по первому каналу не рассказали)

а кроме этого, все кому было бы интересно про это знать - все знают

мы тут уже час лясы точим на тему

Я имел в виду, что быстро перебили их достижение

а, ну это да

этого можно и нужно было ожидать

Жаль не говорят кто

интересно, можно ли докапаться самим

я б на месте акамай и арбора вывешивал бы не имя клиента, а айпишники серверов memcached в открытом доступе на обзор всему миру честному

"владельцы этих сервисов - сказочные долбоёбы"

но зачем?

кому они нужны

чтоб убирали из открытого доступа

"владелец айпишника 123.45.67.89 - сказочный долбоеб"

что нам это даст?

нет никакой причины держать memcached мордой в интернет

можно его задудосить

а сам сказочный долбоеб, который вывесил его мордой в инет, не будет читать акамавские поклепы про него

пойдет заниматься своими долбоебскими делами

так же как месяц после первой dns-amplification атаки не было никакой причины все ещё не пропатчить свой сервак

пора вводить преступную халатность при обращении с компьютерами и сетями связи

в ук, разумеется

патчить серваки стали после того, как стали прилегать исходящие каналы

а не после того, как кто-то вывесил реестр серваков

разве нет?

пора вводить преступную халатность при обращении с компьютерами и сетями связи

с занесением в грудную клетку

реестр серваков никто не вывешивал

потому что в случаях с нтп и днс их было реально очень сильно дохера

я б на месте акамай и арбора вывешивал бы не имя клиента, а айпишники серверов memcached в открытом доступе на обзор всему миру честному

а смысл тогда вот это делать?

а смысл тогда вот это делать?

потому что memcached там около 100к открытых

цифра небольшая совсем

ну так этот список быстро составят сами все, кому надо

fool me once - shame on you, fool me twice - shame on me

и владельцы очень быстро обнаружат, что исходящие каналы у них того

да? ну посмотрим

3 дня вот не хватило

ну ты переоцениваешь скорость реакции долбоебов

сначала надо чтобы те, кому надо. составили список

начали использовать долбоебов в хвост и в гриву

именно поэтому я двумя руками за public shaming

потом админы хостингов заподозрили бы неладное и пошли бы абузить долбоебов

вывешивают же в открытый доступ списки хакнутых мейлов

и кто их читает?

так что каждый может зайти и проверить, хакнули его или нет

это надо очень большую сознательность проявить

знаьт, что почту вообще, бывает, хакают

знать, что есть такое списки

когда разговор идет о memcached, те кому это интересно должны быть хотя бы номинально технически подкованы

я вот не могу представить себе своих родителей, проверяющих почту по таким спискам

имхо если бы они были номинально технически подкованы, они б не вывешивали его мордой в инет

елси раструбить достаточно широко - на какую-то часть сработает

я б на месте акамай и арбора вывешивал бы не имя клиента, а айпишники серверов memcached в открытом доступе на обзор всему миру честному

да их тысячи

stackoverflow-яумамыадмины

кстати, имею подозрения, что немалая их часть - клиенты моего работодателя)

в прошлый раз когда были атаки по 300 на ру часть, в атаке участвовали около 3х к айпишников

сегодня на работе взгляну на утилизацию внешних линков во время атаки

а что, хватит двушечки чтобы авс прилёг? )))

сегодня на работе взгляну на утилизацию внешних линков во время атаки

вот да

а что, хватит двушечки чтобы авс прилёг? )))

авс и не прилёг)

имхо лютый интерес должна вызвать исходящая активность на 11211 порту

авс и не прилёг)

а если бы онбыл на метсе гитхаба?)

а если бы онбыл на метсе гитхаба?)

амазон сам предлагает сервис вычищения дерьма из входящего трафика для своих клиентов

по мощности, мне кажется, не уступающий арбору и акамай

а у амазона есть лишние 2Т аплинков?

больше 20 Тб capacity ? )

очень удивлюсь, если нет

ERROR: S client not available

на счет 20тб не уверен)

думаю, что апстримы начнут загибаться раньше

anycast же, не? хотя 20 Т ещ набрать надо конечно) но cloudflare например пишут что у них есть 15Тб

к слову, про активность

https://radar.qrator.net/blog/memcached-amplification

The significant part of this decrease was the result of homework made by several huge ISPs: AS37963 (Alibaba) -5223, AS16276 (OVH) -2388 and AS4134 (China Telecom) -1631. Still, there are more than 8000 services that haven’t been fixed. We encourage all ISPs to check their networks and fix services that can be used as amplification for the DDoS attack.

все равно много

со второго на третье марта количество выросло

это как?)

открыли

)))

все узнали про мемкэш и стали его ставить в прод

кто-то передумал?))

ханипоты понаоткрывали?

кстати, возможно

тысяч 10 добавилось

как-то очень много для ханипотов

в смысле

тысячи 2, не больше

тьху, нолик лишний увидел

все равно прилично

https://access.redhat.com/solutions/3369081

Set up a firewall to ensure your memcached service is only accessible from the trusted hosts that require access to the service. Block all access to the service from the public Internet.

и можно точку поставить ))

Если бы..

угу... кто это прочитает и серьезно отнесется, у того и так все закрыто :)

я б на месте акамай и арбора вывешивал бы не имя клиента, а айпишники серверов memcached в открытом доступе на обзор всему миру честному

что бы любой желающий смог собрать свой собственный ботнет

что бы любой желающий смог собрать свой собственный ботнет

именно

мне сложно себе представить лучшую мотивацию прикрыть дыру

вот такое есть