mboost-dp1
www.politi.dk
brostenen (49) skrev:Vi snakker her om 30k mennesker, der lige pludselig stod og skulle overveje om konsekvensen af dette, var at man så skulle gå fra famillie og hjem.
Arhh.... skal vi nu ikke lige.
De kunne bevæge sig udenfor og gå ned på deres lokale afdeling og få det ordnet.
Og selv i de få tilfælde, hvor det ikke kunne lade sig gøre - hvorfor skulle de dog gå fra deres familie? Og monstro ikke banken ville vise lidt velvilje?
Arbejder du ved 3F?
Træk da lige vejret engang. Der er _ingen_ der har sagt du skal overvåges i hoved og røv.brostenen (50) skrev:Jaja..... Straks skal der tænkes "De har noget at skjule".
Lidt som "Jeg vil gerne overvåges helt op i min endetarm, fordi jeg har ikke noget at skjule, for jeg er ikke terrorist, nej jeg er ej!!!!".....
DU HAR NOGET AT SKJULE, OG DET ER DIT PRIVATLIV.
Der er bare tvivl om 3F taler sandt - og med god grund synes jeg.
XorpiZ (51) skrev:Arhh.... skal vi nu ikke lige.
De kunne bevæge sig udenfor og gå ned på deres lokale afdeling og få det ordnet.
Og selv i de få tilfælde, hvor det ikke kunne lade sig gøre - hvorfor skulle de dog gå fra deres familie? Og monstro ikke banken ville vise lidt velvilje?
Arbejder du ved 3F?
Nej. Jeg studerer og er medlem af dansk metal.
Men indtil sidst i 2010, havde jeg modtaget kontanthjælp.
Så jeg ved (heldigvis nu) også til samfundets bund.
brostenen (50) skrev:Jaja..... Straks skal der tænkes "De har noget at skjule".
Lidt som "Jeg vil gerne overvåges helt op i min endetarm, fordi jeg har ikke noget at skjule, for jeg er ikke terrorist, nej jeg er ej!!!!".....
DU HAR NOGET AT SKJULE, OG DET ER DIT PRIVATLIV.
kan ikk se hvad mit og/eller dit privatliv har med en logfil fra en server at gøre. Ville du ikk også være temmelig sur på 3f hvis du fandt ud af at det var dem som valgte at lukke deres mit3f.dk ned så deres medlemer ikke kunne få dag penge??
[offtopic]
tillykke det lykedes dig at skaffe en status som "uheldig" iløbet af 3 kommentare(du slog næsten min record som er på 1 kommentar).
brostenen (53) skrev:XorpiZ (51) skrev:Arhh.... skal vi nu ikke lige.
De kunne bevæge sig udenfor og gå ned på deres lokale afdeling og få det ordnet.
Og selv i de få tilfælde, hvor det ikke kunne lade sig gøre - hvorfor skulle de dog gå fra deres familie? Og monstro ikke banken ville vise lidt velvilje?
Arbejder du ved 3F?
Nej. Jeg studerer og er medlem af dansk metal.
Men indtil sidst i 2010, havde jeg modtaget kontanthjælp.
Så jeg ved (heldigvis nu) også til samfundets bund.
Du svarede ikke på mine to andre spørgsmål.
Hvorfor skulle man gå fra sin familie, hvis man ikke kunne få kontanthjælp en måned?
kasperd (42) skrev:Princippet i et DDoS angreb er at sende mere trafik end der er kapacitet til på netværket. Hvis en router ikke kan sende alle de pakker den modtager til et specifikt link, så går nogle af dem tabt.
Hvad kalder du så et angreb hvor et større antal computere sender HTTP requests til en bestemt web server og den web server går totalt i stå p.g.a. belastningen men hvor netværket og routere fint kan klare det?
KimH (11) skrev:Når politiet laver en sådan aktion, må man formode, at de har bevis for den objektive del. Derimod kan de jo forsøge at forsvare sig med at de ikke havde til hensigt at forstyrre dagpengeregistreringen, men alene hjemmesiden.
