Spoofing ip

Не путай ISP и хостинги

На уровне крупного ISP заниматься фильтрацией всего проходящего трафика никто не будет. По каждому изменению в BGP исправлять фильтры ? Нет.

Часть хостингов фильтруют чужие адреса в своих сетях, а часть нет.

Сколько их в процентном соотношении - ХЗ

Откройте секрет. Что же у вас такое, что вас вечно ломают и ддосят?

Насколько их много?

Дофейхуа, сотни тысяч их. У меня пров как-то попал на марсианский ддос, куда как больше недели пытались решить проблему и это на уровне прова, у себя я бы точно решить не смог.

Зачем весь фильтровать? Я думал(думаю) фильтрует маршрутизатор, к которому подключен клиент. Шлюз знает о всех ip, которые он должен пропускать через себя. Я так... думаю)

Дофейхуа, сотни тысяч их

Откуда такой вывод?

Я думаю этим должны занимать правоааахранитяльные органы, бороться с компьютерным вредительством

Описал же выше. На личном опыте.

Как вы с провайдером пришли к выводу, что адреса были фейковые? На основе чего?

Как вы с провайдером пришли к выводу, что адреса были фейковые? На основе чего?

На основании фэйк адресов, среди которых 8.8.8.8
Вот моя тема tcpdump - что за пакеты IP 8.8.8.8.53 > 1.1.1.1.80: 31654| 0/0/1 (36)

А пров пришел к такому выводу раньше, по причине что забили канал нафиг. Не только мне, а вообще вся сеть у него лежала.

Свой трафик от своих мелких клиентов - да, можно фильтровать и не дорого для хостинга.

А если клиент крупный и со своей AS, то фильтровать его трафик уже не просто и не дешево.

Да и возможность ассиметричного хождения трафика не упрощает эту задачу.

Спуфинг/ddos делают за деньги и оно будет существовать пока приносит доход.

На основании фэйк адресов, среди которых 8.8.8.8

8.8.8.8 гугловский DNS... Ко мне кстати тоже приходил флуд с IP microsoft, google, но я подумал(думаю) что это с их хостинга паразит флудит, даже написал им и отправил списочек адресов(ответа конечно не было)... Но процент ложных отправителей не ясен и как проверить тоже не ясно

Свой трафик от своих мелких клиентов

вот именно это я имел ввиду

А если клиент крупный и со своей AS,

А что досер может целую сеть купить для флуда? Я то думал(думаю), что основа досеров это ботнет(зараженные компы, сайты и т.д.)

А если клиент крупный и со своей AS

То он не нуждается в хостере-дяди, или для каждого такого хостера является околомелким. Иначе получается, что он просто за так дарит связанность своей AS этому хостеру. Охренеть бизнес-план.

Насколько велика вероятность того, что запрос на сервер пришел с фейкового(подмененого) IP?

Больше нуля :)

Насколько я знаю, маршрутизаторы у ISP блокируют такие пакеты(если SRC изменен), то есть если клиенту выдали 3 IP, то в пакете SRC должен быть именно эти адреса, а не другие.

НЯЗ, так никто не делает. Про изменения в BGP уже говорили, а там еще и асимметричная маршрутизация добавляет радости и света.

А в чем твой вопрос? Что именно ты хочешь защитить?

Если речь про http то нулевая.

Из реальных примеров у меня дома два прова, один из них пропускает чужие пакеты, второй нет. Так же знаю в Нидерландах не маленького прова который тоже пропускает чужие пакеты, обнаружил когда настраивал и ошибся в адресе. И это только пара мест которые я знаю, а представьте сколько таких по планете?

Никто не делает? Сколько я не пробовал на хостингах указывать левый src, пакет не доходил до адресата. Вопросов много) Например, у меня есть доверенные ip, которые пропускает мой фаервол. Так вот, неужели любой сопляк может подделать обратный адрес и пролезть внутрь? Если так, то ведь это дичь, это какая то дыра в tcp/ip

Ok, это уже хоть какая то инфа, что оказывается есть такие. Меня интересует также масштаб, вероятность. Вот например приходит мне 50000 пакетов с разных ип, как понять рассылает их один комп с фейковыми src или это ботнет.

Вот например приходит мне 50000 пакетов с разных ип, как понять рассылает их один комп с фейковыми src или это ботнет.

Никак. Но скорее ботнет.
ЗЫ Хотя всего 50000 пакетов, это и на один комп потянет. Но понять вы не сможете откуда оно, от слова никак.

Сколько я не пробовал на хостингах указывать левый src, пакет не доходил до адресата.

Вот на хостингах за этим чаще следят, и забанить могут. Другая инфраструктура.

Например, у меня есть доверенные ip, которые пропускает мой фаервол. Так вот, неужели любой сопляк может подделать обратный адрес

Да

и пролезть внутрь?

Нет. Ответ уйдет не ему. Спите спокойно.

