Компания Arbor Networks, совместно с Google поддерживающая интерактивную карту (http://www.digitalattackmap.com/) DDoS-атак, сообщила (https://www.arbornetworks.com/blog/asert/netscout-arbor-conf.../) о выявлении крупнейшей в истории DDoS-атаки, в результате которой на систему жертвы был направлен поток в 1.7 терабит в секунду. Незадолго до этого компания Akamai выявила DDoS-атаку на GitHub с потоком в 1.3 Тбит/сек. В обоих случаях трафик был сгенерирован с использованием в качестве усилителя группы общедоступных memcached-серверов, о вовлечении которых в DDoS-атаки сообщалось (https://www.opennet.me/opennews/art.shtml?num=48161) на прошлой неделе.
Если ранее применявшиеся усилители трафика на базе NTP обеспечивали усиление до 556 раз и позволяли организовать атаки до 650 Гбит/cек, то memcached c усилением в 10-50 тысяч раз открыл эру терабитных атак. Напомним, что метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).
Общедоступный memcached позволяет загрузить на сервер большой блок данных, а затем отправить по UDP поддельный GET-запрос от имени жертвы и эти данные будут отправлены на заданный IP (используется UDP-порт 11211). В сети выявлено (https://www.shodan.io/report/N7ttll7J) около 93 тысяч общедоступных серверов Memcached, многие из которых за неделю с момента применения Memcached для DDoS-атак были закрыты, но число подобных систем остаётся достаточным для совершения рекордных атак.URL: https://www.arbornetworks.com/blog/asert/netscout-arbor-conf.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48212
Спонсор атаки cloudflare?
Ага, как раз недавно nginx push у себя прикрутили
А кого дудосили?
бигкомерц лежал вчера
> бигкомерц лежал вчерахз кто это, но судя по названию оно периодически ложится само по себе. ддос тут ни при чём
Внезапно. Если кто-то маркетгид так дудосит (мир хроник Ад блока), то я не против, пусть дудосит xD
И ещё козено пукан, пожалуйста!
> не против, пусть дудосит xD
> И ещё козено пукан, пожалуйста!Done. https://roskomsvoboda.org/37128/
Или это дос гугля... я всё перепутал1
И если публичные NTP нельзя закрывать, то открытые Memcached это явный косяк админов.
Эй, они просто скачали дропплет!
Никому уже давно админы не нужны, подавай девопсов - оттуда и проблемы
Скорее наоборот - "админов" не добили, оттуда и проблемы. Собственно, почему и пошла замена админов на девопсов - у тех для того же результата требуется в сумме меньше мозгов, так как применяются в основном готовые решения. Умных людей как было мало так и есть, а спрос на администрирование всё больше - так что либо будут либо идиоты, либо автоматика и те, кто берёт готовые кубики.
И вот результат "готовых решений"
Мемкеш сейчас поднимается либо в виртуалке либо в контейнере. В обоих случаях он должен смотреть наружу, ну а UDP для него вообще самый естественный протокол - он и сам сохранение кэша не гарантирует, зачем сетевые гарантии? Так что дефолтная конфа вполне логична.Больше того, контейнер так просто в мир его не выпустит, это надо отдельно докручивать. Для виртуалок же "готовых решений", интегрирующих их в пределах инфраструктуры как-то не видать, во всяком случае массово. Так что там только админ может решить, кого куда пускать.
Дефолт - он должен быть хорошим для самых распространённых случаев, а не для ульев-быдлoхостингов (где мемкеша, собственно, и нет почти).
а все потому что тем же недоадминам девопсам не хватает мозгов одну строку в фаере прописать разрешающее udp только с конкретных ip, а остальным денай
Просто контейнер с фаером еще не выпустили.
Не согласен. Такая же мода сейчас на фуллстек разработчиков вместо отдельно взятых бэк- и фронт эндов.
но ведь фуллстек разработчики намного лучше понимаю как делать бекенд чтобы на фронтенде было легче и наоборот.
> но ведь фуллстек разработчики намного лучше понимаю как делать бекенд чтобы на фронтенде было легче и наоборот.Нет, они не понимают зачем нужен забор, но хотят его снести.