KimH (11) skrev:Så må det være op til en dommer (og nogle domsmænd) at vurdere om det virker troværdigt, at personer med evnerne til at lave den slags angreb, ikke har vidst at de også ville lægge andre tjenester ned i samme forbindelse.
Givet at 3f.dk har link som:
Selvbetjening
Tast dagpengekort
på forsiden, så tror jeg at forsæt bliver svær at argumentere imod (sandsynlighedsforsæt).
Magten (47) skrev:Hackergruppe: 3F lukkede selv dagpenge-server for at høste sympati
Magten (52) skrev:Der er bare tvivl om 3F taler sandt - og med god grund synes jeg.
Der er 2 servere involveret her.
3f.dk - der er så vidt jeg kan se ikke nogen som har påstået at den ikke var angrebet - og da den er hostet eksternt, så vil der være en uafhængig 3. part som kan verificere.
mit3f.dk - er der så nogen som hævder ikke blev angrebet - oh den er hostet internt.
Men:
http://www.version2.dk/artikel/flere-personer-i-3f...
Sigtelserne om at lægge Mit3f.dk ned er alvorlige, fordi Mit3f.dk har et delvist offentligt præg i form af dagpengeindberetning, og derfor går strafferammen op til seks år. Sektionsleder ved Københavns Politi Tomas Juhl vil dog ikke ud med, hvor mange ud af de fem nuværende sigtede, som også kan linkes til Mit3f.dk.
»Jeg kan bekræfte, at et udsnit af de fem sigtede også sigtes for relationer til Mit3f.dk’s nedbrud. Men jeg vil ikke ud med, hvor mange det drejer sig om,« siger Tomas Juhl til Version2.
så politiet mener altså at der har været et angreb.
Jeg synes ikke at en teori om en sammesværgelse mellem 3F og politiet lyder sandsynlig.
Jeg synes heller ikke at en teori om at 3F har forfalsket log filer så godt at politiets IT efterforsknings-center ikke har ladet sig narre.
Det kalder jeg et DoS angreb. Der er mange typer DoS angreb. Når man snakker om DDoS angreb fokuserer man på at udsættes for mere trafik end der kan genereres fra en enkelt computer. Og det er en type angreb som er næsten umulige at beskytte sig imod.arne_v (56) skrev:Hvad kalder du så et angreb hvor et større antal computere sender HTTP requests til en bestemt web server og den web server går totalt i stå p.g.a. belastningen men hvor netværket og routere fint kan klare det?
Hvis serveren kan overbelastes uden at overbelaste netværket, så er der tale om en svaghed i softwaren på serveren selv. Det kan f.eks. ikke udelukkes at passende requests kan presse hukommelsesforbruget højt op og ramme en bug i kernen som får den til at deadlocke eller gå ned på en anden måde. Men dette er i så fald en helt anden klasse problem end et DDoS angreb, og løsningen er at rette den bug, som fik serveren til at gå ned.
I den konkrete sag var det umuligt at få svar på så meget som en enkelt pakke. Det betyder at der kan ikke være tale om en ren usermode bug. Selv pakker, som under normale omstændigheder besvares af kernen selv uden at involvere usermode, fik man ikke svar på.
Magten (59) skrev:Jeg skal ikke kunne sige det, men 3F (og fagforeninger generelt) er eksperter i at spille ofre og twiste sandheder til uigenkendelighed.
En fagforening varetager deres medlemmers interesser - de er ikke et objektivt sandhedssøgende organ.
Hvis en fagforening udtaler sig til pressen om:
- hvad deres medlemmer får i løn
- hvad andre får i løn
- hvad de kræver i løn
- hvad arbejdsgiver har tilbudt i løn
så er der al mulig grund til lidt sund skepsis - de forsøger naturligvis at spinne til deres fordel.
Det samme gør arbejdsgiverne, de politiske partier etc..
