Security Professionals - ipfw add deny all from eindgebruikers to any

Geo locatie van IP

05-09-2020, 21:39 door Anoniem, 43 reacties
Bij BGP details staat vaak "Country of Origin". Als de "country of origin" van ip A.B.C.D. "the Netherlands" is, kan ik er dan veilig vanuit gaan dat het IP ergens in Nederland gehost is?
Reacties (43)
06-09-2020, 09:33 door Anoniem
Ja
06-09-2020, 09:48 door Tintin and Milou - Bijgewerkt: 06-09-2020, 09:48
Hoe weet je dat deze informatie correct is? Ik zou er niet zomaar vanuit gaan.

Hoe betrouwbaar moet je informatie zijn? Maar hangt er vanaf waar je dit voor wilt gebruiken?

Ik gebruik bijvoorbeeld zelf publieke databases voor geo locaties. Zo laat ik op mijn pfsense/opnsense firewalls alleen maar bepaalde diensten toe vanaf NL locaties of soms europa locaties.
Mocht er een fout IP tussen staan, dan is er geen direct security issue, de dienst heeft daarna nog zijn eigen authenticatie voorzieningen.

Daar kun je natuurlijk exact dezelfde vraag over stellen over deze lijsten, maar ik heb meer vertrouwen in dit soort bedrijven, dan de BGP informatie.
06-09-2020, 10:53 door Anoniem
Nee, dat weet je niet meer sinds de ip adressen 'op' zijn en er ranges naar andere werelddelen worden verkocht.
06-09-2020, 11:02 door Anoniem
Door Tintin and Milou:
Ik gebruik bijvoorbeeld zelf publieke databases voor geo locaties. Zo laat ik op mijn pfsense/opnsense firewalls alleen maar bepaalde diensten toe vanaf NL locaties of soms europa locaties.
Mocht er een fout IP tussen staan, dan is er geen direct security issue, de dienst heeft daarna nog zijn eigen authenticatie voorzieningen.
Maar het heeft ook weinig of geen zin. Inderdaad zoals de TS aangeeft staat er heel vaak NL en dat komt omdat we hier veel grote datacenters hebben waar iedereen capaciteit kan huren, ook Russen die daar hun bulletproof VPS hosting doen met alle hackers die jouw systemen proberen aan te vallen.
En iedereen kan tegenwoordig gewoon een abonnementje nemen bij een van de vele "VPN services" die waar je ook op de wereld zit doen alsof je in NL of een ander land zit.
M.a.w. het is een leuk experiment om dat werkend te maken en in werking te zien, maar het brengt je eigenlijk niks.
06-09-2020, 11:48 door Tintin and Milou
Door Anoniem:
Door Tintin and Milou:
Ik gebruik bijvoorbeeld zelf publieke databases voor geo locaties. Zo laat ik op mijn pfsense/opnsense firewalls alleen maar bepaalde diensten toe vanaf NL locaties of soms europa locaties.
Mocht er een fout IP tussen staan, dan is er geen direct security issue, de dienst heeft daarna nog zijn eigen authenticatie voorzieningen.
Maar het heeft ook weinig of geen zin. Inderdaad zoals de TS aangeeft staat er heel vaak NL en dat komt omdat we hier veel grote datacenters hebben waar iedereen capaciteit kan huren, ook Russen die daar hun bulletproof VPS hosting doen met alle hackers die jouw systemen proberen aan te vallen.
En iedereen kan tegenwoordig gewoon een abonnementje nemen bij een van de vele "VPN services" die waar je ook op de wereld zit doen alsof je in NL of een ander land zit.
M.a.w. het is een leuk experiment om dat werkend te maken en in werking te zien, maar het brengt je eigenlijk niks.
Voor een gedeelte mee eens.

Mijn applicatie heeft nog gewoon zijn eigen authenticatie en is gewoon secure en uptodate, dus is eigenlijk al veilig om direct op het Internet aan te bieden.
Echter ik voorkom wel een hoop ruis van scriptkiddies die gewoon port scans uitvoeren. Heb je met professionals te maken, of iemand die je echt wil targenten, is het al weer een stuk lastiger.

En je kunt ook voor bepaalde diensten, VPN providers blacklisten.

Het moet zeker niet je enige manier van veiligheid zijn, maar het is wel een extra layer van beveiliging. Maar je moet er zeker niet blind op vertrouwen.
Maar het is altijd beter dan bepaalde diensten volledig op het Internet aan te bieden.
06-09-2020, 12:42 door Anoniem
Het mooiste is dat je per AS zou zien wat de verhouding is tussen betrouwbare IP's en IP's, die op de een of andere manier worden misbruikt of waar misbruik nogal lang getolereerd wordt of waar nogal wat wordt neergehaald en/of gesinkholed.
De AS met persistente malware, langer online dan 1000 uur, zou direct neergehaald moeten worden, maar dit is vaak buiten het bereik van de controlerende autoriteiten. Er wordt ook flink misbruik gemaakt van de manier waarop Internet destijds is opgezet.

Die complete overzichten per ASN zie je steeds minder. Deze instantie zou er wat aan kunnen doen: https://www.abuse.net/, maar ja met tandeloze waakhonden is het kwaad kersen eten.

Een fijne bron om iets op te zoeken: https://www.robtex.com/dns-lookup/xxx.xxx.xxx.xxx#blacklists
of hier: http://bot.myip.ms/

Het is niet meer onder een noemer te checken, zo je moet gebruik maken van diverse resources.

Sites die overzichten geven van fraude, spam, scam en dergelijke komen nogal gemakkelijk onder aanvallen te liggen van cybercriminele groepen en kunnen dan niet meer openbaar rapporteren en men kan ze alleen bereiken via een persoonlijk account. Zo ver zijn we al met de handhaving "afgezakt" en zo heeft corruptie ten dienste van .... het al voor elkaar.

luntrus
06-09-2020, 13:12 door Anoniem
Door Anoniem: Bij BGP details staat vaak "Country of Origin". Als de "country of origin" van ip A.B.C.D. "the Netherlands" is, kan ik er dan veilig vanuit gaan dat het IP ergens in Nederland gehost is?

Het is inderdaad zo dat IP ranges/segmenten verdeeld zijn over de verschillende landen.

Echter, het is niet altijd waar dat wanneer je data denkt op te halen van een IP adres, dat deze ook van dat adres afkomstig is. Dit is sterk afhankelijk van caching servers die over het internet verdeeld zijn. Zo worden bijvoorbeeld video-streams van live-uitzendingen gecached en kunnen de UDP pakketjes door een lokale caching-server gedistribueerd worden. Dit wordt gedaan om het duplicaat dataverkeer enigszins te beperken.
06-09-2020, 15:57 door Anoniem
Door Anoniem: Bij BGP details staat vaak "Country of Origin". Als de "country of origin" van ip A.B.C.D. "the Netherlands" is, kan ik er dan veilig vanuit gaan dat het IP ergens in Nederland gehost is?

