On Wed, 22 Oct 2003, MarcoH wrote:
Dan nog moet je IMHO het target richting /dev/null zetten, die is toch al down. Zodra je mogelijk gespoofde sources gaat blackholen heb je kans dat die script kiddies 2 vliegen in 1 klap slaan, en de target gaat onderuit en een onschuldig netwerk wordt aan alle kanten richting /dev/null gerouteerd en gaat dus ook plat.
Daarom zou je ook in andere netwerken moeten kunnen filteren op source EN destination. Alleen packets van <x> naar <y> droppen dus. FYI: De dozen bij ons die de laatste tijd gedossed zijn (IRC servers) zijn niet down geweest. Wel onbereikbaar via transit, omdat daar de attacks vandaan kwamen.
Ah, dat beantwoordt meteen een vraagje dat ik had, nl hoe nodig een ams-ix spoofing filtering awareness dag zou zijn. Ten minste, ik neem aan dat jij ook praat over de gespoofde attacks die Pim noemde ? Als die vooral via je transits binnenkwamen, zou je denken (laten we positief zijn) dat je [ams-ix] peers al behoorlijk voorzien zijn van anti-spoofing filters. Nu de rest van de wereld nog ... Boudewijn (overigens, ook zonder spoofing ,of met spoofing binnen dezelfde netwerk range, kunnen natuurlijk heel grote DDos'en gedaan worden. Ze zijn dan alleen makkelijker te traceren )
On Wed, 22 Oct 2003, Boudewijn Visser wrote:
Ah, dat beantwoordt meteen een vraagje dat ik had, nl hoe nodig een ams-ix spoofing filtering awareness dag zou zijn.
Ten minste, ik neem aan dat jij ook praat over de gespoofde attacks die Pim noemde ?
Zijn er andere dan?
Als die vooral via je transits binnenkwamen, zou je denken (laten we positief zijn) dat je [ams-ix] peers al behoorlijk voorzien zijn van anti-spoofing filters.
Ik vind dat een wat te gewaagde conclusie. Er zijn ook andere redenen te bedenken waarom het vooral via transit binnen kwam: 1) het grootste gedeelte van de wereld komt via transit bij ons binnen 2) misschien staan de meeste gehackte doosjes niet in dat deel van het Internet wat via AMS-IX zichtbaar is 3) misschien DoSsen de DoS-kiddies wel expres vanaf netwerken in verweggistan omdat het lastiger is om daar netwerk/abuse dudes te pakken te krijgen 4) misschien hebben de meeste ams-ix members inderdaad wel anti-spoof filters. Overigens kam er van de voorlaatste DoS ook wat verkeer via DE-CIX binnen, maar dat was niet zo heel erg veel. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
On Wed, 22 Oct 2003, Boudewijn Visser wrote:
Ah, dat beantwoordt meteen een vraagje dat ik had, nl hoe nodig een ams-ix spoofing filtering awareness dag zou zijn.
Ten minste, ik neem aan dat jij ook praat over de gespoofde attacks die Pim noemde ?
Zijn er andere dan?
Bij jullie ? Geen idee, daarom vroeg ik het :-) In het algemeen : natuurlijk , namelijk niet-gespoofde attacks. (Zombies die flooden vanaf hun eigen adres, of hun eigen /24 ofzo.)
Als die vooral via je transits binnenkwamen, zou je denken (laten we positief zijn) dat je [ams-ix] peers al behoorlijk voorzien zijn van anti-spoofing filters.
Ik vind dat een wat te gewaagde conclusie. Er zijn ook andere redenen te bedenken waarom het vooral via transit binnen kwam:
1) het grootste gedeelte van de wereld komt via transit bij ons binnen 2) misschien staan de meeste gehackte doosjes niet in dat deel van het Internet wat via AMS-IX zichtbaar is
De meeste dozen binnen AMS-IX connectees zou wel heel erg zijn, maar gegeven het aantal always-on klanten wat achter de AMS-IX zit moet daar toch ook een behoorlijk aantal gehackte dozen bij zitten.
3) misschien DoSsen de DoS-kiddies wel expres vanaf netwerken in verweggistan omdat het lastiger is om daar netwerk/abuse dudes te pakken te krijgen
Wie weet. Het suggereert wat meer clue dan ik zou verwachten, maar... Zijn de gebruikelijke zombies overigens te adressen, per netwerk of per regio ?
4) misschien hebben de meeste ams-ix members inderdaad wel anti-spoof filters.
Laten we 't hopen . Boudewijn
On Wed, 22 Oct 2003, Boudewijn Visser wrote:
Zijn er andere dan?
Bij jullie ? Geen idee, daarom vroeg ik het :-)
Alles is gespoofed.
In het algemeen : natuurlijk , namelijk niet-gespoofde attacks. (Zombies die flooden vanaf hun eigen adres, of hun eigen /24 ofzo.)
Bestaan die in theorie, of heb je recent nog last gehad van niet-gespoofde attacks?
