Dos-атака

[Синтез_морфи 0]

Здравствуйте, меня одолела дос атака. У меня стоит KIS, к сожалению он не справился и не заблокировал данную атаку. Скажите пожалуйста, как возможно от них защититься?

Атаку навёл мой друг чтобы протестить.

[Valery Ledovskoy 1082]

Т.е. другу светит 273-я?

А где написано, что KIS защищает от DDoS-атак?

От DDoS у этого производителя вроде как есть отдельный сервис, но не для персональных компьютеров:

http://www.kaspersky.ru/news?id=207733262

Кстати, как может "одолеть" атака, которую "навёл друг", дабы "потестить"? Скажите другу, что он уже за... одолел

[Синтез_морфи 0]

Да, наверно светит, но эта атака была наведена на меня с моего согласия. ИМХО касперский защищает от сетевых атак, вот я и подумал может он и от dos атак защищает? Скажите пожалуйста, получается, что домашний компьютер нельзя защитить от dos-атак?

[Umnik 997]

/me с удовольствием почитает, как Valery Ledovskoy будет просвещать человека =)

[strat 275]

Да, наверно светит, но эта атака была наведена на меня с моего согласия. ИМХО касперский защищает от сетевых атак, вот я и подумал может он и от dos атак защищает? Скажите пожалуйста, получается, что домашний компьютер нельзя защитить от dos-атак?

На вкладке "Защита от сетевых атак" у вас стоит галка "Добавить атакующий компьютер в список блокирования"?

[Зайцев Олег 402]

Да, наверно светит, но эта атака была наведена на меня с моего согласия. ИМХО касперский защищает от сетевых атак, вот я и подумал может он и от dos атак защищает? Скажите пожалуйста, получается, что домашний компьютер нельзя защитить от dos-атак?

Все от атаки зависит - если например DOS атака состоит в выдергивании Ethernet кабеля - то спасет только бейсбольная бита В остальных случаях стоит внимательно разобраться в ситуации, дело в том, что KIS защищает от сетевых атак разного рода (в том числе сканирования портов и некоторых видов DOS) и борется с ними, в частности включая IP атакующего в черный список, но важны следующие факторы:

1. Как осуществлялась атака? Если "DOS атака" состояла в выкачивании лежащего в расшаренной папке компьютера коллекции музыки или порно в 150 потоков, то это несомненно забъет сеть и может с натяжкой считаться DOS, но с точки зрения KIS не будет атакой - так как некий ПК в общем-то делает вполне легальную операцию (откуда KIS-у знать, может быть так и надо). Вывод - говоря об атаке, следует однозначно оговаривать, как именно она производилась, и что именно понималось под "DOS" в данном случае

2. атака велась из сети провайдера, или из Инет ? Дело в том, что если один сосед атакует соседа, то они по сути сидят в 100 мбитной сети провайдера, но более того - в настройке по умолчанию KIS будет доверять атакующему, так как он находится в одной с атакуемым ПК локальной сети. Сделано это нарочно - именно потому, что нередко в "домашних сетях" народ расшаривает друг для друга папки, применяет DC++ и так далее.

3. как именно компьютер подключен к сети ? Напрямую через Ethernet, через роутер, чере ADSL ? Тут есть масса хитростей, а именно:

- если применяется ADSL, то там пропускная способность невелика и даже легкая атака прото забъет канал и все ... дальше будет на важно, что там за интивирус и как он настроен, так как канал будет на 100% загружен и от этого спасет только уголовный кодекс (статью УК выше подсказали, если атака вида "точка-точка", то поймать атакующего проще простого)

- если используется роутер, то все сильно зависит от его настроек и цены. Дело в том, что бюджетные "псевдо-роутеры" типа серии DIR у DLink под потоком пакетов просто захлебнутся, и даже если канал не будет загружен на 100%. При этом опять-же не важно, какой у атакуемого антивирус и как он настроен - проблема будет в роутере

- если прямое подключение, то скорее всего это 100 мбит, дающий выход в локальную сеть провайдера + VPN на Инет. При этом:

-- если атака идет через Инет, то по тарифному плану провайдера прописана некая скорость, и она далеко не бесконечна. Например, 2 мбит/сек. Если у атакующего аналогичный или круче, то он может просто и тупо забить эти 2 мбит потоком мусорных пакетов, и никакой антивирус или роутер ничего не сделает - проблема будет в 100% загрузке канала

-- если атака идет из ЛВС, то ситуация аналогична - у обоих 100 мбит, и шквалом пакетов можно перегрузить сеть атакуемого, забив ее почти на 100%. тут опять-же не важно, какая защита стоит на атакуемом ПК, она как максимум сообщит об атаке и будет блокировать мусорные пакеты, но канал оно не разгрузит. При этом если атакующий будет сильно стараться, то может еще "подвесить" роутеры/коммутаторы провайдера, перегрузив их своим мусорным трафиком.

