Comments 15
Визуализация атаки очень красивая
Не все с Windows тестируют на slow POST уязвимость ;) Пользуясь случаем, передаю привет, а так же напоминаю о slowhttptest, который работает на маке/линуксе/цугвине, и симулирует все slow-type атаки.
> The number of denied TCP and non-TCP packets per second exceeded the system limit.
Forefront, конечно, молодцом, но ведь такая защита элементарна в принципе. У меня то же делалость с помощью iptables, только не HTTP, а SIP, и для защиты не от DDOS, а от брутфорса (тогда в Asterisk ещё не было security-лога). Много подключений — пройдите в бан, не забанишь только спуфленые адреса, но с такими адресами дальше SYN-DDOS не пойдёшь.
По-моему, всё сказано в первом абзаце: не подготовился — не отобьёшься. Наверное, тут есть ковбои-большие-яйцы, админящие чудовищно важные сервисы с кучей девяток, но в большинстве случаев час простоя стоит дешевле, чем год работы по подготовке ко всем возможным атакам (и ко всем ли мы подготовимся?).
Forefront, конечно, молодцом, но ведь такая защита элементарна в принципе. У меня то же делалость с помощью iptables, только не HTTP, а SIP, и для защиты не от DDOS, а от брутфорса (тогда в Asterisk ещё не было security-лога). Много подключений — пройдите в бан, не забанишь только спуфленые адреса, но с такими адресами дальше SYN-DDOS не пойдёшь.
По-моему, всё сказано в первом абзаце: не подготовился — не отобьёшься. Наверное, тут есть ковбои-большие-яйцы, админящие чудовищно важные сервисы с кучей девяток, но в большинстве случаев час простоя стоит дешевле, чем год работы по подготовке ко всем возможным атакам (и ко всем ли мы подготовимся?).
> ZIP бомбы (42 кб архив в 8.5 петабайт)
Ради интереса попробовал распаковать архив 7-zip'ом — получил 16 архивов. Оно само не должно дальше распаковываться? Надо еще каждый руками распаковывать? Может тогда и вирусы пусть в исходниках распространяются, будем компилировать и лечить.
Ради интереса попробовал распаковать архив 7-zip'ом — получил 16 архивов. Оно само не должно дальше распаковываться? Надо еще каждый руками распаковывать? Может тогда и вирусы пусть в исходниках распространяются, будем компилировать и лечить.
собирается скайп-чат
Специалисты по сетевой безопасности общающиеся через скайп-чат… Как мило :-)
Т.е. что, защититься в принципе невозможно, раз нет ни одного устоявшего? Или все же все будет упираться в стоимость атаки и защититься от большинства все же реально? Или ситуация как везде — защита поможет против «любителя», а от целенаправленной атаки не спасет ничего?
UFO just landed and posted this here
Кто знает, думаю и встретим на практике тех, кто и устоит. Ведь это же и цель тестирования — проверить уязвим ли сервис к данному типу атаки или нет.
Про последние вопросы — blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks. Кратко говоря — да, все чаще всего зависит от сумм и от желания найти профессионального исполнителя. Но абсолютной безопасности никто никогда и не дает, оно и логично. Но на определенный уровень все же можно вывести свою защиту, проводя подобные тестирования.
Про последние вопросы — blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks. Кратко говоря — да, все чаще всего зависит от сумм и от желания найти профессионального исполнителя. Но абсолютной безопасности никто никогда и не дает, оно и логично. Но на определенный уровень все же можно вывести свою защиту, проводя подобные тестирования.
Sign up to leave a comment.
Атаки на отказ в обслуживании: практика тестирования