„Google“ gins nedideles interneto svetaines nuo DDoS tipo atakų (Video)

Dziugu, kad i si zaidima isijungia vis didesnes kompanijos. OVH taip pat jau teikia DDoS ataku apsauga visiems savo serveriams, nors tenka primoketi simbolini mokesti. O taip tekdavo tikrai isleisti didziules sumas saugumui.

Kaip dažnai būna su Google, situacija turi 2 pusės: iš vienos, gerai, kad teikia tokias paslaugas. Iš kitos, priežastis teikt tokia paslaugą matyt yra dar vienas būdas sekt vartotojus.

, jau geriau mano vartotojus seks Google nei kažkokie Gemius, TradeDoubler ir panašūs, prikišantys web bugų, apkraunantys vartotojo kompą ir tinklą papildomomis užklausomis, keliantys riziką puslapio saugumui, ir duomenis naudojantys velniai žino kaip. Be to, Google proksis būtų efektyvi SEO priemonė, kur kas efektyvesnė nei GA. Juk jos neapeisi su adblockeriais, ir vartotojui nėra prasmės apeidinėti. O jei vartotojas toks paranoiškas - tegu papildomai perka proxy ir anonymizerių paslaugas, naudoja Tor ir Privoxy... Ir avis sveika, ir vilkas sotus: vartotojas nesusektas, portalo lankomumas pagerintas.

Paprastai DDoS atakos abjektas yra serveris , o ne svetainė. Užkišu serverį bereikalingomis užklausomis ir svetainė talpinama tame serveryje tampa nepasiekiama teisėtiems tos svetainės naudotojams. Jeigu maža svetainė talpinama didelės hostingo paslaugas teikiančiame kompanijos serveryje, tai tokiame serveryje bus ir mažų ir didelių svetainių... Kaip googlas teiks pagalbą svetainėms dėl DDoS atakų jei atakos objektas visas serveris...

Vienas dalykas, kai gali sekimą sustabdyt tiesiog įsirašius Disconnect.me ar Ghosterly. Visai kitas dalykas yra naudotis Tor. Turėtum tai suprast. EDIT: ir manau, kad ši problema nėra iš tų, kur kitos nuomonės turėjimas == neurologinis sutrikimas. Teigimas, kad kiekvienas žmogus nori tave nužudyt, yra paranoja. Noras nebūti nuolat sekamam, manau, yra visai pagrįstas reikalavimas, nevertas neurologinio sutrikimo vardo.

Reiktų skirti sąvokas "sekti" ir rinkti duomenis apie vartotojų elgseną. Jiems pofik ką tu darai, jiems įdomu, kas tau įdomu, kaip tu elgiesi ir kokią tau reklamą geriau pasiūlyti, kuri tau galėtų būt įdomi.

Ah, "tu nesi niekam įdomus" argumentas. Bet: 1. Problema yra ne tai, įdomus aš kam nors, ar ne. Problema yra nuolatinis duomenų rinkimas. 2. Kalbama ne tik apie mane. O apie visą minią žmonių, kurie nori išsaugoti savo teisę į privatumą.

Šakės, įsivaizduok mažą kaimą, kokie buvo dauguma iki 1900m, ten visi apie vienas kitas viską žinojo, vat ten tai buvo duomenų rinkimas... O čia... Čia tai menkniekis, bet va žmonėms kyla paranoja. Tai psichozė! Niekas neįrašinėja tavo pokalbių, koks žmogus nesėdi ir neskaito tavo laiškų ir pan. O šiaip tau nekyla paranoja, kad tavo kompas kiekvieną tavo atspausdintą raidę seka? Gi jisai ją įveda ir prisimena! Greit mesk kompą pro langą, ir telefoną mesk. O žmona tai iš vis beveik viską apie tave žino - geriau šok pro langą pats, nes esi nuolatos sekamas.