Men der er meget langt fra at spinne (også selvom det er så groft at det på almindligt dansk hedder at lyve) og så til at begå en strafbar handling ved at producere falske beviser til politiet for en forbrydelse der ikke har fundet sted.
Bestemt, men da jeg skrev #52 var der intet udover 3F's egne ord for at mit3f.dk rent faktisk var blev angrebet.arne_v (61) skrev:Men der er meget langt fra at spinne (også selvom det er så groft at det på almindligt dansk hedder at lyve) og så til at begå en strafbar handling ved at producere falske beviser til politiet for en forbrydelse der ikke har fundet sted.
Først senere på dagen valgte politiet at sigte nogle personer for det.
3F har flere gange i den her konflikt vist at de ikke magter at holde sig til sandheden så jeg tvivlede naturligvis på deres påstand.
Jeg vil lige præcisere min foregående udtalelse en anelse. En server behøver ikke nødvendigvis have resurser nok til at foretage den normale behandling af alle de forespørgsler, som det er fysisk muligt at presse over netværket til den. Men hvis den er korrekt implementeret er den i stand til uanset belastningen at tage stilling til hvilke af de modtagne forespørgsler den vil behandle og give en passende fejlmelding på de andre. Under ekstreme forhold kan en passende fejlmelding sagtens være TCP reset. Derudover må antallet af behandlede forespørgsler ikke falde, hvis antallet af forespørgsler sendt til serveren er stigende.kasperd (60) skrev:Hvis serveren kan overbelastes uden at overbelaste netværket, så er der tale om en svaghed i softwaren på serveren selv.
Ved lav belastning er det nemt at få en server til at behandle alle de forespørgsler, den modtager. Efterhånden som belastningen stiger når man et niveau, hvor en server er nødt til at afvise nogle forespørgsler og antallet af behandlede forespørgsler ikke længere vokser lineært med antallet af modtagne forespørgsler.
Den ideelle situation er at serveren håndterer 100% af de modtagne forespørgsler indtil kapaciteten nås, hvorefter funktionen bliver flad og serveren behandler samme antal forespørgsler per sekund uanset hvor mange flere den modtager.
I praksis laver funktionen dog ikke sådan et knæk. Man vil begynde at afvise forespørgsler før man når den absolutte grænse for hvad hardwaren kan klare, og funktionen vil flade ud. I et dårligt designet system vil funktionen begynde at falde igen således at antallet af behandlede forespørgsler falder, hvis antallet af modtagne forespørgsler bliver ved med at stige. Sidstnævnte scenarie er en bug som åbner op for DoS angreb. Den klasse af angreb er ikke DDoS angreb i den almindelige forstand. Men selvfølgelig kan de godt udføres distribueret alligevel.
Der er også meget langt fra at udvælge hvilke dele af sandheden man fortæller om og så til at lyve. Jeg mener ikke at det i alle tilfælde bør være ulovligt at lyve, men i nogle tilfælde er det.arne_v (61) skrev:Men der er meget langt fra at spinne (også selvom det er så groft at det på almindligt dansk hedder at lyve) og så til at begå en strafbar handling
Uanset lovligheden, så er det til gengæld moralsk forkert for en fagforening at lyve. Jeg kan ikke vide med sikkerhed om 3F har løjet i denne sag. Det er muligt at de blot er så inkompetente, at de faktisk tror på at det de siger, er sandt. Det er også muligt at de er blevet fejlciteret og har valgt at se gennem fingrene med at medierne spreder fejlcitater, der ville have været løgn, hvis 3F faktisk havde sagt det.
kasperd (60) skrev:I den konkrete sag var det umuligt at få svar på så meget som en enkelt pakke. Det betyder at der kan ikke være tale om en ren usermode bug. Selv pakker, som under normale omstændigheder besvares af kernen selv uden at involvere usermode, fik man ikke svar på.