-- если провайдер крутой, то его оборудование интеллектуальное, и оно может без проблем засечь перегрузку портов и аномальный трафик между двумя хостами сети провайдера, и не сильно разбираясь, что там за "междусобойчик" между двумя юзерами влупит автоматом обоим юзерам шейпинг скажем на 1-2 мбит до тех пор, пока не прекратится безобразие. А потом, если атакующий не уймется, его IP попадет в отчеты, и если он надоест провайдеру - то наступит статья 273 (при этом надо четко понимать, что провайдеру пофиг, кто кого просил и кто на что согласен - он фиксирует атаку и перегрузку своего оборудования и каналов ...)

Т.е. если проанализировать вышесказанное, то получится, что:

- кто будет досить домашнего юзера, кому он нужен кроме соседа-кулхацкера, не знающего статьи 273 ?! В общем-то, некому

- любой домашней юзер уязвим перед DOS, так как причина не в том, что не справится стоящая у него на ПК защита, а в том, что у него слабенький канал на внешний мир (и плюс, быть может, дохленький роутер), который несложно забить шквалом пакетов на 100%.

[Valery Ledovskoy 1082]

/me с удовольствием почитает, как Valery Ledovskoy будет просвещать человека =)

Не успел Да и Олег справился весьма хорошо.

Кстати, в 273-ей не написано ничего про "с согласия". Друг мог таким образом тестировать атаку на какой-нибудь другой объект. А подготовка к преступлению по УК тоже карается

[Синтез_морфи 0]

Атака наводилась из интернета, у меня стоит роутер. Атака была на вырубание интернета. Тоесть, после того как атака началась у меня начал выключаться интернет. Есть ли какието средства от данной атаки?

[Зайцев Олег 402]

Атака наводилась из интернета, у меня стоит роутер. Атака была на вырубание интернета. Тоесть, после того как атака началась у меня начал выключаться интернет. Есть ли какието средства от данной атаки?

Ответ на эти вопросы позволит точно "поставить диагноз":

1. Параметры тарифного плана (т.е. какую максимальную скорость обещает провайдер и как реализовано подключение) ?

2. Точная модель роутера ?

Но если в общем, то ситуация ясна и ответ прост - защиты нет никакой. Ибо все в любом случае упрется в:

1. роутер и его микро-производительность (хороший роутер стоит от 10-15 т.р. и до бесконечности), простенький под атакой просто "захлебнется"

2. канал и ограничения скорости тарифного плана. Я подозреваю, что они невысокие, а раз так, то перегрузить такой канал забив на 100% можно без малейших проблем

[priv8v 960]

Ну, это как минимум, если злоумышленник знает его адрес и этот адрес фиксированный.

[Синтез_морфи 0]

Ясно, про роутеры нет вопросов. Есть другой вопрос. А что если человек выходит в интернет напрямую, что тогда делать?

[Зайцев Олег 402]

Ясно, про роутеры нет вопросов. Есть другой вопрос. А что если человек выходит в интернет напрямую, что тогда делать?

Напрямую никто никуда не выходит... всеравно ПК подключен к ближайшему роутеру/коммутатору провайдера, далее цепочка из роутеров в сети провайдера, и далее в Инет. При этом скорость будет ограничиваться оборудованием провайдера сообразно параметрам, заданным в тарифном плане. И в большинстве случаев в случае DOS/DDOS узким местом будет именно ограничение тарифного плана. Причем кроме явных ограничений (т.е. входящая/исходящая скорость) у многих провайдеров есть и неявные - например, может ограничиваться максимальное количество пакетов в секунду, количество коннектов

[Синтез_морфи 0]

Спасибо, вопросов нет.

[Angel107 30]

А смена iP может хотябы временно избавить от атаки?

[foasmat 0]

А смена iP может хотябы временно избавить от атаки?

безусловно то поможет, если человек не узнает ваш будущий ип, и у вас на компьютере нет вирусов, способных отсылать ему данные, это поможет избавится от ддос атаки