O be įžeidimų jau argumentuot nebeišeina?

neįmanoma technologiškai, tai daroma tik labai ypatingais atvejais, jau ir taip turint nemažai operatyvinės medžiagos. Dabar pagalvok: jei NSA ir taip žino, kas tu esi, kur gyveni, kur dirbi, kokią mašiną vairuoji ir kiek turi meilužių, kokiu reguliarumu lankaisi tabore ir ginklų parduotuvėje - koks skirtumas, jei atseks, kad tau patinka raudoni stringai? O vat reklamščikai duomenis būtent kaupia - pirmiausia, agreguoja pas save, antra - registruoja tavo kompe. Kokia prasmė trinti cookies, jei tavo profilis yra pas juos, susietas su tavo IP? Ir priešingai: nėra prasmės naudotis proksiais, jei viskas, ko reikia tave susekti, yra cookies. Teise į privatumą verta rimtai susirūpinti nebent disidentams ir nusikaltėlių aukoms, informatoriams, diplomatams, teisėsaugos darbuotojams. Bet kai isterikuoti ir įžiūrinėti sąmokslo teorijas pradedama masiškai - čia jau tikrai psichozė. Ir kame čia įžeidinėjimas? Paprasčiausia diagnozė - kaip sloga, joks ne intelekto koeficiento matas. Ir kaltint reikia ne konkrečias įmones, o politikus, kad nėra tinkamos teisinės bazės bei priežiūros institucijas, kurios į tokius atvejus žiūri pro pirštus. O kaip Google padės apsisaugoti nuo DDoS - elementaru. Atakuotojai nežino tikrojo serverio IP, tik Google proksio. Va, jei bus puolama ne svetainė, o hostingo firma - tai jau čia Google niekuo negali padėti. Ir šiaip nuo kada profesionali hostingo paslauga papuola į "nedidelių svetainių" kategoriją?

traceroute?

1. Ar gali žmogus reikalaut prigimtinės teisės (teisės į privatumą)? 2. Ar gali žmogus reikalaut prigimtinės teisės nepaisant pažiūrių? Nebūti už tai smerkiamas kaip marginalas? Neprivalėti pasiaiškinti už savo reikalavimą kitiems? 3. Diskusijos objekto ir pašnekovo atskyrimas: dažnai keliu įvairius klausimus ir kuriu opoziciją siekdamas detaliau išnagrinėti temą. Tai visiškai nereiškia, kad tokių pažiūrių laikausi gyvenime. Šiuo atveju, netgi priešingai - nesibodėdamas rašau blogą, turiu profilius. Apie mane viską galima rast internete, ir man dzin asmeniškai. Bet dažnai pasitaikanti bėda, kad oponentai nesugeba atskirti objekto nuo manęs kaip pašnekovo, ir atakuoja mane asmeniškai, o ne mano argumentą. Taip neturėtų būti.

Šiaip, su jumoru, bet absoliuti teisybė: Jei jus atakuoja DDOS, o pusantros paros yra priimtinas offline terminas, bet kokią DDOS galima atmušti sukonfiguravus DNS atakuojamo saito IP į vieną iš šių adresų: 23.62.96.17 23.37.19.36 Metodo bonusas - atakos autorius turės galimybę pasigrožėti savo namu per CNN

Čia nerandu argumentų ad hominem. Pats mėgstu įsikūnyti į spalvingą personažą, prieštaraujantį mano pažiūroms. Tad net jei atakuojamas personažas dėl pozos - man dzin. Ko tikrai nenorėčiau - kad personažas (šiuo atveju rwc) būtų susietas su mano realiu asmenim. Stengiuosi internetuose niekam nekenkti, tad čia tikrai aktualus privatumo klausimas.

O iš kur proxis žino galutinį adresatą, jei pagal paketų duomenis? Kažkaip, mano supratimu, http headerių parsinimas yra "neekonomiškas", firewall'ai ir routeriai tikrai http headerių nežiūri, tai viena iš spragų trojanų komunikacijai.