P1 harddisken havde d. 7. Sep et indslag omkring dette angreb: http://www.dr.dk/harddisken/blog/2012/09/07/faglig...
17 minutter og 38 sek til 20 minutter i podcasten er der en kort forklare fra 3F hvorfor de valgte at lukke mit3f.dk.
Begrundelsen var, at "på et tidspunkt begynder der at komme rygter om at der er nogle som har bagdøre" og 3F "tror ikke de er inde", men de er ikke sikkert. Så de vægler at lukke.
Nu snakkede jeg om 3f.dk. Jeg nåede ikke at konstatere at mit3f.dk også var nede.Hekatombe (64) skrev:17 minutter og 38 sek til 20 minutter i podcasten er der en kort forklare fra 3F hvorfor de valgte at lukke mit3f.dk.
Da det første gang blev nævnt at de selv havde lukket for serveren, blev det ikke udspecificeret hvilken server, der var tale om. Og på daværende tidspunkt var det kun 3f.dk som var nede.
3f.dk havde til gengæld været nede i næsten et døgn før de angiveligt selv lukkede for serveren.
Symptomerne på 3f.dk kunne sagtens forklares med at serveren var lukket ned, til gengæld stemte de ikke overens med et DDoS angreb.
I tidligere citater fra 3F har de meget skråsikkert slået fast, at der ikke er nogen som har trængt ind.Hekatombe (64) skrev:Begrundelsen var, at "på et tidspunkt begynder der at komme rygter om at der er nogle som har bagdøre" og 3F "tror ikke de er inde", men de er ikke sikkert. Så de vægler at lukke.
Hvis vi skal være præcise, så betyder en bagdør jo at det er et insiderjob. Men det kan selvfølgelig være at nogen fejlagtigt har sagt bagdør og ment sikkerhedshul.
Et rygte om at nogen kender et sikkerhedshul er efter min mening ikke præcist nok til at man ville lukke en server ned på det grundlag. For det ville da godt nok være nemt at udføre DoS angreb, hvis alt man skulle gøre var at starte sådan et rygte og så lade administratoren gøre resten af arbejdet. (Det lykkedes ikke da anonymous prøvede at lægge facebook ned på den måde.)
At lukke ned, hvis man har et bekræftet sikkerhedshul, er et fornuftigt træk. Og det er et træk som burde anvendes oftere i IT branchen. Men i så fald skal man også selv stå ved sit ansvar for den nedetid det medfører.
Når man tager det træk at lukke ned for systemet, så skal man også have en plan for hvad man har tænkt sig at gøre, mens systemet er lukket ned. Og for at kunne have sådan en plan er man nødt til at have nogle informationer at arbejde med. Hvis ikke man har nogen konkrete informationer, som man ikke havde da systemet blev sat i drift, så har man reelt kun mulighed for at gentage det sikkerhedsreview, som man gennemførte før det blev sat i drift.
Hvis man pga. en trussel om et angreb blot går i gang med at udføre det stykke arbejde, men kunne og burde have gjort for længe siden, så er man selv skyld i den nedetid, det medfører.
Hvis derimod man har konkrete informationer om et specifikt hul, eller hvis man har dumps af forsøg på at udføre angreb, så giver det informationer, som kan bruges til at lave en mere målrettet indsats for sikkerheden. Og afhængigt af informationernes karakter, kunne en sådan indsats godt involvere at serveren lukkes ned, mens den står på.
kasperd (60) skrev:Det kalder jeg et DoS angreb. Der er mange typer DoS angreb. Når man snakker om DDoS angreb fokuserer man på at udsættes for mere trafik end der kan genereres fra en enkelt computer. Og det er en type angreb som er næsten umulige at beskytte sig imod.
Definitionen på DDoS er faktisk at der bruges flere maskiner - ikke at det er nødvendigt med flere maskiner.