> Нет, они не понимают зачем нужен забор, но хотят его снести.Раскроете мысль?
По опыту - эти рукоопы по факту ни бэкенд толком тянуть не могут, ни фронтенд. А когда сталкиваются с тем чего не понимают имеют обыкновение либо выпилить либо какое-то рандомизатором сгенеренный костыль воткнуть.
Бред несёте
Проще и правильнее, когда сам и фронт и бэк куенды пишешь
Вы когда чай наливаете, идёте на газзавод, воду греть?
А бокал берёте каждый раз на керамическом?
Поэтому, геморройный рукооп, в данном случае Вы.
Ну да, хрясь-хрясь и в продакшн. А что в этих готовых решениях -- пофиг.
Ну вот готовое решение для мемкеша (пакет докера) наружу его порт не выпускает, чтобы выпустить - нужно дополнительно конфигурировать.
> Ну вот готовое решение для мемкеша (пакет докера) наружу его порт не
> выпускает, чтобы выпустить - нужно дополнительно конфигурировать.и как только горе-девопу становится нужно как-то добраться до содержимого контейнера - опа, еще одно готовое решение - присвинячить его сеть к физической.
И неважно где он его нашел - в доках или на stackoverflow (в тексте вопроса ;-)Про какие-то там фиреволы в этом месте не написано, про особенности udp сервисов и вовсе не. А поскольку он во-первых не админ, во-вторых некогда, херачим-херачим - получаем очередной replay host.
отдельно расскажите, что именно дает вам монструозный "контейнер" в случае мемкэша - единичного бинарника, запускаемого от отдельного непривиллегированного юзера, не обращающегося к fs, если специально не попросили. Помимо, конечно, прекрасной возможности переложить ответственность за безопасность и эффективность решений на никого (c)amarao-san
Вот вы напали на девопов. А посмотрите на классического админа глазами коммерческого директора: сидит в консоли, на форумах тусуется, книжечки непонятные почитывает. Результат его работы где? Всё и так работает. Выгнать такого админа, он лишний едок зарплатного фонда.
А девоп какие-то новые сервисы постоянно запускает. Премию ему. Его результат работы сразу видно.По каким результатам оценивать работу админа?
плохой, негодный из вас директор.
Годный сразу ответ находит - сколько-сколько у нас девяток, четыре, вроде? Если в следующем году будет пять - премию им, если три - уволить нахрен.(поэтому они под конец года аккуратненько что-нибудь не совсем уж критическое - роняют, чтобы через год с них не потребовали уже 99.9999 - хрен уже с ней, с премией. Компания, которую вы не только хорошо знаете, но и, скорее всего, хотели бы там работать. Потому что у других админов уже уволили.)
Осталось объяснить -коммерческому- директору, что такое пять девяток.
Это что-то далёкое и что сложно пощупать. Как можно платить зарплату за то, что работает? Случился фэйл, да, премии лишить. Это понятно. Но когда всё работает, за что платить?
Эй, вы там на Земле совсем деградировали? Кто это не знает, что такое пять девяток, и не может их пощупать?
Кажется, я только что прочитал отличный текст супротив страховщиков.
все точно как и говорите это как а давайте повесим на инженера электрика пожарную охранную и.д системы а потом удивляются а чейто самолеты то падают итанки не едут начинают искать виноватых а менеджера который все придумал уже и нет и не найдеш его зато сэкономили.А мож специально придумали девов и эту идеологию для того чтоб максимально усложнить развитие технологий у всех кроме америки как пример в нете полно видео о сборке всяких перпетум мобиле и электронных схем но они не работают спрашивается зачем это публиковать с какой целью?
Вам не кажется, что косяк тут - spoofing?
Женя, залогиньтесь.
ставь в дц на ix и спуфь скока влезит
КМК банальный rp filter на доступе сделал бы невозможными подобные вещи. Почему об этом не принято заботиться в сетевом админстве?
Эххх, когда же появится пункт в статье 274 УК РФ, чтобы хотя бы в России можно было отправить подметать улицы альтернативно-одарённых, которые выставляют уязвимые сервисы голой *опой в Интернет.
