We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Ochrana před spoofing útokem


oles@ovh.net
02-27-2011, 07:56 AM
Vylepšili jsme ochranu před útoky na naši síť. Především spoofing útoky, které jsou vedeny s našimi IP adresami ze sítě Internet. Tento typ útoku je nyní blokován.

To by mělo vyřešit problém anti-hacku, který od pátku obdrželo zhruba 300 zákazníků. Všechny tyto servery jsou v současnosti v pořádku.

Omlouváme se za tento problém.

S pozdravem,

Octave

Více:
http://status.ovh.net/?do=details&id...45e7e7ddf41980


-------------------------------------------------- ---------------
Zákazník (hacker) objednal 15 serverů. Některé servery použil na spuštění útoku a scanů. Servery byli umístěny několikrát do "anti-hack"(rescue) módu kvůli ochraně naší sítě a jiných sítí na Internetu.

Zatím zde není nic nového. Toto se stává často.

Jeden server 94.23.4.70 byl použit na útok jiných hackerů na síti. Obdrželi jsme útoky na 94.23.4.70. V místě ochrany máme 24 hodin denně týmy, které tyto útoky blokovaly.

Stále žádná novinka.

Protože blokování bylo velmi účinné a hacker, který útočil na 94.23.4.70 nebyl příliš uspokojen s výsledkem útoku, spustil spoofing útok z Internetu s IP adresami OVH. To je "krásná" cesta jak se dostat přes bezpečné možnosti a limitaci trafficu v případě útoku. Protože jestliže je IP paket iniciován na Internetu (kdekoli), zdroj spoofingu 94.23.4.70 port 80 přijde na IP adresu OVH serveru.
Tento server (který nic nepožadoval) odpoví na 94.23.4.70 na portu 80: "I did not request anything, cancel the connection."
Spuštění tohoto masivního spoof útoku způsobilo útok ze sítě na OVH IP 94.23.4.70:80.
Tento útok (500 Mb/s) byl spuštěn v pátek 25.2.2011 kolem 20 hod.

OVH analyzuje veškerý traffic a detekuje útoky interní sítě, a zde právě nyní zabraňujeme tomuto typu útoku. Detekovali jsme, že méně jak 300 serverů v OVH spustilo útok na 94.23.4.70 a ty jsme převedli do rescue módu jako ochranu sítě.

Toto je jeden z případů falešné positivity a proto dnes navracíme všechny servery do normálního stavu.

Pro zabránění tohoto útoku jsme přidali ochranu příchozího trafficu na naši síť z Internetu. Nemůžeme tedy posílat pakety ze zdrojové IP.
To bylo nyní zablokováno a problém je vyřešen.

Omlouváme se za tento problém.

Současně nějaké informace na všech dedikovaných serverech na naší síti, připojené na naše switche, budou mít stejný typ ochrany. tj. nemohou přijímat traffic z IP, které jsou alokované na serveru (switch port). Na každém portu každého switche bude přístupový seznam s IP adresama které mohou posílat traffic. Nemůže nyní dojít k jejich použítí k spoofingu a podobným typům útoku na OVH síti či na Internetu.