Gemiddeld vrij redelijk.
Maar ik zou het niet als keiharde garantie beschouwen.

Niet altijd wordt de RIPE database perfect bijgehouden door de eigenaren van adresreeksen en AS'en.
En waar er nog een zekere noodzaak/technisch voordeel is in het goed administreren van de gegevens die voor de *routing* nodig zijn (prefix lengtes, origin AS), is metadata zoals welk land een blok uithangt feitelijk nergens relevant voor.

Een operator die door Europa actief is kan een reeksje adressen met gemak hergebruiken in een ander datacenter (of dekkingsgebied, bij een consumenten dienst) zonder dat er qua routing iets verandert - en dan hangt het heel erg van die operator af of ze dat soort RIPE metadata verder ook netjes bijhouden .

Het is niet voor niks dat je een business model op GeoIP mapping kunt bouwen (Maxmind) - als het perfect vanzelf uit de RIR data kwam was die business er niet ...
06-09-2020, 16:12 door Anoniem
Voor dit soort dingen kun je RobTex gebruiken.
https://www.robtex.com
06-09-2020, 16:12 door Anoniem
L.S.

Dus net als met alles tegewoordig een kwestie van "trust" en dat item ligt nogal goedkoop vandaag de dag.
Meestal garantie tot de deur en het is een voortdurend veranderend landschap dat ook nog eens.

Vanaf dit AS zojuist nog een forum content spammer naar de digitale duisternis geholpen (via een totale verbanning).
Je zou niet denken dat ie hier vandaan kwam toch?: https://ipinfo.io/AS42772#details

Hoe veel van dat soort "gassies" zijn scriptkiddies, hoeveel zijn cybercrimineel en hoeveel opereren onder de paraplu van een of andere overheidsdienst? Je krijgt er maar moeilijk duidelijk zicht op.

Vul de deny lists en actualiseer de allow lists (vroeger aangeduid als blacklists en whitelists, maar die terminologie is verbannen in het kader van de "war on hate speech").

Wat een wereld komen we toch in te leven, folks, het is bar zeiden we vroeger.
En het gaat maar door in die kwade richting.

luntrus
06-09-2020, 18:28 door Anoniem
Door Anoniem: Het mooiste is dat je per AS zou zien wat de verhouding is tussen betrouwbare IP's en IP's, die op de een of andere manier worden misbruikt of waar misbruik nogal lang getolereerd wordt of waar nogal wat wordt neergehaald en/of gesinkholed.

Ja zo heb ik bijvoorbeeld een range van DigitalOcean geblocked omdat dat bedrijf "researchers" een onderdak biedt die het hele internet portscannen en die niet reageren op verzoeken om een netwerk daar van uit te sluiten, en DigitalOcean zelf reageert ook niet op verzoeken om die klant eraf te trappen.
Maar eigenlijk is dat natuurlijk gewoon een VPS aanbieder waar vast ook wel legitieme gebruikers zitten.
Iedereen heeft daar vast weer andere ideeen over dus een stempel van "betrouwbaar" is lastig te geven.
06-09-2020, 19:24 door Anoniem
Doe een check op IPs en verken het landschap.
"The truth is out there somewhere" (uitspraak genomen van de X-files series).

Goede bron om te checken en Deutsch gruendlich: https://www.anti-attacks.com/daten-abfrage/rir-abfrage/abfrage_rir_185.132.53.0-24 willekeurig genomen voorbeeld
Vergeleken met info hier: https://otx.alienvault.com/indicator/ip/185.132.53.11
Van dit Ip wordt bashlite, gafgyt en elf malware gelanceerd,
waarvan akte,

Enjoy, my good friends, enjoy,

luntrus
07-09-2020, 08:52 door Anoniem
Door Anoniem: Ja
Nee. Het bedrijf dat de IP reeks op naam heeft is in NL gevestigd (kan daarnaast ook nog in het buitenland gevestigd zijn). De server/apparatuur waar het IP aan hangt kan best in het buitenland staan.
07-09-2020, 10:04 door Anoniem
Door Tintin and Milou: Ik gebruik bijvoorbeeld zelf publieke databases voor geo locaties.]
Waar halen deze databases hun info vandaan? Ik kom bij dergelijke databases geregeld bij verschillende landen uit.
07-09-2020, 10:40 door Anoniem
Door Anoniem:
Door Anoniem: Ja
Nee. Het bedrijf dat de IP reeks op naam heeft is in NL gevestigd (kan daarnaast ook nog in het buitenland gevestigd zijn). De server/apparatuur waar het IP aan hangt kan best in het buitenland staan.

Dit betwijfel ik, kan iemand daar uitsluitsel over geven??

Neem het eerder genoemde IP
https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=185.132.53.11&source=RIPE
In RIPE zie de country: "DE"
In RIPE zie je dat dit IP geregistreerd is door een bedrijf uit Italie (Private-Hosting di Cipriano Oscar).

Interpreteer ik de RIPE data zo correct? En btw, waar haalt RIPE het vandaan dat de country "DE" is? Uit bgp informatie?
07-09-2020, 10:54 door Anoniem
Bij BGP details staat vaak "Country of Origin". Als de "country of origin" van ip A.B.C.D. "the Netherlands" is, kan ik er dan veilig vanuit gaan dat het IP ergens in Nederland gehost is?

In principe wel. Maar er kan sprake zijn van administratieve fouten, waardoor verkeerd land wordt weergegeven. Of er kan sprake zijn van een TOR exit node, proxy, vpn node, etc waarbij je niet het uiteindelijke IP van de gebruiker ziet.

100% zekerheid is er niet, maar het zal meestal kloppen.

En btw, waar haalt RIPE het vandaan dat de country "DE" is?

Staat in hun database, of die van de andere registries waar ze mee communiceren. Daarnaast kan je aan IP country blocks afleiden in welk land een bepaald IP zit. Zie https://www.countryipblocks.net/
07-09-2020, 11:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ja
Nee. Het bedrijf dat de IP reeks op naam heeft is in NL gevestigd (kan daarnaast ook nog in het buitenland gevestigd zijn). De server/apparatuur waar het IP aan hangt kan best in het buitenland staan.

Dit betwijfel ik, kan iemand daar uitsluitsel over geven??

Neem het eerder genoemde IP
https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=185.132.53.11&source=RIPE
In RIPE zie de country: "DE"
In RIPE zie je dat dit IP geregistreerd is door een bedrijf uit Italie (Private-Hosting di Cipriano Oscar).

Interpreteer ik de RIPE data zo correct? En btw, waar haalt RIPE het vandaan dat de country "DE" is? Uit bgp informatie?