Собственно это и есть марсианские пакеты, ими ddos и устраивают. Когда src один(не реального отправителя), ответ от вашего сервера улетает тому кого подставляем.

Нет. Ответ уйдет не ему. Спите спокойно.

Ответ не уйдет, да, тут я тупанул ) Но все равно пролезет, гад

Печально. Нужно срочно переделывать ip протокол, он никуда не годится...

Ответ не уйдет

Ну при правильных настройках не уйдет :) Но не у всех же как у вас :)

Печально. Нужно срочно переделывать ip протокол, он никуда не годится...

Причем тут протокол? Вам выше уже все описали и про BGP и асимметрию и т.д.

торые пропускает мой фаервол. Так вот, неужели любой сопляк может подделать обратный адрес

Это sync flood, посылается только первый пакет для установления соединения, сервер отправляет sync-ask на src ip из первого пакта и ждет ask ответ. Все лекарства сводяться к тому что у атакующего могут быть какие нибудь маркеры отличающие его трафик от обычного трафика, как например размер mss и т.д. еще временные интервалы, я так понимаю сложно побороть, говорят обращайтесь к профессионалам, у них мощные сервера, широкие каналы, за ваши деньги отфильтруют мусор. Но никто тебя sync flood ом не взломает цель только зафлудить канал, затрудить работу с твоим сервисом другим пользователям, т.к. sync-flood победили в SCTP правда я понятия не имею можно ли по этому транспортному протоколу что-то отдать клиентам твоего сервиса, лили пакеты будут отфильтрованы.

* Исправления

Sync-flood победили в SCTP правда я понятия не имею можно ли по этому транспортному протоколу что-то отдать клиентам твоего сервиса, или пакеты будут отфильтрованы.

Расскажите кто нибудь про SCTP, он пригоден обычным людям и публичным сервисам?

Идея, множество инстансов nginx и proxy_pass со всеми твиками ядра против ddos, или публичный клауд с тупыми сервисами которые только делают forward на твои сервера :)

Сколько я не пробовал на хостингах указывать левый src, пакет не доходил до адресата.

А как ты проверял, что он не доходит до адресата?

Например, у меня есть доверенные ip, которые пропускает мой фаервол. Так вот, неужели любой сопляк может подделать обратный адрес и пролезть внутрь?

Нет, не может. Т.к. ответные пакеты придут не тому, кто отправил тебе пакет, а реальному владельцу IP-адреса. Все нормально.

Если так, то ведь это дичь, это какая то дыра в tcp/ip

Нет

Вообще, можно посмотреть на TTL. Если это делает нуб, то его могли и не поменять.

Лол, зачем?

Вообще, можно посмотреть на TTL.

Кстати да. Хорошее замечание. Для ботнета будет различаться.

Почти ни кто из ISP не делают такую фильтрацию.

Не может, сопляку ответ от тебя не прийдёт же.

Почти ни кто из ISP не делают такую фильтрацию.

Делают. пчеловоды, трактористы не?

Я сужу по украинскому рынку средней(10+к абонов) руки провайдеров

Ну об этом я писал выше, что таких много. Но нельзя говорить «Почти ни кто из ISP». Кто-то делает, кто-то нет. Как фишка ляжет.
ЗЫ Сейчас проверил, мелкий пров из USA CA, не пропускает. Крупный at&t на стареньком adsl пропускает.

А как ты проверял, что он не доходит до адресата?

Tcpdump смотрел(отправлял на свой сервер)

Нет, не может

Я не говорил про ответные пакеты. Факт того, что пакет прошел через фаер с фейкового ип - дыра

Нет

Да

Я думаю этим должны занимать правоааахранитяльные органы

Если так, то ведь это дичь, это какая то дыра в tcp/ip

Факт того, что пакет прошел через фаер с фейкового ип - дыра

Да господи. А если атакующий в одном хопе от тебя и не может быть никакого шлюза и осмысленного «фаера», ты подумал о таком сценарии?

А если тебе рассказать, что можно записку подписать чужим именем, то ты тоже сначала возопишь про госрегулирование, потом потребуешь отмены выработки целлюлозы, а закончишь декларированием этого дырой в каллиграфии?

Выдыхай, система работает нормально, не курочь ее на неправильном уровне абстракции и не плоди «решений» уровня RFC 3514. Пусть правоохранительные органы лучше займутся твоими призывами к массовым беспорядкам.

Я не говорил про ответные пакеты. Факт того, что пакет прошел через фаер с фейкового ип - дыра

Дыра в ком? В FW? Возможно (хотя и не обязательно).

Да

Вот объясни мне, каким образом тот факт, что можно при формировании пакета (а процесс формирования пакета - это задача ОС, спецификация протокола это никак не затрагивает) можно подставить произвольные значения в те или иные поля заголовка, является дырой в протоколе?

атакующий в одном хопе от тебя и не может быть никакого шлюза и осмысленного «фаера», ты подумал о таком сценарии?

Глупый сценарий, в реальности такого не бывает

твоими призывами к массовым беспорядкам.

??