Så jeg forstår ikke helt hvorfor du ikke vil kalde "angreb hvor et større antal computere sender HTTP requests" for DDoS.
kasperd (60) skrev:Hvis serveren kan overbelastes uden at overbelaste netværket, så er der tale om en svaghed i softwaren på serveren selv. Det kan f.eks. ikke udelukkes at passende requests kan presse hukommelsesforbruget højt op og ramme en bug i kernen som får den til at deadlocke eller gå ned på en anden måde. Men dette er i så fald en helt anden klasse problem end et DDoS angreb, og løsningen er at rette den bug, som fik serveren til at gå ned.
Sludder.
kasperd (63) skrev:Jeg vil lige præcisere min foregående udtalelse en anelse. En server behøver ikke nødvendigvis have resurser nok til at foretage den normale behandling af alle de forespørgsler, som det er fysisk muligt at presse over netværket til den. Men hvis den er korrekt implementeret er den i stand til uanset belastningen at tage stilling til hvilke af de modtagne forespørgsler den vil behandle og give en passende fejlmelding på de andre.
Netop.
kasperd (60) skrev:I den konkrete sag var det umuligt at få svar på så meget som en enkelt pakke. Det betyder at der kan ikke være tale om en ren usermode bug. Selv pakker, som under normale omstændigheder besvares af kernen selv uden at involvere usermode, fik man ikke svar på.
Men det ville vel passe meget godt med at deres hosting firma havde sat noget netværks udstyr til at droppe alt til den server??
kasperd (63) skrev:Det er muligt at de blot er så inkompetente, at de faktisk tror på at det de siger, er sandt. Det er også muligt at de er blevet fejlciteret og har valgt at se gennem fingrene med at medierne spreder fejlcitater, der ville have været løgn, hvis 3F faktisk havde sagt det.
Hvad er det helt præcist du mener at 3F er citeret for som ikke er korrekt?
I så fald er det jo hosting udbyderen, som er skyld i at serveren er offline, og ikke "hackerne".arne_v (68) skrev:Men det ville vel passe meget godt med at deres hosting firma havde sat noget netværks udstyr til at droppe alt til den server??
Selvom det ville være teknisk muligt for en hosting udbyder at gøre dette, så tjener det intet formål. Med mindre serveren er kompromitteret og de er igang med at undersøge den. Men 3F har jo udtalt at serveren er offline.
At serveren var udsat for et DDoS angreb (selvom symptomerne slet ikke peger den vej). At de selv tog serveren offline på et givent tidspunkt for at beskytte den imod angrebet (For det første stemmer tidspunktet overhovedet ikke overens med de observationer, jeg selv gjorde. For det andet kan man ikke beskytte en server imod et DDoS angreb ved at tage den offline.)arne_v (69) skrev:Hvad er det helt præcist du mener at 3F er citeret for som ikke er korrekt?
Og så er der deres udtalelser om, hvem der står bag angrebet. Der er sikkert flere, som jeg har glemt igen.
kasperd (70) skrev:I så fald er det jo hosting udbyderen, som er skyld i at serveren er offline, og ikke "hackerne".
Nej.
Hvis hosting firmaet lukker ned p.g.a.et DDoS angreb, så er det stadig dem bagved DDoS angrebet som har skylden.
Ligesom at hvis der er cykelløb på en vej og politiet spærer af, så er det stadig cykelløbets skyld og ikke politiets.
kasperd (70) skrev:Selvom det ville være teknisk muligt for en hosting udbyder at gøre dette, så tjener det intet formål. Med mindre serveren er kompromitteret og de er igang med at undersøge den.
Hvis den deler resourcer me dandre web servere så synes jeg at der er meget gode grunde for hosting firmaet til at stoppe trafikken inden den rammer serveren.
kasperd (70) skrev:At serveren var udsat for et DDoS angreb (selvom symptomerne slet ikke peger den vej).
Det forstå jeg så ikke.
Din observation er at 3f.dk havde 100% pakke tab men at nabo maskinerne svarede fint.
