Обиды, атаки, флэйм и DoS
Не используйте PGP Disk, если не хотите потерять данные. Это штука крайне глючная и ненадежная.
Я пользуюсь DriveCrypt Plus Pack для шифрования секретного диска, и TrueCrypt для остальных дисков. На системном диске не храню ничего кроме фильмов, ибо как уже сказал SATtva – DriveCrypt закрытое ПО, и доверия к его надежности нет никакого (хотя это несомненно лучше, чем вобще ничего).
SATtva
Кстати, исходники PGP Whole Disk вроде бы тоже закрыты? Или я ошибаюсь?
комментариев: 1515 документов: 44 редакций: 5786
Какое милое дите! И вы действительно верите в то, что можно создать траффик без отличительных характеристик? Нуну. Нет, ну можно конечно постараться... но при надобности фильтр всё равно сделают. Не бывает месячных DDos-атак. Странно, да?
комментариев: 1515 документов: 44 редакций: 5786
Когда-то давно Сократ сказал: "я знаю только то, что я ничего не знаю". Смысл этих слов в том, что чем глубже человек понимает свою тему, тем больше неясного для себя он видит, и тем большее число непонятных вещей обнаруживает, тем сложнее модель мира, представляемая в его глазах. Этот эффект есть и в ИБ: чем лучше пользователь начинает разбираться в технологиях анонимности, тем лучше он понимает их слабости и методы, которые позволят их обойти, благо ИБ – это комплексное понятие и оно отнюдь не сводится к одним компьютерным технологиям. В итоге люди, которые реально понимают всю суть технологии, сидят спокойно, тихо, ни на кого не лаят и не ищут дешёвой славы "великого хакера". Они предпочитают не рассказывать о том, как хорошо они защищены и как много они себе могут позволить. Тех, кому не хватило мозга/интуиции для осознания этих простых идей, рано или поздно вылавливают и отправляют в известное место. За tor и за свою анонимность не беспокойтесь – если вы действительно кому-то понадобитесь, вас найдут.
btw: Кстати, у меня есть подозрение что в конкретно том случае для отлова они тем или иным образом покрасили траффик – такое возможно?.
Один syn пакет отличается от другого syn пакета только ip адресом отправителя. Фильтрация syn флуда возможна только тогда, когда эти адреса не подделаны, а иначе возможны только полумеры вроде блокировки всего не русского трафика.
И это говорит человек, вероятно не делавший ни одной ddos атаки и не писавший ПО для их организации. Ну впрочем, давайте проверим. Сообщите мне адрес вашего сайта, и я обязуюсь продержать его в дауне месяц, и не днем меньше.
Про окраску трафика и тайминг атаки я знаю не меньше вашего. Более того, я не полагаюсь на один только tor. Ну и последнее – вы не того масштаба люди, чтобы даже найти человека за простой проксей.
Кроме того иногда проще подойти с другой стороны, вместо распутывания клубка соеденений, распутать клубок "личности". Социальные атаки в анонимизирующих сетях, анализ стилистики, сопостовление фактов. Что если уже сейчас можно назвать ваш ник, с большой долей вероятности фио и далее по списку?
Жду с нетерпением. Может быть сразу в гости приедете, раз вы уже вычислили мое фио и адрес?
комментариев: 1060 документов: 16 редакций: 32
Кстати, раз уж валили когда-то кого-то крупнее мастерхоста, это не должно остаться незамеченным широкой публике. Расскажите лучше о ваших былых достижениях, желательно со ссылками на информационные сообщения.
комментариев: 11558 документов: 1036 редакций: 4118
Ничего общего. Обслуживание проходило раньше.
комментариев: 11558 документов: 1036 редакций: 4118
А если у тебя виртуальный хостинг-сервер с ограничением на 64 одновременных подключения, свалить его кучкой ботов становится совсем нетрудно, и не надо даже бить себя в грудь, испытывая гордость за такое достижение.