3) misschien DoSsen de DoS-kiddies wel expres vanaf netwerken in verweggistan omdat het lastiger is om daar netwerk/abuse dudes te pakken te krijgen
Wie weet. Het suggereert wat meer clue dan ik zou verwachten, maar... Zijn de gebruikelijke zombies overigens te adressen, per netwerk of per regio ?
Geen idee.. Vast wel.
4) misschien hebben de meeste ams-ix members inderdaad wel anti-spoof filters.
Laten we 't hopen .
:) Geen filter-awareness-day dus. Damn, dus ook geen borrel. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
Hi!
In het algemeen : natuurlijk , namelijk niet-gespoofde attacks. (Zombies die flooden vanaf hun eigen adres, of hun eigen /24 ofzo.)
Bestaan die in theorie, of heb je recent nog last gehad van niet-gespoofde attacks?
Ja, onlangs DDoS richting Demon vanaf TUD, met 'echte' IPs. Aantal gehachte dozen... Bye, Raymond.
On Wed, Oct 22, 2003 at 07:59:00PM +0200, Raymond Dijkxhoorn wrote:
Bestaan die in theorie, of heb je recent nog last gehad van niet-gespoofde attacks?
Ja, onlangs DDoS richting Demon vanaf TUD, met 'echte' IPs. Aantal gehachte dozen...
Inderdaad. Je gelooft het niet, maar er bestaan nog niet-gespoofde attacks. Naast die ene die Raymond hier al noemde hadden we in de week ervoor nog een niet-gespoofde attack. -- Niels Raijer niels at nl.demon.net
On Wed, 22 Oct 2003, Boudewijn Visser wrote:
Zijn er andere dan?
Bij jullie ? Geen idee, daarom vroeg ik het :-)
Alles is gespoofed.
In het algemeen : natuurlijk , namelijk niet-gespoofde attacks. (Zombies die flooden vanaf hun eigen adres, of hun eigen /24 ofzo.)
Bestaan die in theorie, of heb je recent nog last gehad van niet-gespoofde attacks?
Een netwerkje waar ik wat mee doe ontving 10Mbit (over 10Mbit ethernet) van precies 1 geldig source adres, ergens een paar weken terug. Zero respons van de hoster uit wiens adresblok het kwam. Zucht. Later geblocked op de border van het netwerk (tnx Raymond ;-) ); Of iemand nog via alle tussenliggende upstreams heeft uitgezocht of het adres nou uiteindelijk wel of niet gespoofed was weet ik niet. DoS'en die ik in het verleden naar het ingress point getraceerd heb zagen er niet zo erg gespoofed uit. Vaak een varieerende source uit een /24, geldige adressen die ook op dat interface verwacht konden worden gezien de peer of klant die erachter zat. Overigens doen alle berichten over ontwikkelingen op dit gebied ook vermoeden dat spoofing niet zo erg nodig meer wordt, met tienduizenden besmette hosts overal verspreid. Who cares, als er een paar uitgehaald worden. Bij de eerstvolgende windows bug of virus mailing maak je weer een lading nieuwe :-( [..]
4) misschien hebben de meeste ams-ix members inderdaad wel anti-spoof filters.
Laten we 't hopen .
:)
Geen filter-awareness-day dus. Damn, dus ook geen borrel.
Ah. Nog een motief. Wie roept er hier geen filters te hebben, aware gemaakt te willen worden, en regelt zo de borrel ;-) Boudewijn
Hi!
Bestaan die in theorie, of heb je recent nog last gehad van niet-gespoofde attacks?
Een netwerkje waar ik wat mee doe ontving 10Mbit (over 10Mbit ethernet) van precies 1 geldig source adres, ergens een paar weken terug.
Zero respons van de hoster uit wiens adresblok het kwam. Zucht.
Er ging 90 mbit in, en de link waar het naartoe ging was maar 10, dat paste niet :)
Later geblocked op de border van het netwerk (tnx Raymond ;-) ); Of iemand nog via alle tussenliggende upstreams heeft uitgezocht of het adres nou uiteindelijk wel of niet gespoofed was weet ik niet.
Was niet gespoofed, en is via CERT netjes opgezocht. Gehackte doos, zoals verwacht. Is vrij snel opgelost. Kwam via SURF naar binnen (Transit aldaar) Bye, Raymond.
On Wed, 22 Oct 2003, Boudewijn Visser wrote:
Een netwerkje waar ik wat mee doe ontving 10Mbit (over 10Mbit ethernet) van precies 1 geldig source adres, ergens een paar weken terug.
Zero respons van de hoster uit wiens adresblok het kwam. Zucht.
Lekker...
DoS'en die ik in het verleden naar het ingress point getraceerd heb zagen er niet zo erg gespoofed uit. Vaak een varieerende source uit een /24, geldige adressen die ook op dat interface verwacht konden worden gezien de peer of klant die erachter zat.
Dat hebben wij in het verleden ook regelmatig gezien, maar het schijnt de laatste tijd mode te zijn om te spoofen.. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
participants (4)
-
alex@bit.nl -
bvisser-nlnog@xs4all.nl -
niels@nl.demon.net -
raymond@prolocation.net