Het is een server die zich fysiek in Duitsland bevindt (bij een bedrijf genaamd myLoc, een webhoster waarschijnlijk) en er is een Italiaans bedrijfje Private-Hosting di Cipriano Oscar wat daar een paar servers huurt en waarschijnlijk de Italiaanse webhosting markt mee bedient. De websites die er op draaien die zullen dus waarschijnlijk een binding met Italie hebben (hoeft ook niet, jij kunt daar ook klant worden!) en de servers staan niet in Italie.

Dit geeft al aan hoe nutteloos het is om te filteren op landcodes. Het zegt gewoon te weinig. Waar de server staat interesseert niemand, men wil weten van wie de site is. En dat kun je hier niet aan zien.
07-09-2020, 12:20 door Anoniem
Beste topicstarter en verdere reagerenden in deze draad,

Je hebt dus meer aan de WHOIS gegevens en die zijn niet altijd te achterhalen en kunnen afgeschermd zijn door bijvoorbeeld een anonimiseringsdienst op de Seychellen in het geval van een of ander "scam"-IP-adres.
Tegenwoordig hoeven WHOIS gegevens ook niet meer publiekelijk toegankelijk te zijn.

Geo locatie is dus een beperkt begrip. Schakel ik JavaScript uit, dan kan mijn exacte lokatie ergens in de Betuwe liggen (accesspoint van mijn ASN provider), of geef ik toch nog mijn ware exacte geo-locatie vrij aan de hand van een algoritme op mijn recente locale zoekresultaten bij o.a. Google, facebook, Whatsapp, Amazon, bol dot com en noem maar op.

De truukendoos is ten behoeve van verschillende veiligheidsdiensten en instanties wat groter en er is veel te achterhalen via combineren en deduceren. Je browser is wat dat betreft een echte "onafgeschermde babbelbox". over het algemeen en net als Joosje Pek,de duvel, een roddelaar eerste klas. Het is allemaal ten behoeve van dit ingericht, geloof me.

Ik heb bij een lokale afhaaldienst iets besteld bijvoorbeeld. Hier kan men ook anderhalve kilometer de mist ingaan. bijvoorbeeld na uitschakelen van geo-locatie op het toestel. Men kan in een cloud-zitten, maar dan hoef je ook niet in het land van oorsprong uit te komen. De ritjes van de Google auto's destijds met hun impressies kunnen je nu nog in je k*nt komen bijten en wellicht morgen vliegen er drones over. De globale surveillance behoefte ten aanzien van burgers door overheid en commercie lijkt niet te stillen.

Men kan verbinding maken met een server in Warschau via een dienst als Psiphon 3 of een site bezoeken via een tor-adres van Zwiebelfreunde Amsterdam. Wat is het zichtbare adres en wat hangt er lokaal werkelijk achter? Bijv. IP adres 203.0.113.1 met dns 203.0.113.2 of 203.0.113.3.

Beter is eens te checken of een gevonden IP adres wellicht deel heeft genomen aan illegale, verdachte of kwaadaardige activiteiten.. Heb je te maken met een adres met een C&C server op de achtergrond, een adres van een forum spammer of nog iets kwaadaardigers -https://www.fortypoundhead.com/tools_ipcheck.asp geef ik onder voorbehoud. Dit omdat mijn MBAM extensie hierop aanslaat (adres verdacht van een trojaan te herbergen).

Een ip query op shodan.io kan je ook goed inzicht geven op de kwetsbaarheden achter een bepaald IP adres en de desbetreffende server. En er zijn nog veel meer "resources". Maar we zijn er ook heel wat nuttige bronnen door linkrot en discontinueren kwijt geraakt. Denk aan urlquery of ze kwamen door toedoen van tijdelijke eigenaars (durfkapitalisten) in een kwaad daglicht te staan, denk hierbij aan de WOT dienst.

"Euro's, dollars, bitcoins en goud, dat is het geheim achter alles wat je niet vertrouwt".

IP-adressen kunnen worden vergeleken met haringen in een school, de visser tracht de school uit te peilen, maar is nooit helemaal zeker van zijn vangst. De zee is groot en zeer veranderlijk en verradelijk. Vergeef me deze analogie, maar zo zit het wel een beetje. Goede jacht, mijn vriend, zoekt en gij zult vinden. En we vangen kabeljouw via een aangelijnd prikkie.

luntrus
08-09-2020, 14:01 door Anoniem
Door Anoniem: Beste topicstarter en verdere reagerenden in deze draad,

Je hebt dus meer aan de WHOIS gegevens en die zijn niet altijd te achterhalen en kunnen afgeschermd zijn door bijvoorbeeld een anonimiseringsdienst op de Seychellen in het geval van een of ander "scam"-IP-adres.
Tegenwoordig hoeven WHOIS gegevens ook niet meer publiekelijk toegankelijk te zijn.

Geo locatie is dus een beperkt begrip. Schakel ik JavaScript uit, dan kan mijn exacte lokatie ergens in de Betuwe liggen (accesspoint van mijn ASN provider), of geef ik toch nog mijn ware exacte geo-locatie vrij aan de hand van een algoritme op mijn recente locale zoekresultaten bij o.a. Google, facebook, Whatsapp, Amazon, bol dot com en noem maar op.

De truukendoos is ten behoeve van verschillende veiligheidsdiensten en instanties wat groter en er is veel te achterhalen via combineren en deduceren. Je browser is wat dat betreft een echte "onafgeschermde babbelbox". over het algemeen en net als Joosje Pek,de duvel, een roddelaar eerste klas. Het is allemaal ten behoeve van dit ingericht, geloof me.

Ik heb bij een lokale afhaaldienst iets besteld bijvoorbeeld. Hier kan men ook anderhalve kilometer de mist ingaan. bijvoorbeeld na uitschakelen van geo-locatie op het toestel. Men kan in een cloud-zitten, maar dan hoef je ook niet in het land van oorsprong uit te komen. De ritjes van de Google auto's destijds met hun impressies kunnen je nu nog in je k*nt komen bijten en wellicht morgen vliegen er drones over. De globale surveillance behoefte ten aanzien van burgers door overheid en commercie lijkt niet te stillen.

Men kan verbinding maken met een server in Warschau via een dienst als Psiphon 3 of een site bezoeken via een tor-adres van Zwiebelfreunde Amsterdam. Wat is het zichtbare adres en wat hangt er lokaal werkelijk achter? Bijv. IP adres 203.0.113.1 met dns 203.0.113.2 of 203.0.113.3.

Beter is eens te checken of een gevonden IP adres wellicht deel heeft genomen aan illegale, verdachte of kwaadaardige activiteiten.. Heb je te maken met een adres met een C&C server op de achtergrond, een adres van een forum spammer of nog iets kwaadaardigers -https://www.fortypoundhead.com/tools_ipcheck.asp geef ik onder voorbehoud. Dit omdat mijn MBAM extensie hierop aanslaat (adres verdacht van een trojaan te herbergen).

