Internet domains, like .com and .net. If it goes down, there's a global blackout of all websites and e-mail addresses in the most common top-level domains.

Господин Шнайдер пиздит опять. Да, Веризон имеет существенное значение для сети. Это проверка подлинности ключей шифрования, поддержка доменов верхнего уровня и т.д. Но дело в том, что во-первых, есть понятие Secondary DNS, то есть при недоступности Primary DNS резолвер будет стучаться уже к Secondary DNS, а значит, попытка ДДОСить только Веризон бессмысленна в принципе. А во-вторых, все зоны от второго уровня поддерживаются собственными регистраторами, и значит, при атаке на Веризон у нас могут посыпаться - теоретически - только домены первого уровня. А домены второго и более высокого уровня, да при прописывании ручками форвардинга на конкретные зоны в особо клинических случаях - будут работать как часики.

И кстати, DNS backup через AXFR на уровне топ-левел провайдера - штука геморройная, но решаемая, и возможно - даже на уровне ящика коньяка. Абсолютно автоматическая. Да, будет тормозить, но - позволит работать.

Более того, если Веризон ляжет, подавляющее большинство пользователей сети этого просто не заметят. И происходит это благодаря записи типа NS в домене. Подавляющее число доменов в интернете обслуживаются неймсерверами, которые не имеют абсолютно никакого отношения к Веризону, понимаете?

One company told me about a variety of probing attacks in addition to the DDoS attacks: testing the ability to manipulate Internet addresses and routes, seeing how long it takes the defenders to respond, and so on.

Ребята. Я не знаю, что курит господин Шнайдер, но это фантастическая дурь. Маршрутизация в Интернет осуществляется по BGP-протоколу, каждая автономная система (это термин из IP-маршрутизации) имеет несколько маршрутов, и BGP, в зависимости от настройки, сам, абсолютно самостоятельно и автоматически, балансирует нагрузку в каналах (маршрутах) автономной системы. Более того, при прохождении через транзитные сервера пакета, следующего по маршруту, очень часто большая часть этих транзитных серверов не видна вообще, ибо IP-траффик инкапсулируется в не-IP-протоколы, и никакой трейсрут вам тут уже не поможет. Грубо говоря, если у вас есть настроенный Cisco VPN, и весь ваш трафик заворачивается в VPN-тоннель, и вы не имеете доступа к реальной инфраструктуре сети, никакими трейсрутами и прочим вы не узнаете, как гуляют ваши пакеты. Потому что в одной точке ваш трафик будет помещен в виртуальную трубу, а в другой - вытащен из нее. А труба - она труба и есть, она структуры не имеет, понимаете? Труба может несколько раз вокруг шарика навернуть влегкую.

Таким образом, нарисованная Шнайдером драматическая картина чуть ли не ручного поединка админов с хакерами - это тупой бред больной фантазии, сильно возбужденной приемом не совсем легальных препаратов.

В большинстве случаев во время атаки админ просто пьет кофе. Если атака удалась - он пьет кофе и думает. Потому что если атака произошла и удалась - по клавишам стучать поздно, а вот голову включить - в самый раз...

It doesn't seem like something an activist, criminal, or researcher would do. Profiling core infrastructure is common practice in espionage and intelligence gathering. It's not normal for companies to do that. Furthermore, the size and scale of these probes—and especially their persistence—points to state actors. It feels like a nation's military cybercommand trying to calibrate its weaponry in the case of cyberwar.

Блядь. Сделайте меня это развидеть. Ну пожалуйста... Профилирование структуры сети...

Сеть нехуй профилировать. Любое физическое оборудование устанавливается в соответствии с определенными хозяйственными договорами, оплачивается через банки и требует сертификации. На любой конференции, поговорив с админами, вы узнаете, как, где, что стоит и почему работает. Просто потолкавшись. Физически сеть устроена очень просто.

Логическая структура сети, в общем, к физической структуре имеет очень слабое отношение. Возьмем банальный пример прозрачного прокси-маршрутизатора IP. В сети это один IP-адрес, как правило, на толстом канале. Забить такой канал нереально. А за этим IP-прокси находится может быть один, а может быть одна тысяча серверов. А может быть, десять тысяч. И все они доступны через один адрес, и выглядят для вас, как один сервер.

Главная проблема IP заключается не в железе, а в математике. Каждый IP-стек допускает открытие конечного количества "портов". Это значит, что даже самый мощный сервер не сможет обработать больше некоторого количества одновременных соединений. Потому сервера объединяются в пулы. Стоит где-то десять тысяч серверов за прозрачным прокси. Приходит запрос. Прокси пуляет его на свободный сервер. Приходит миллион запросов. Прокси распуливает их на десять тысяч серверов, на каждом сервере образуется очередь из ста запросов. Ребята, сто запросов - это абсолютно несерьезная нагрузка даже для сервера из обычного бытового железа, понимаете?

А выглядит все это для конечного потребителя - как один сервер. Вот и профилируй до посинения...

What can we do about this? Nothing, really. We don't know where the attacks come from. The data I see suggests China, an assessment shared by the people I spoke with. On the other hand, it's possible to disguise the country of origin for these sorts of attacks.

Ну да, может Путин, может нет... Ну может, Китай, а может, мы не знаем...

Допустим, мне требуется осуществить ДДОС-атаку с миллиона адресов. Я что, буду покупать миллион компьютеров, оформлять для них миллион подключений, да? Нет, конечно. Гораздо проще написать троян, внедрить его на компьютеры пользователей, и когда надо - активировать. То есть - ДДОС-атаки сами по своей природе таковы, что происходят с машинок, никакого отношения к злоумышленникам не имеющих. Там просто троянец сидит.

И да, Индия, Китай, Азиатско-Тихоокеанский регион, Бразилия, а также великий и ужасный orange.fr - это было и в моем списке посетителей.

Ну и что?

Если господин Шнайдер боится, что Интернет убьют, то он должен сделать следующий логический шаг. Который заключается в том, что надо принимать меры. А меры нужно принимать очень простого плана. Нужно дать пизды Билли Гейтсу, ребята. Потому что это он создал систему, число вирусов для которой приближается к числу строк исходного кода самой системы. Он предоставил злоумышленникам возможность легко, путем заражения, получать в свое распоряжение "тачки" ни в чем не повинных гражданских.

Ну то есть, чтобы не убить Интернет, не нужно разводить флейм и размазывать сопли. Достаточно тупо убить Билла.

Понимаете?

Tags: Се ля ви..., Тонкое жизненное, Чотаржу
Subscribe

promo bigdrum february 17, 2019 22:31 6
Buy for 10 tokens
На мейл-ру пролетела очередная "желтая" новость, коих не счесть. Касательно контактов с инопланетянами. В силу чего, втыкая по причине небольшой эмоциональной раздолбанности, я вот тут вдруг решил взять и откомментировать это дело. Да, ребята! МЫ БУДЕМ ГОВОРИТЬ ОБ НЛО, ПРИШЕЛЬЦАХ…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 9 comments