> Эххх, когда же появится пункт в статье 274 УК РФ, чтобы хотя
> бы в России можно было отправить подметать улицы альтернативно-одарённых, которые выставляют
> уязвимые сервисы голой *опой в Интернет.Мне кажется, от рунета там процентов 5 трафика.
Основные поставщики vps зарубежом.
Т.е. смузихлёбов с докером наперевес? ДА!Получится зачётный дворник, с метлой и на гироскутере.
Чисто для справки - в докере чтобы вывалить наружу порт надо специально пошевелиться, по умолчанию всё изолируется во внутренней сетке.
Недавно только копал - не заметил специальных шевелений. Как ставишь --net host сразу всё вываливается наружу.
То есть явно отломать контейнеризацию сети - это нормально? Ну ок, что тут сказать. Чего тогда -A -t INPUT -j ACCEPT не добавить заодно?
> тогда -A-I
Ну да, не суть - я, к счастью, последние лет семь от этого далёк.
> Ну да, не суть - я, к счастью, последние лет семь от
> этого далёк.но мнение имеешь, да.
>> Ну да, не суть - я, к счастью, последние лет семь от
>> этого далёк.
> но мнение имеешь, да.Т.е. -I -t INPUT -j ACCEPT - это ок?
Тебе сказать, что снег - белый, - будешь доказывать, что он желтым и черным часто бывает...
> Ну да, не суть - я, к счастью, последние лет семь от этого далёк.До того случайно не на Поздняках доводилось?..
> от этого далёк.Это не пропьёшь и не забудешь (проверено). айпитаблез уже года два не тюнил :)
Обычно бридж настраивается, 1 контейнер - 1 ip.
ССЗБ у кого такие контейнерные обычаиможет, учились по stackoverflow, а не по докам
> Получится зачётный дворник, с метлой и на гироскутере.А потом окажется что если скутер немного доработать другими смузихлебами, чуть покруче, железка сама сможет гонять с метлой. И эра дворников внезапно закончится.
> Эххх, когда же появится пункт в статье 274 УК РФ, чтобы хотя бы в России можно было отправить
> подметать улицы альтернативно-одарённых, которые выставляют уязвимые сервисы голой *опой в
> Интернет.Идея хорошая, но если дать развитие, то начнут расстреливать за перенос гриппа,
а то и сразу тех, у кого температура выше или ниже 36.6°C
Носитель свиного гриппа не палится.
> Носитель свиного гриппа не палится.Тройку не пополнят пока анализы не сдашь :)
> а то и сразу тех, у кого температура выше или ниже 36.6°CЗато довольно просто в реализации. Термодатчики и ИК камеры, выход на автоматическую туррель. Идилия, даже пулеметчик не нужен. Цифровизация во все поля.
> уязвимые сервисы голой *опой в Интернет.Тогда все виндовые хомяки сядут с своими вечными дырами в SMB. Ну будет 90-95% населения в тюрьме, и дальше - чего?
Наступит ОН, столь давно ожидаемый linux-сообществом!
> Наступит ОН, столь давно ожидаемый linux-сообществом!Проблема в том что наступит не только ОН, но и много чего еще. Хотя так, говоря на чистоту, я бы подумал чтобы в надзиратели записаться.
Добро пожаловать в эру терабитных атак.
девопс это конечно хорошо для конторы но как мне думается все просто хотят сэкономить деньги в другом случае надо держать мощного админа и не одного и тестера прогера обученных на взаимодействие при разработке чтоб умели между собой контачить по любым вопросам а тута как всегда а давайте сэкономим :сказал эффективный менеджер и придумал девопса
Потому что мощный админ имел свойство много загибать пальцы и много околачивать груши, желая офигенно мощную зарплату, при маргинальной пользе для команды.Менеджер посмотрел и прикинул: расход бабла не пропорционален результату. И понял что команде на самом деле нужен другой человек. Который или будет получать в три раза меньше, или будет уметь в три раза больше, а платить за околачивание груш - так и вообще моветон.
> Потому что мощный админ имел свойство много загибать пальцы и много околачивать
> груши, желая офигенно мощную зарплату, при маргинальной пользе для команды.