Een ip query op shodan.io kan je ook goed inzicht geven op de kwetsbaarheden achter een bepaald IP adres en de desbetreffende server. En er zijn nog veel meer "resources". Maar we zijn er ook heel wat nuttige bronnen door linkrot en discontinueren kwijt geraakt. Denk aan urlquery of ze kwamen door toedoen van tijdelijke eigenaars (durfkapitalisten) in een kwaad daglicht te staan, denk hierbij aan de WOT dienst.

"Euro's, dollars, bitcoins en goud, dat is het geheim achter alles wat je niet vertrouwt".

IP-adressen kunnen worden vergeleken met haringen in een school, de visser tracht de school uit te peilen, maar is nooit helemaal zeker van zijn vangst. De zee is groot en zeer veranderlijk en verradelijk. Vergeef me deze analogie, maar zo zit het wel een beetje. Goede jacht, mijn vriend, zoekt en gij zult vinden. En we vangen kabeljouw via een aangelijnd prikkie.

luntrus
Wat een ongelofelijk zwamverhaal met nul antwoord. Het is een heel concrete vraag: als er uit bgp informatie blijkt dat een IP in Nederland gehost wordt, kun je daar dan altijd vanuit gaan. Daar is een ja/nee antwoord op te geven, en niet een zwamverhaal over haringen.

Concreet is het antwoord dus waarschijnlijk nee. De databases waar je dat uit trekt zijn niet autoritatief en de tijdelijkheid en nauwkeurigheid van die informatie is dus niet gegarandeerd.
08-09-2020, 20:57 door [Account Verwijderd] - Bijgewerkt: 08-09-2020, 20:59
Door Anoniem:
Door Anoniem: Beste topicstarter en verdere reagerenden in deze draad,

Je hebt dus meer aan de WHOIS gegevens en die zijn niet altijd te achterhalen en kunnen afgeschermd zijn door bijvoorbeeld een anonimiseringsdienst op de Seychellen in het geval van een of ander "scam"-IP-adres.
Tegenwoordig hoeven WHOIS gegevens ook niet meer publiekelijk toegankelijk te zijn.

Geo locatie is dus een beperkt begrip. Schakel ik JavaScript uit, dan kan mijn exacte lokatie ergens in de Betuwe liggen (accesspoint van mijn ASN provider), of geef ik toch nog mijn ware exacte geo-locatie vrij aan de hand van een algoritme op mijn recente locale zoekresultaten bij o.a. Google, facebook, Whatsapp, Amazon, bol dot com en noem maar op.

De truukendoos is ten behoeve van verschillende veiligheidsdiensten en instanties wat groter en er is veel te achterhalen via combineren en deduceren. Je browser is wat dat betreft een echte "onafgeschermde babbelbox". over het algemeen en net als Joosje Pek,de duvel, een roddelaar eerste klas. Het is allemaal ten behoeve van dit ingericht, geloof me.

Ik heb bij een lokale afhaaldienst iets besteld bijvoorbeeld. Hier kan men ook anderhalve kilometer de mist ingaan. bijvoorbeeld na uitschakelen van geo-locatie op het toestel. Men kan in een cloud-zitten, maar dan hoef je ook niet in het land van oorsprong uit te komen. De ritjes van de Google auto's destijds met hun impressies kunnen je nu nog in je k*nt komen bijten en wellicht morgen vliegen er drones over. De globale surveillance behoefte ten aanzien van burgers door overheid en commercie lijkt niet te stillen.

Men kan verbinding maken met een server in Warschau via een dienst als Psiphon 3 of een site bezoeken via een tor-adres van Zwiebelfreunde Amsterdam. Wat is het zichtbare adres en wat hangt er lokaal werkelijk achter? Bijv. IP adres 203.0.113.1 met dns 203.0.113.2 of 203.0.113.3.

Beter is eens te checken of een gevonden IP adres wellicht deel heeft genomen aan illegale, verdachte of kwaadaardige activiteiten.. Heb je te maken met een adres met een C&C server op de achtergrond, een adres van een forum spammer of nog iets kwaadaardigers -https://www.fortypoundhead.com/tools_ipcheck.asp geef ik onder voorbehoud. Dit omdat mijn MBAM extensie hierop aanslaat (adres verdacht van een trojaan te herbergen).

Een ip query op shodan.io kan je ook goed inzicht geven op de kwetsbaarheden achter een bepaald IP adres en de desbetreffende server. En er zijn nog veel meer "resources". Maar we zijn er ook heel wat nuttige bronnen door linkrot en discontinueren kwijt geraakt. Denk aan urlquery of ze kwamen door toedoen van tijdelijke eigenaars (durfkapitalisten) in een kwaad daglicht te staan, denk hierbij aan de WOT dienst.

"Euro's, dollars, bitcoins en goud, dat is het geheim achter alles wat je niet vertrouwt".

IP-adressen kunnen worden vergeleken met haringen in een school, de visser tracht de school uit te peilen, maar is nooit helemaal zeker van zijn vangst. De zee is groot en zeer veranderlijk en verradelijk. Vergeef me deze analogie, maar zo zit het wel een beetje. Goede jacht, mijn vriend, zoekt en gij zult vinden. En we vangen kabeljouw via een aangelijnd prikkie.

luntrus
Wat een ongelofelijk zwamverhaal met nul antwoord. Het is een heel concrete vraag: als er uit bgp informatie blijkt dat een IP in Nederland gehost wordt, kun je daar dan altijd vanuit gaan. Daar is een ja/nee antwoord op te geven, en niet een zwamverhaal over haringen.

Concreet is het antwoord dus waarschijnlijk nee. De databases waar je dat uit trekt zijn niet autoritatief en de tijdelijkheid en nauwkeurigheid van die informatie is dus niet gegarandeerd.

Concreet is ja óf neen en niet:

'Concreet is het antwoord dus waarschijnlijk nee'.

Kakken met: 'ongelofelijk zwamverhaal met nul antwoord'. en zelf met een zwammmm- en zweefantwoord komen afzakken alleen om iemand die hier al jaren doeltreffende informatie geeft af te zeiken!
Ga toch elders pissen i.p.v. hier!

Één leesteken van de hier al jaren ertoe doende bijdragen van luntrus hebben 100-voudig meer waarde als jouw denigrerende kwalpraat.

Ga maar eens honderd strafregels schrijven:

Autoritatieve kennis profileert zich niet met het afzeiken van integere kennis of visies van anderen!

Dat 'niveau' zie je hier overigens steeds vaker, en in die modderpoel voel jij je blijkbaar thuis!

Alleen sommige ettertjes uit groep 8 of brugpiepers tonen dat kinderachtige gedrag. Waarschijnlijk ben je op dat niveau blijven steken gezien je wijze van reageren, en meer 'positiefs' valt er niet uit te persen.
09-09-2020, 00:16 door burne101
Door Piet Slagwerker: Waarschijnlijk ben je op dat niveau blijven steken gezien je wijze van reageren, en meer 'positiefs' valt er niet uit te persen.