Yra HTTP headeris Host, pagal tai proksis ir žino, kur nukreipti užklausą. O pats proksis naršyklei neprivalo atskleisti, kas išties (IP ar kitas hostname) slepiasi po tuo Host. Tai yra normali praktika - ji naudojama visokiuose DMZ sprendimuose, IIS ir Apache, kai viename IP sukasi keli saitai, pigiuose hostingo serveriuose. O čia kažkas panašaus gaunasi kaip VPN. Kreipiesi "išoriniu" adresu (www.example.com) per "išorinį" IP, o užklausa nukreipiama "vidiniu" IP ir adresu. Apie "vidinę" infrastruktūrą nieko nežinai, ir teoriškai nieko negali sužinoti. Tik skirtumas šiuo atveju tas, kad "vidinis" serveris gali būti pasiekiamas atvirai. Kaip - tą Google paslauga ir bando užmaskuoti. Detaliau. Vienas IP gali aptarnauti krūvą hostname. Pasiunti į TCP/IP 80 portą užklausą "GET /" - iš kur serveriui žinoti, kuris saitas tave domina? Tarkim, yra albert.example.com ir beatrix.example.com tame serveryje ir clara.example.com VPN'e. Taigi, (tarkim, Apache) žiūri Host headerį ir atitinkamai užkrauna arba albert arba beatrix aplikaciją, arba "tarpininkauja" su clara. Išoriškai tai nesiskiria, tvarkingai padarius galima nebent iš vėlinimo atsekti, kad . Dėl to paprastai headeriai Host, kešavimo ir ETag dedami iškart po GET ar POST komandos, kad būtų pirmame pakete ir nereiktų kombinuoti kelių TCP "langų", norint juos perskaityti. Nėra taip optimalu, kaip visai jų neanalizuoti, bet overheadas gerokai mažesnis nei paties paketo retransliavimas.

Kažkaip man kirba abejonės dėl tokio spendimo ekonomiškumo taikant globaliai, t.y. kai ant vieno IP ne tuzinas domenų, o milijonai... Host elemento klastojimo pagrindu panaudojant tavo aprašytą IIS, apache ir kitų web serverių DNS logiką veikia daug trojanų. Trojanų problematika - šiuolaikinės apsaugos sistemos praktiškai neleidžia "nesankcionuotų" connectų ir tą be gali sunku apeiti plius apėjimai greitai uždaromi, o egzistuojančių "sankcionuotų" connectų "tekstinio" srauto praktiškai netikrina. Todėl trojanas gali santykinai nesunkiai modifikuoti išeinančių HTTP requestų tekstą, bet negali modifikuoti TCP paketų duomenų. O dėka web serverių DNS elgsenos to net nereikia. Pakeiti HTTP host į trojano serverį, užklausos parametrus pagal poreikį ir visas šitas gėris iškeliauja, pavyzdžiui, į delfi, delfi web serveris pareigingai ir daug nesigilindamas persiunčia visą tą reikalą trojano serveriui, sulaukia response'o ir vėlgi pareigingai grąžina atgal iš savo IP. Pridėjus paprastutę http requestų analizę trojane galima pasiekti, kad modifikuojami bus tik tokie requestai, kurių response'o nebuvimo ar neadekvatumo useris nepastebės, pvz., scriptų requestai, ikonų requestai plius ne kiekvienas requestas, o vienas iš tūkstančio. Paprasta iki negalėjimo, o "vaistų" nėra.

, kodėl neekonomiška? Pateiksiu du diametraliai priešingus ekonomiškus pavyzdžius. Tarkim, yra labai "sunkus" portalas su visokiais webservisais, pavežantis 100 užklausų (requests) į sekundę, apkraunant serverį 90%. Piko metu reikia atlaikyti 300 r/s. Statai 3 serverius ir load balancerį su "sticky session" - kas yra iš esmės proksis. Arba, turi 30 saitukų, kuriems piko metu reikia aptarnauti 3 serverių. Nelogiška statyti po serverį kiekvienai dešimčiai - statai 3 serverius, kuriuose suksis visi, ir load balancer proksį. Problema čia, iš esmės kaip ir CDN ar DDNS atveju, yra sticky session. Bet tai elementaru: prikabini cookie, grąžini kitokį DNS įrašą pagal vartotojo vardą ar pan.. Kalbi iš esmės apie spoofingą. O realiai pabandyk sukodinti šiuolaikinei naršyklei. Visokie CORS, same-origin policy - reikia nemenkai padirbėti, kad įtikintum naršyklę, jog, pavyzdžiui, Javascriptas iš vieno hosto galėtų imti ir analizuoti duomenis iš kito. Tas irgi spoofinama, bet iš esmės susiveda į vartotojo kompo spragas. P.S. dar nemačiau HTTP(S) proksio, kuris neanalizuotų ir neturėtų galimybės pridėti HTTP(S) header'ių. Vienintelis apribojimas (daugiau praktinis) - kad analizuojami/modifikuojami headeriai būtų pirmajame TCP pakete. Vėlgi, išjungiama - nes jei žinai HTTP protokolą, 2 enteriai reiškia headerių pabaigą, tad analizės overheadas minimalus. Teko statyti hardwarinį SSL proksį rimtai įstaigai. Kasdien po keliasdešimt tūkstančių, o algų išmokėjimo dienomis - ir po šimtus tūkstančių unikalių lankytojų. Nieko, paveža. Ar vieną hostname aptarnaus, ar dešimt - jokio skirtumo. Vartotojas gi nemato, kiek mašinų "po proksiu".