> Менеджер посмотрел и прикинул: расход бабла не пропорционален результату. И понял что
> команде на самом деле нужен другой человек. Который или будет получать
> в три раза меньше, или будет уметь в три раза больше,
> а платить за околачивание груш - так и вообще моветон.и по итогу появился целый класс айтишников, которые и как программисты и как админы полное гвно, зачастую с "мощной зп". но щеки они надувают и даже считают звание "девопс" чем-то хорошим:-) можешь даже по кол-ву минусиков к этому комменту посчитать их.
> звание "девопс" чем-то хорошимЕсть такое звание?
(что-то показалось что это в общем процессе так сказать работы о стиле менежемента...)
> Есть такое звание?Есть такая профессия. Нечто среднее между разработчиком, интегратором и админом, на стыке ранее существовавших профессий. Чуваки которые помогают команде развернуть результаты кодинга в продакшн, решая проблемы на стыке взаимодействий.
И это в том числе и стиль менеджмента и прочее - делать за 15 минут то над чем кадры типа тигара будут два дня сношаться. С тем же или даже более хреновым результатом.
> Чуваки которые помогают команде развернуть результаты
> кодинга в продакшн, решая проблемы на стыке взаимодействий.Спец Ыалисты по всучиванию нерабочего так сказать субстанции с рекламной пляской на тему "canIhelpYou?"? >:-)
> И это в том числе и стиль менеджмента и прочее - делать
> за 15 минут то над чем кадры типа тигара будут два
> дня сношаться. С тем же или даже более хреновым результатом.Ну это уже пошло соревнование админов...
(возможно со службой поддержки).(помогать могут и сами непосредственно разработчики-погромисты системы, что не делает их самих кем-то иным. Например Помощниками. По профессии...).
> Спец Ыалисты по всучиванию нерабочего так сказать субстанции с рекламной пляской на
> тему "canIhelpYou?"? >:-)Девопсы всучиванием занимаются ровно столько же сколько и админы. Они конечно сочетают в себе несколько ролей, но маркетинг в этот список не входит. Наверное возможны какие-то исключения в случае когда вся фирма состоит из 1-2 человек, но там всегда так.
> Ну это уже пошло соревнование админов...
> (возможно со службой поддержки).В каком-то роде они и служба поддержки слегка, но - для команды разработчиков.
> (помогать могут и сами непосредственно разработчики-погромисты системы, что не делает
> их самих кем-то иным. Например Помощниками. По профессии...).Ну вот как-то пришло к тому что находится кто-то кто становится "программирующим админом" и знает с одной стороны проект, с другой - среду в которой он работает. Что позволяет осмысленнее совмещать одно с другим. Такое тело намного полезнее команде разработчиков и намного лучше понимает их проблемы, которые и решает. За что и получает зарплату.
> и по итогу появился целый класс айтишников, которые и как программисты и
> как админы полное гвно, зачастую с "мощной зп".Они в целом для команды в разы полезнее таких как ты. Ты точно так же щеки надуваешь и такое же гвно как админ. Потому что не будет хороший админ хвастаться тем что у него вирье на хостинге кишит и обламывается лишь "потому что FreeBSD", лол. Это сразу показывает уровень админа. Так что любой смузихлеб заменит тебя на раз, будет меньше х-и пинать, да еще команде в смежных вопросах внедрения проекта подыграет, в отличие от макаки заучившей цать команд и думающей что на этом миссия выполнена и можно околачивать груши пока босс не видит.
> но щеки они надувают и даже считают звание "девопс" чем-то хорошим:-)
Это не они считают, это команды разработчиков и наниматели так решили. Я вообще не девопс, если что. Но объективные предпосылки к существованию этого класса существ вижу.
> можешь даже по кол-ву минусиков к этому комменту посчитать их.
Да я понимаю что у классических админов батхерт, выкинули как использованную туалетную бумагу. Что ж поделать, жизнь такая. Не надо командам бесполезных надутых гусей за много денег.
> открыл эру терабитных атак.Ее помнится открыл mirai и довольно давно уже.
Открытые редисы, мемкашеды и т.п. Явный намёк на квалификацию современных девопс.