Het vervelende van je verhaal is dat wij niet weten of je het nu over Anoniem hebt, of over Anoniem, of misschien wel over Anoniem.

Ik ben het met je eens, dat is het probleem niet. Het probleem is Anoniem en Anoniem. Dat zijn liegende onzinverspreiders. Anoniem is daarentegen best okee, die komt regelmatig met hele interessante inzichten aanzetten.
09-09-2020, 09:47 door Anoniem
@ burne101,

Wel eens over nagedacht, waarom sommige anonieme posters anoniem zijn? Dat is niet alleen in het geval, omdat ze onzinverspreiders of digitale "grafiti-kunstenaars zijn" of pubers, die nog niet droog zijn achter de oren.

Er zijn ook mensen bij, die uit hoofde van hun activiteiten elders geheimhoudingsverklaringen hebben getekend, omdat ze over relevante info kunnen beschikken. Info wordt in de regel alleen verschaft door de publieksvoorlichter. Dit wordt altijd gevraagd bij activiteiten in het Hoger Onderwijs. Ook bij av-vendors vraagt Europol om dergelijke verklaringen.

Men wil zelfs weten welke forums men frequenteert. Mensen die van de hoed en de rand weten worden overal goed in de gaten gehouden en ik kan daar alleen maar begrip voor hebben. Het kost anders te veel.

Het is geen kwestie van "best okee", maar vaak een niet op andere manier in staat te reageren.

Ik heb ook nooit mijn ware identiteit gedeeld met online diensten zoals Google e.d.
Ik deel al helemaal niets met het Internet, dan datgeen ik al niet met de hele wereld en de gootsteen zou willen delen.

Verder is info-manipulatie enorm toegenomen en zijn overal online zogenaamde fact checkers actief,
die niet alleen onzin en nep-nieuws weghouden, maar ook info die bepaalde belangenhouders liever niet gedeeld weet.
Soms moeten studenten werken met maar de helf van het verhaal. Kennis op basis van noodzakelijkheid en niet verder.

Denk daar eens eventjes over na, a.u.b.

We staan niet allemaal helemaal onafhankelijk t.o.v. de massa-media en groot-commercie en bestuur.

#sockpuppet
18-09-2020, 01:07 door Anoniem
Het wordt echter een nog wat gecompliceerder verhaal als we er IP spoofing bij gaan betrekken.

Lees hierover bijvoorbeeld hier: https://www.securitymagazine.com/articles/91980-types-of-spoofing-attacks-every-security-professional-should-know-about source credits: David Balaban

Bij het IP-spoofen in strictere zin worden pakketjes verstuurd vanaf een vals adres als bron. Zo omzeilt de aanvaller (DDosser) verdedigingen en filters die gebruik maken van methoden op basis van concrete device adressen door gebruik te maken van niet legitieme IP adressen.

luntrus
18-09-2020, 09:55 door Anoniem
Door Anoniem: Het wordt echter een nog wat gecompliceerder verhaal als we er IP spoofing bij gaan betrekken.

Lees hierover bijvoorbeeld hier: https://www.securitymagazine.com/articles/91980-types-of-spoofing-attacks-every-security-professional-should-know-about source credits: David Balaban

Bij het IP-spoofen in strictere zin worden pakketjes verstuurd vanaf een vals adres als bron. Zo omzeilt de aanvaller (DDosser) verdedigingen en filters die gebruik maken van methoden op basis van concrete device adressen door gebruik te maken van niet legitieme IP adressen.

luntrus
Maar hoevaak gebeurt dit nu?
Het is ook niet een aantal die je zomaar kunt uitvoeren.

Ik denk dat de kans op een foute BGP configuration groter is, dan een aanval met IP Spoofing.
18-09-2020, 09:58 door Anoniem
Door Anoniem: Het wordt echter een nog wat gecompliceerder verhaal als we er IP spoofing bij gaan betrekken.

Lees hierover bijvoorbeeld hier: https://www.securitymagazine.com/articles/91980-types-of-spoofing-attacks-every-security-professional-should-know-about source credits: David Balaban

Bij het IP-spoofen in strictere zin worden pakketjes verstuurd vanaf een vals adres als bron. Zo omzeilt de aanvaller (DDosser) verdedigingen en filters die gebruik maken van methoden op basis van concrete device adressen door gebruik te maken van niet legitieme IP adressen.

luntrus

Wat zou het toch fijn zijn als ISP's met een eenvoudige ACL daar op zouden filteren. Als je subnet 9.x.x.x uitdeelt, dan is alles wat binnenkomt met source 8.x.x.x duidelijjk fake en hoort niet je netwerk te verlaten.

Karma3
18-09-2020, 10:38 door Anoniem
Door Anoniem:
Door Anoniem: Het wordt echter een nog wat gecompliceerder verhaal als we er IP spoofing bij gaan betrekken.

Lees hierover bijvoorbeeld hier: https://www.securitymagazine.com/articles/91980-types-of-spoofing-attacks-every-security-professional-should-know-about source credits: David Balaban

Bij het IP-spoofen in strictere zin worden pakketjes verstuurd vanaf een vals adres als bron. Zo omzeilt de aanvaller (DDosser) verdedigingen en filters die gebruik maken van methoden op basis van concrete device adressen door gebruik te maken van niet legitieme IP adressen.

luntrus

Wat zou het toch fijn zijn als ISP's met een eenvoudige ACL daar op zouden filteren. Als je subnet 9.x.x.x uitdeelt, dan is alles wat binnenkomt met source 8.x.x.x duidelijjk fake en hoort niet je netwerk te verlaten.

Karma3

Dat klopt. Dat heet BCP38 ofwel Ingress filtering. Iedere ISP die "endpoints" host (of dat nou klanten met een huisaansluiting zijn of virtuele servers in hun datacenter) zou al het verkeer wat van die netwerken af komt moeten filteren zodat alleen verkeer met een geldig source adres wordt gerouteerd naar de rest van internet.

Echter dat kost moeite om het te configureren en onderhouden, en het levert die specifieke bedrijven niks op. Het is alleen goed voor de rest van de wereld.
De meeste bedrijven boeit het niet wat goed is voor de rest van de wereld en niet in de eerste plaats voor henzelf, dus doen ze dat dan niet. Kost moeite dus geld = minder winst = doen we niet. Dat zie je niet alleen bij internet providers hoor, Microsoft werkt ook op die manier.

Het is ook niet zo simpel als je daar schetst omdat er helaas bij het uitdelen van de internet adressen niet echt veel structuur gehanteerd is zodat je niet kunt zeggen dat iedere provider maar 1 blok heeft waar alle adressen dan in moeten vallen. Men heeft normaal een hele serie blokken adressen en om allerlei redenen lopen die door elkaar heen op netwerken. De rules die bepalen wat wel en niet goed is die zijn dus vaak heel wat complexer.
18-09-2020, 11:49 door Anoniem
@ anoniem van 10:38 heden,

Bedankt voor de bevestiging van e.e.a. Een bevestiging wederom van het feit, dat als het geld kost, security steeds een
"last resort thing" ofwel een sluitpost op de begroting blijft. De uiteindelijke kosten van het onvoldoende en/of onjuist configureren en mitigeren zijn dus voor het 'gemeen' (d.w.z. jij en ik en de rest van de mensheid, wanneer we er schade door ondervinden). Het kan beter en veiliger, maar waarom doen als het alleen maar geld kost en geen geld oplevert?