Вот, учитесь образцам вежливого обращения, чтобы никому за вас не было стыдно!
2. Нельзя ли дать возможность зарегиситрированным пользователям входить "через другое место"? (будет лишнй повод зарегистрироваться)
Можно при регистрации записывать ip-адрес. А при атаке включать режим "вход только для зарегистрированных". Ну и рейтинги ввести для защиты от фальшвых регистраций.
комментариев: 11558 документов: 1036 редакций: 4118
Даже я этот сайт постоянно посещаю с разных IP (из разных сетей или с подключений с динамическим присвоением IP). Что уж говорить о таких "рейтинговых" участниках, как unknown, которые вообще только через Tor ходят. "Вы ещё идентифицируете пользователей по IP? Тогда мы идём к Вам!"
Вот, кстати, по теме: "Журнал Spiegel опубликовал прейскурант на услуги российских хакеров".
комментариев: 1515 документов: 44 редакций: 5786
Вот человек понимает, респект и всесторонняя уважуха: проще ломать самое слабое звено цепи!
Да, если бы не виртуальный хостинг, это делается моментально: как только засекается атака, включается режим "только для тех, кто привязал свою сессию к IP, будуи зарегистрированным".
Если же нет времени/квалификации/ломает, всё делается ещё проще: поднимается левый DNS и рассылается зарегистрированным юзерам. Если злоумышленник не находится среди них, сатй автоматом становится недоступен для DoS-атаки. Правда, после того как злоумышленник узнает новый DNS-адрес, он перенастроит сеть, но тогда можно снова подянть новый DNS и так по кругу... Если есть возможность быстро создавать новые DNS-имена и рассылать их зарегистрированным пользователям, то о новом DNS злоумышленник узнает только из поисковика, то есть уйдут, как мне кажется, сутки на индексирование или даже больше. В итоге получаем, что сайт будет функуционировать всё время на разных DNS и для всех, но они будут менять раз в сутки. Идею можно драбатывать – я долго не думал, но в целом, полагаю, ясно.
комментариев: 11558 документов: 1036 редакций: 4118
А если злоумышленник не дурак, он тоже имеет зарегистрированный аккаунт на сайте. Когда такая рассылка происходит, он направляет ботнет на атаку ещё и этого DNS-сервера (или прокси в другом варианте). Опять получаем "гонку вооружений". К тому же, многие ли обычные посетители знают, как задать определённый DNS для резолвинга имён? У большинства DHCP — они вообще этими вещами себе голову не морочат.
комментариев: 1515 документов: 44 редакций: 5786
Выберите себе ssh или найдите прокси, после чего ходите с фиксированного одного IP, который и можно задать в настройках FW.
Получив вышеозначенное письмо, они будут должны также выбрать себе фиксированный IP или прокси и сообщить его вам. На указанный IP они могут ходить и через tor...
Да, но только не в смысле полной авторизации, а в смысле одного из условий захода на сайт.
В случае DoS всё обстоит точно так же как и везде: идеального DoS не бывает, а значит его можно забанить: выделить сегменты сети, которые DoSят, и закрыться от них FW'ом. После надлежащего сбора статистики сайт будет закрыт только для бот-сети и открыт для всех остальных. Поскольку атакующий имеет ограниченные ресурсы и ограниченную бот-сеть (не может сделать бот-сетью любой набор компьютеров) всё это делается. Принцип схож с проблемой укрытия данных на диске: даже если вы застеганографируете их, и завуалируете под случайные данные, как это делает TrueCrypt, то в надлежащей лаборатории, изучив диск, скажут, что "в связи с тем, что обращение к данным участкам диска было довольно интенсивным, на случайный шум не похоже". Вопрос только в деньгах и надобности. (Ну да, можно симулировать одинаковую дисковую активность во всех его точках и т.д, сами можете за меня продолжить, потом слоамть эту схему, потом снова доработать и т.д. до бесконечности, чтобы получить общий принцип: одеальной защиты/нападения не бывает ;)) )