1. Tavo pavyzdžiai miniatiūriniai, aš bandau įsivaizduoti, kas nutiktų su latentiškumu/sprendimo kaina, kai kalba eitų apie balancer'į bent keliems milijonams saitų... Vartotojas gal ir nemato po tokiu proxiu, bet proxis kiekvienai užklausai turi viena ar kita forma: a) parsinti tekstą; b) apklausinėti DNS, t.y. sukuriamas latentiškumas. 2. Hardvariniai sprendimai brungu švelniai tariant, žodžiu, iš esmės mano klausimas toks - labai panašu, kad toks sprendimas google kainuos tikrai ne mažus pinigus, kokia nauda tą gali atpirkti?.. 3. Mano pavyzdys buvo ne apie naršyklių exploitinimą, o apie naršyklių connectų panaudojimą savo tikslams, nesusijusiems su naršyklių veikla, to paprastumą ir "nesugaunamumą"...

, (kai serveris mano, kad į jį kreipiasi naršyklė vartotojo nurodymu - o išties botas, kuriam responsas giliai dzin, svarbu, kad serveris perkaistų, užsiblokuoti, neaptarnautų tikrų užklausų). Dėl "nesugaunamumo" - nesutinku. Gūglas, turėdamas milžinišką signatūrų bazę, bendradarbiaudamas su antivirusų gamintojais, turėdamas savo heuristinius filtrus, užkirs daugumą atakų dar iki joms prasidedant. O paskui belieka laikinai blokuoti, vėlinti ar klaidinti "apsišvietusį" vartotojo IP - nes labai tikėtina, kad tas pats boto egzempliorius atakuoja iškart keletą taikinių ir iškart keletu atakos metodų. Na, tarkim įsivaizduoju tokį scenarijų: Gūglas aptinka įtartinas užklausas, ir toliau tam vartotojo IP rodo kokį nors statinį puslapį "iš masiškai tavęs eina įtartini paketai, tavo IP blokuojamas" arba "suvesk CAPTCHA, jei nesi botas". "Praleistų" IP skaičius niekad nebus labai didelis, lyginant su užblokuotų ar neįtartinų. Čia jau galima žaisti su HTTP headeriais - tavo IP įtartinas, vadinasi, praleisiu tik tuomet, jei headeriuose turi proksio sesijos cookie, ar panašiai. Retas botas cackinsis su visokiais sticky session, greičiau pakeis atakos kryptį ar metodą nei kas valandą atsinaujins, kad vėl apgautų proksį. O juk Gūglas pats susilaukia tūkstančių skirtingų, naujų atakų kiekvieną dieną, tai šita paslauga jam atsieina beveik dykai. Komercializuoti, manau, taip pat yra ne vienas kelias. Pasiūlyk skirtingus planus - nemokamą svetainėms iki vid. 1000 užklausų per parą, mokamą didesnėms. Dėk savo reklamą. Analizuok srautus ir svetainių populiarumą. Kombinuok proksinimą su crawlinimu ir kešavimu (jau vien tai atsipirktų - dalį resursų, dabar skiriamų bėgimui per nuorodas, galima skirti retransliuojamų puslapių indeksavimui - taip pagerinant indekso kokybę ir šviežumą, bei tiksliau apskaičiuojant reitingus).