De situatie, die jij schets zien we over de hele linie. Ik doe 3rd party cold recon website security intelligence en kijk in dat geval bijvoorbeeld eens Internet-breed met een CSP evaluator waar en of CSP juist is geconfigureerd (volgens best policies) of JavaScript errors waar mogelijk gemitigeerd worden (en vergeet daarbij niet, dat het niet overal en altijd kan, vanwege het samenraapsel en de gelaagdheid van niet altijd bij elkaar passende (beveiligings)technologieën, die worden gebruikt) - Stackoverflow staat vol met berichten over dergelijke problematiek).

HTTP header security, sri, DNSSEC, etc. etc. Bepaalde java wachtwoorden niet gewijzigd, zodat ze verhinderen dat een update doorgevoerd kan worden bijvoorbeeld. "Pay people peanuts and you will get a monkey-job done". Ja, stop uw oren maar dicht, arrogante CEO's en "neuswijze" managers media communicatie e.a. Reputatie management zou in veel gevallen al niet meer helpen. Zeker als men overal voldoende op de hoogte was van uw wanprestaties.

Dan verder moet gezegd, dat mede via de achterliggende stakeholders Big Tech steeds meer commercieel het laatste woord gaat krijgen, daar waar gerechtigde instanties dat zouden moeten doen. Dus op Twitter maakt de leiding van Twitter uit wat "waar" is en wat niet, maar dat is ook slechts hun visie.

"Quis custodiet ipsos custodes?" merkte de dichter Juvenal in zijn Satiren op en in de moderne tijd van Big Tech zijn dat partijen als Google, facebook, Amazon, CloudFlare e.d. met een gruwelijke onoverzichtelijke en ten principale onveilige situatie als gevolg.

Goed, dat je dat even uit de praktijk wist te beamen. Men blijft echter vaak een roepende in de woestijn. Maar gelijkgestemde geesten vinden elkander altijd en velen hebben weer iets geleerd in deze draad, "little old me" incluis.
Veel dank daarvoor.

luntrus
18-09-2020, 12:26 door Anoniem
Door Anoniem:
Door Anoniem: Het wordt echter een nog wat gecompliceerder verhaal als we er IP spoofing bij gaan betrekken.

Lees hierover bijvoorbeeld hier: https://www.securitymagazine.com/articles/91980-types-of-spoofing-attacks-every-security-professional-should-know-about source credits: David Balaban

Bij het IP-spoofen in strictere zin worden pakketjes verstuurd vanaf een vals adres als bron. Zo omzeilt de aanvaller (DDosser) verdedigingen en filters die gebruik maken van methoden op basis van concrete device adressen door gebruik te maken van niet legitieme IP adressen.

luntrus
Maar hoevaak gebeurt dit nu?
Het is ook niet een aantal die je zomaar kunt uitvoeren.

Ik denk dat de kans op een foute BGP configuration groter is, dan een aanval met IP Spoofing.

Dan heb je heel weinig opgelet in security land, de laatste weken . De laatste jaren. De laatste decennia, als je dat denkt.

Ongeveer alle grote DDoSen gebruiken IP Spoofing - inclusief de recente tegen Delta (e.a.)

Het zijn typisch 'reflectie attacks' - je stuurt weinig/kleine packets met het IP van je slachtoffer naar devices die daarop (grote) antwoorden sturen.
18-09-2020, 12:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het wordt echter een nog wat gecompliceerder verhaal als we er IP spoofing bij gaan betrekken.

Lees hierover bijvoorbeeld hier: https://www.securitymagazine.com/articles/91980-types-of-spoofing-attacks-every-security-professional-should-know-about source credits: David Balaban

Bij het IP-spoofen in strictere zin worden pakketjes verstuurd vanaf een vals adres als bron. Zo omzeilt de aanvaller (DDosser) verdedigingen en filters die gebruik maken van methoden op basis van concrete device adressen door gebruik te maken van niet legitieme IP adressen.

luntrus

Wat zou het toch fijn zijn als ISP's met een eenvoudige ACL daar op zouden filteren. Als je subnet 9.x.x.x uitdeelt, dan is alles wat binnenkomt met source 8.x.x.x duidelijjk fake en hoort niet je netwerk te verlaten.

Karma3

Dat klopt. Dat heet BCP38 ofwel Ingress filtering. Iedere ISP die "endpoints" host (of dat nou klanten met een huisaansluiting zijn of virtuele servers in hun datacenter) zou al het verkeer wat van die netwerken af komt moeten filteren zodat alleen verkeer met een geldig source adres wordt gerouteerd naar de rest van internet.

Echter dat kost moeite om het te configureren en onderhouden, en het levert die specifieke bedrijven niks op. Het is alleen goed voor de rest van de wereld.

Het is erg jammer, vooral omdat het feitelijk zo simpel is als je nog op/naast het endpoint zit.
Heel veel apparatuur heeft (eindelijk dan) support voor 'uRPF' - Unicast Reverse Path Forwarding .
Dat is een filter dat verkeer alleen doorlaat als de beste route terug door het interface gaat waar het verkeer op binnenkomt.

De uitleg voor Linux staat (bv) hier : https://tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.kernel.rpf.html
(maar natuurlijk ook op allerlei routers)

Het werkt dus erg goed op de aansluit-interfaces van end-hosts , en is vaak een feature op dingen als DSL concentrators.


De meeste bedrijven boeit het niet wat goed is voor de rest van de wereld en niet in de eerste plaats voor henzelf, dus doen ze dat dan niet. Kost moeite dus geld = minder winst = doen we niet. Dat zie je niet alleen bij internet providers hoor, Microsoft werkt ook op die manier.

Het is ook niet zo simpel als je daar schetst omdat er helaas bij het uitdelen van de internet adressen niet echt veel structuur gehanteerd is zodat je niet kunt zeggen dat iedere provider maar 1 blok heeft waar alle adressen dan in moeten vallen. Men heeft normaal een hele serie blokken adressen en om allerlei redenen lopen die door elkaar heen op netwerken. De rules die bepalen wat wel en niet goed is die zijn dus vaak heel wat complexer.

Dat is niet helemaal waar. Er is behoorlijk wat structuur gehanteerd - gelukkig maar, want de 'global routing table' zou anders echt onbeheersbaar groot zijn. (nu ca 850.000 prefixen. Nog steeds behoorlijk gestructeerd, voor een wereldwijd Internet).
Providers kregen oorspronkelijk vrij ruime adresblokken .

