Gorące tematy: Wolni i Solidarni Smoleńsk Zostań BLOGEREM! RSS Kontakt
Uwaga! Wygląda na to, że Twoja przeglądarka nie obsługuje JavaScript. JavaScript jest wymagany do poprawnego działania serwisu!

Komentarze Marrrek

  • @adevo 20:11:20
    Masz oczywiście rację, ale HTTPS jest tylko zawartością paki wywrotki tak samo jak zwykłe HTTP czy ICMP! Nadal wiezie to ta sama ciężarówka w zielonym kolorze o nr rejestracyjnych WSI 12345, tutaj 199.189.249.113. ;) Tak więc cały czas można ją zatrzymać/spowolnić/podmienić. HTTPS uniemożliwia jedynie odczytanie zawartości wiezionej na pace. Sęk w tym, że atakującym lub przeszkadzającym zupełnie nie o to chodzi. Oni chcą spowolnić lub wykoleić całą ciężarówkę, a nie badać zawartość paki.
    Żeby nie dało się zidentyfikować ciężarówki to trzeba ją włożyć w tunel np IPSec, a to rozwiązanie nie jest tu możliwe do zastosowania.
    Polecam lekturę na temat warstw modelu OSI, bo widzę tu drobny problem ze zrozumieniem istoty działania sieci IP.
    Puściłem do Internetu bąka.
  • @adevo 19:30:07
    Witam z wieczora. :)
    Ja nie pisałem o ataku. To teoria Asadowa, który zresztą pisze bardzo rzeczowo i oczywiście może mieć rację. Sam przeprowadziłem test i potwierdzam masę pakietów TCP z flagą RESET z adresem źródłowym NE.

    Akamai zapewnia podawanie strony z serwera najbliższej lokalizacji wzgledem otwierajacego stronę www, czyli dynamicznie zmienia się źródłowy adres IP. Nie będzie on stały tak jak jest teraz (199.189.249.113), więc dużo trudniej będzie go blokować/limitować/spoofować.

    Cyt. "Dla aktualnej sytuacji - wiary w ataki DOS i spisek zaproponowałbym po prostu https
    Nginx to potrafi."
    Ale o co chodzi? Czegoś tu nie rozumiem. Co ma do tego wszystkiego biedny HTTPS? o_O
    Puściłem do Internetu bąka.
  • Adevo - z całym szacunkiem dla Twojej pracy
    Niestety Twoje testy umieszczone w tym artykule nic nie udowadniają, ponieważ routery odpowiadają na pakiety ICMP Echo-Request tylko wtedy gdy się bardzo nudzą. Pinga tak naprawdę można używać tylko do weryfikacji czy dana maszyna/router/serwer żyje, czy nie I NIC WIĘCEJ.

    Standardowo operatorzy stosują limitowanie (przycinanie) ruchu ICMP żeby zapobiec m.in. atakom DDoS przy pomocy tego protokołu. Do testów, które dają ciut lepszy obraz prawdziwej rzeczywistości należy użyć TCPTRACEROUTE, gdzie jako cel podasz porty TCP 80 lub 443.
    Przedstawione przez Ciebie tracert-y pokazują STANDARDOWE przebiegi dla pakietów z Polski do USA. Spróbuj zrobić ten sam test np. dla www.playboy.com a otrzymasz bardzo zbliżone wyniki.

    A już odkrycie, że firma traktuje inaczej ruch lokalny w Stanach a inaczej zewnętrzny, zasługuje na Nobla. ;) Każdy operator tak działa i jest to normalne.

    Nie chodzi też o żadne tworzenie legend, jak sam napisałeś. Założenie rate-limitów u większych operatorów w Polsce jest po prostu najszybszą i najtańszą metodą na "uciszenie" Nowego Ekranu w Polskim internecie.

    Na koniec żeby nie być tylko marudą ;) podpowiem rozwiązanie sytuacji dla NE. Powinniście przenieść stronę do Akamai. Wtedy jakikolwiek sabotaż będzie bardzo utrudniony. http://www.akamai.com/html/solutions/dynamic_site_accelerator.html
    Puściłem do Internetu bąka.
  • @Marrrek 15:27:41
    I to cała magia. ;)
    Tyle i tylko tyle. Proste i skuteczne.
    Działa - nie działa?
  • Kłopoty NE z ładowaniem stron
    Zaobserwowane już kłopoty dotyczą tylko łączących się z terenu Polski. Z innych miejsc działa dobrze, więc nie można obarczać firmy hostingowej Micfo w USA.
    Generalnie wyjścia do internetu z/do Polski to łącza będące własnością tak naprawdę kilku dużych firm jak Orange (d. Telekomunkacja Polska SA), Netia, Plus, T-Mobile (d. Era), Exatel, ATM, NASK. Spokojnie możemy założyć, że większość ruchu z/do Polski przechodzi przez ich sieci szkieletowe. Wystarczy więc, że takie np ABW w osobach kilku smutnych panów przychodzi do tych zaledwie kilku operatorów i mówi coś w tym stylu: "załóżcie na routerach brzegowych access-listy na adresy IP Nowego Ekranu z rate-limitem". Efekt? Cały ruch przechodzący przez takie routery jest przycinany (spowalniany) do założonego limitu, ale oczywiście tylko dla ruchu do/z adresów IP Nowego Ekranu, podczas gdy cała reszta działa normalnie. :)
    Działa - nie działa?
  • Stare i nowe
    Użyli starych materiałów wybuchowych jak trotyl i nitro ponieważ nowoczesne materiały można badać pod kątem źródła ich pochodzenia wg składu chemicznego. :)
    Trotyl i nitrogliceryna to obecnie prymitywne materiały wybuchowe.
  • FYM i dr. Jan Pająk
    Chyba od początku śledzę to co pisze FYM i podobało mi się jego dążenie do prawdy. Teraz jednak muszę stwierdzić, że cała sprawa przypomina mi przypadek dr. Jana Pająka (http://pl.wikipedia.org/wiki/Jan_Paj%C4%85k_%28ufolog%29).
    Wolę nie zakładać, że FYM po prostu jest ruskim agentem, a niestety cierpi na to samo co doktor Pająk. :)
    Science and Fiction