Wat je nu ziet aan fragmentatie is het gevolg van 30 jaar gebruik - (overnemen, opknippen) , en het feit dat naarmate adressen schaarser werden, mensen steeds kleinere reeksjes kregen en gebruikten.
18-09-2020, 14:27 door Anoniem
@ anoniem van 12:39 heden,

uRPF werkt ook voor VPN, steunend op de FIB (Forwarding Information Base).

Een goede manier om 'source IP-based spoofing' en 'malformed source IP adressen' te kunnen ontgaan.

Net als studenten zeiden tijdens bepaalde toetsen:
"Het is toch een voordeel als je al eerder wat met 'netwerken' hebt gedaan".
Sommigen van hen werkten al bij een hostertje of deden zelf iets in die richting.

Praktijkgerichte ervaring is vaak een goede leermeester.
"Leer om te weten, weet om te kunnen en slagen is je loon".

Opdracht goed afgewerkt, draai dan de muis op je mat nu maar om, dames en heren... ;).

Dit wordt een leuke en instructieve draad, lieve mensen. Zo moeten ze zijn.
Zeer lezenswaardig en praktisch van inhoud, proficiat,

IP-security - het kent vele facetten. Onderzoek het van alle kanten en behoudt daarna het waardevolle.

luntrus
18-09-2020, 15:36 door Anoniem
Door Anoniem: @ anoniem van 12:39 heden,

uRPF werkt ook voor VPN, steunend op de FIB (Forwarding Information Base).

Een goede manier om 'source IP-based spoofing' en 'malformed source IP adressen' te kunnen ontgaan.

Natuurlijk. Het werkt, of kan werken , ongeveer overal waar er een enkel symmetrisch pad is .
Dat maakt zo simpel toepasbaar direct op de gateway van end-hosts . Of dat nu een ethernet subnet of p2p (pppoe, dsl, vpn) is.
En support ervoor is (eindelijk) in heel veel netwerk devices beschikbaar gekomen.

En zo jammer als je kijkt hoe onzettend veel meer moeite het kost om 'verderop' nog wat doen tegen spoofing.


Net als studenten zeiden tijdens bepaalde toetsen:
"Het is toch een voordeel als je al eerder wat met 'netwerken' hebt gedaan".
Sommigen van hen werkten al bij een hostertje of deden zelf iets in die richting.

Wel, uh, duh . Alle toetsen zijn makkelijker als je al een stuk ervaring hebt .
Als je vijftien jaar naar Franse campings gaat is je examen Frans ook net wat makkelijker dan wanneer je het alleen van de leraar moet hebben.
MBO motortechniek zal ook wel wat soepeler gaan voor brommer sleutelaars dan voor ov-chipkaar gebruikers.
18-09-2020, 19:15 door Anoniem
Door Anoniem:
Dan heb je heel weinig opgelet in security land, de laatste weken . De laatste jaren. De laatste decennia, als je dat denkt.

Ongeveer alle grote DDoSen gebruiken IP Spoofing - inclusief de recente tegen Delta (e.a.)

Het zijn typisch 'reflectie attacks' - je stuurt weinig/kleine packets met het IP van je slachtoffer naar devices die daarop (grote) antwoorden sturen.
Volgens mij waren dit voornamelijk UDP aanvallen? DNS / NTP en LDAP. Die zijn een stuk lastiger tegen te houden, aangezien de aanval voornamelijk een antwoord is.
18-09-2020, 20:40 door Anoniem
We moeten wel on topic blijven. Bij IP security.
#sockpuppet
18-09-2020, 20:56 door Anoniem
Door Anoniem:
Door Anoniem:
Dan heb je heel weinig opgelet in security land, de laatste weken . De laatste jaren. De laatste decennia, als je dat denkt.

Ongeveer alle grote DDoSen gebruiken IP Spoofing - inclusief de recente tegen Delta (e.a.)

Het zijn typisch 'reflectie attacks' - je stuurt weinig/kleine packets met het IP van je slachtoffer naar devices die daarop (grote) antwoorden sturen.
Volgens mij waren dit voornamelijk UDP aanvallen? DNS / NTP en LDAP. Die zijn een stuk lastiger tegen te houden, aangezien de aanval voornamelijk een antwoord is.

Inderdaad was het UDP - een kleine vraag met een groot antwoord kan makkelijk met een UDP gebaseerd protocol.
Omdat TCP eerst een volledige handschake wil heb je bij TCP reflectie niet de enorme versterkingsfactor die sommige UDP protocollen gegeven.

Het lastige aan 'tegenhouden' bij reusachtige volumes is het volume . Filtering binnen je eigen domein betekent nog steeds dat je de aanval over je uplinks binnenkrijgt, en als de aanvalsvolumes vergelijkbaar van grootte zijn als je uplinks blijf je een probleem houden.
Dat staat nog los van de vraag of aanvalsverkeer simpel onderscheidbaar is van valide verkeer .
19-09-2020, 06:16 door Anoniem
Verkeer is herleidbaar, lees hier over log analyse:
https://www.loggly.com/blog/how-to-detect-and-analyze-ddos-attacks-using-log-analysis/

Command prompt "netstat -an" en gebruik van een log analyzer.

#sockpuppet
19-09-2020, 19:43 door Anoniem
Door Anoniem: Verkeer is herleidbaar, lees hier over log analyse:
https://www.loggly.com/blog/how-to-detect-and-analyze-ddos-attacks-using-log-analysis/
Slecht artikel. Het gaat er niet over wat er op jouw eigen server gebeurt, het gaat er over wat iemand doet om jouw verbinding te vullen met nutteloze rotzooi. Je eigen server is daar niet bij betrokken!
Bijvoorbeeld zo'n UDP amplification attack. Aanvallers gebruiken computers die bij een waardeloze internet provider zitten om verkeer te versturen met jouw adres als gespoofte afzender (en die provider blokkeert dat niet) en die gericht zijn op totaal willekeurige andere servers die daar een antwoord op sturen. Die sturen dat dan naar jouw server. Door een geschikte UDP service te sturen is het antwoord veel groter dan de vraag, en het verkeer naar jouw server is dus veel meer dan wat zij zelf naar die intermediate machines hoeven te sturen.
Niet nodig om op je server te analyseren wat er precies gebeurt want dat brengt je geen stap dichter bij de oplossing!
20-09-2020, 09:32 door Anoniem
Dus altijd weer dat jijzelf die extra mijl moet gaan en de provider laat het liggen, omdat het niet direct geld opleveren zal. Wat zijn volgens jullie dan de meest ideale anti-DDos strategieën en oplossingen, gewaardeerde reagerenden?
luntrus
20-09-2020, 12:13 door Anoniem
Door Anoniem: Dus altijd weer dat jijzelf die extra mijl moet gaan en de provider laat het liggen, omdat het niet direct geld opleveren zal. Wat zijn volgens jullie dan de meest ideale anti-DDos strategieën en oplossingen, gewaardeerde reagerenden?
luntrus
Iedereen dwingen BCP38 te implementeren en anders de peering kappen.
Eigenlijk hetzelfde als de manier waarop relaying mailservers uitgefaseerd zijn: relayeert je mailserver dan pakken we geen mail meer van je aan.
Op dezelfde manier: heb je geen ingress filtering, dan pakken we je verkeer niet meer aan.
Dit moet uiteraard door de directe peers gebeuren, "verderop" kun je dat niet meer oplossen.
Het is een vergelijkbare manier als waarmee je Caller ID spoofing de wereld uit kunt helpen: geen calls accepteren van partijen die geen goede caller ID screening doen.
20-09-2020, 13:15 door Anoniem
Door Anoniem: Dus altijd weer dat jijzelf die extra mijl moet gaan en de provider laat het liggen, omdat het niet direct geld opleveren zal. Wat zijn volgens jullie dan de meest ideale anti-DDos strategieën en oplossingen, gewaardeerde reagerenden?
luntrus
Wat zijn de requirements?
20-09-2020, 13:32 door Anoniem
Door Anoniem: Verkeer is herleidbaar, lees hier over log analyse:
https://www.loggly.com/blog/how-to-detect-and-analyze-ddos-attacks-using-log-analysis/

Command prompt "netstat -an" en gebruik van een log analyzer.

#sockpuppet

Wat een marketing bullshit .

Slim geschreven door de verkoopjuffrouw - maar zie dat er feitelijk geen relatie staat tussen een grote en geavanceerde DDoS op Linode (cloud boer) - en het gebruik van het log analyse programma dat ze loopt te pluggen.

(Zie ook dat ze IIS als voorbeeld gebruikt - waar de intro-blurb van Linode een Linux cloud provider is).

ja - monitoring/verkeersanalyse is een belangrijke component bij DDoS respons.

maar netstat logs van victim-servers staan behoorlijk achteraan in nut - zeker bij volume gebaseerde DDoSen.
Als je een flood van udp responses (dns, ntp, ldap) naar een willekeurige server krijgt, zie je op die server niks met netstat -an . En ook niet in de service-logs (web, of dns, of wat dan ook) .
20-09-2020, 15:25 door Anoniem
Door Anoniem: Dus altijd weer dat jijzelf die extra mijl moet gaan en de provider laat het liggen, omdat het niet direct geld opleveren zal. Wat zijn volgens jullie dan de meest ideale anti-DDos strategieën en oplossingen, gewaardeerde reagerenden?
luntrus

Voor wat 'je' concreet zelf kunt - dat is een vrij specialistisch onderwerp. Er is geen oplossing waar een thuisgebruikende trash-talker in gaming wat aan heeft. Noch iets waar een VPS huurder wat aan heeft.

Dat is, op hoofdlijnen , zorg dat je je netwerk en services echt goed snapt en echt goed bewaakt.
Wat is normaal - en wat is abnormaal. Verdiep je in (D)DoS , en bedenk waar (allemaal) zwakke punten zitten.
Kun je snel verkeer karakteriseren en effectief een filter implemeteren ?
Een enorm robuuste webserver is fantastisch - maar zinloos als de authoritieve DNS'en onbereikbaar gemaakt kunnen worden.
Iets wat veel security mensen niet willen snappen : een firewall is typisch een DoS op zichzelf - stateful is het tegenovergestelde van "robuust" .

Kun je nog beheren/monitoren als je onder een zware aanval ligt - of deelt je management verkeer wat resources met productie ?
[ik zeg niet 'management over het productie netwerk. Ik zeg "deelt resources" - Een ander VRF is ook een gedeelde resource. ]


Heb je draaiboeken klaar wat je gaat doen - heb je scenario's klaar. Wie kan en mag beslissen om terug te schakelen naar een beperktere dienstverlening ?
Heb goede technische contacten met je upstream providers, en je peers - want je zult hen nodig hebben voor onderzoek en mitigatie .
Tot zover is het 'generiek nuttig'.
En dan het dure aspect : feitelijk moet je waanzinnig overprovisionen ten opzichte van "normaal verkeer".
"drinken uit de brandslang" is de uitdrukking .

Voor een behoorlijk deel kun je die overcapaciteit om te filteren inhuren - dat is wat een "wasstraat" , dan wel "anti-DDoS service" van een provider is. En uiteindelijk wat CDNs zoals Cloudflare, Prolexic/Akamai leveren - waanzinnige piekcapaciteit en filtering.
En dat moet je van tevoren inkopen en inregelen.

Dingen die je niet zelf in de hand hebt, maar zouden helpen : meer implementatie van BCP38 (anti-spoofing). Spoofing is niet de enige manier van (D)DoS, maar wel een erg krachtig middel ervoor.
Uitroeien van 'open' amplificatie services - NTP (mn ntp monitor), UDP/LDAP, open DNS resolvers, chargen, en in het algemeen - "bots". En dan ook werk aan de opsporings/vervolgings kant - wereldwijd.
20-09-2020, 18:27 door Anoniem
Dank voor je reactie. In hoeverre moet men de cloud in voor afdoende mitigatie?
luntrus
20-09-2020, 23:29 door Anoniem
Door Anoniem: Dank voor je reactie. In hoeverre moet men de cloud in voor afdoende mitigatie?
luntrus

Dat hangt van je dienst af. En wat 'afdoende' is - reken je op een 'paar GBps' DDoS max , of moet je bestand zijn tegen honderden GBps ?

Een access-ISP zoals Delta kan z'n access-netwerk niet "in cloud" zetten. Sommige diensten erop misschien wel.

Maar heb je een web-gebaseerde dienst (webshop/forum, internet bankieren) is het wel erg lastig om het soort piek-capaciteit en traffic filtering dat Cloudflare en Akamai kunnen bieden volledig in-house te houden.

De blogs van Cloudflare zijn boeiend - voor de inhoud - maar geeft ook te denken 'wow - ze zijn _echt_ goed' .
(neem bv dit : https://blog.cloudflare.com/the-curious-case-of-slow-downloads/ of https://blog.cloudflare.com/cloudflare-architecture-and-how-bpf-eats-the-world/)
Als je je geld verdient met bankieren - ben je dan verstandig bezig als je ook een CDN-engineering team van wereldklasse moet hebben , met maar één klant - jezelf ?
Feitelijk een algemeen kenmerk van automatisering (cq mechanisatie) : je hebt relatief veel werk om het eenmalig te bouwen, maar kunt dat resultaat eindeloos gebruiken. De cloud providers spreiden hun 'eenmalige kosten' over alle klanten.
Als je dingen zelf doet , draag je die kosten (development, inrichten van beheer) in je eentje.
Een boer is goed in boeren - tractoren bouwen kan iemand anders beter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.