Passer det ikke fint med et scenarie hvor et DDoS bringer serveren i knæ og hosting firmaet cutter adgangen i en netværksbox for at beskytte andre servere der deler resourcer med 3f.dk?
kasperd (70) skrev:Og så er der deres udtalelser om, hvem der står bag angrebet.
Ifølge:
http://finanswatch.dk/Finansnyt/article4787360.ece
blev der sagt:
”Hvem er det lige, der betaler de der hackere for at lave de angreb? Det er jo ikke noget, man bare sætter sig til at gøre. Nogen finansierer det her. Jeg beskylder dem ikke for noget, men jeg konstaterer bare, at Saxo Bank allerede har skudt penge i det her.”
Der er vel 3 dele i den udtalelse:
"Hvem er det lige, der betaler de der hackere for at lave de angreb? Det er jo ikke noget, man bare sætter sig til at gøre. Nogen finansierer det her."
Jeg mener ikke at der foreligger noget endeligt om hvorvidt de hackere er blevet betalt eller ej.
Personligt tror jeg ikke at de er det. Men 3F kan jo tro noget andet.
"Jeg beskylder dem ikke for noget,"
Nej.
Han nøjes med at antyde.
"men jeg konstaterer bare, at Saxo Bank allerede har skudt penge i det her."
Og det er jo korrekt ifølge:
http://finanswatch.dk/Finansnyt/Pengeinstitutter/a...
kasperd (70) skrev:For det andet kan man ikke beskytte en server imod et DDoS angreb ved at tage den offline.)
Nej, men man kan beskytte resten af netværket. Den nemmeste måde at slå et DDoS ihjel er enten at slukke hosten midlertidigt eller endnu bedre ved på routerniveau at droppe alt traffik mod hosten i en periode indtil trafikken forsvinder.
Du skriver selv at et DDoS typisk overbelaster hele netværket og ikke bare målet. Du kan ikke seriøst mene at det er hosting centeret der har ansvaret for nedetiden fordi de dropper trafikken for at minimere impact under et DDoS angreb.
Hvis angrebet ikke er stort nok til at det faktisk kunne have bragt nogen service ned, og hostingudbyderen alligevel vælger at tage serveren offline, så mener jeg kun man kan bebrejde hostingudbyderen.arne_v (71) skrev:Hvis hosting firmaet lukker ned p.g.a.et DDoS angreb, så er det stadig dem bagved DDoS angrebet som har skylden.
Hvis det skal have nogen effekt skal trafikken filtreres før den sendes over de delte links. Hvis trafikken først filtreres når den allerede har brugt kapacitet på de delte links og det kun er det dedikerede link man forhindrer den i at bevæge sig over, så har filtreringen ingen positiv effekt.arne_v (72) skrev:Hvis den deler resourcer me dandre web servere så synes jeg at der er meget gode grunde for hosting firmaet til at stoppe trafikken inden den rammer serveren.
Og såfremt man faktisk har kapacitet nok til at modtage alt trafikken på sin første router, men ikke har kapacitet nok til at sende det hele til serveren, så kan man lave langt mere intelligent filtrering på den første router end at bare droppe alt til den pågældende server.
Jeg vil mene at en professionel hostingudbyder gør hvad der er teknisk muligt for at reducere den effekt et DDoS angreb har både for den ramte kunde og andre kunder.
Hvis filtret havde ligget tidligt havde man kunnet se det med traceroute.arne_v (73) skrev:Passer det ikke fint med et scenarie hvor et DDoS bringer serveren i knæ og hosting firmaet cutter adgangen i en netværksbox for at beskytte andre servere der deler resourcer med 3f.dk?
Hvis dem som udfører angrebet mener det alvorligt, så giver de jo ikke op, bare fordi serveren går offline.mbw2001 (75) skrev:Den nemmeste måde at slå et DDoS ihjel er enten at slukke hosten midlertidigt eller endnu bedre ved på routerniveau at droppe alt traffik mod hosten i en periode indtil trafikken forsvinder.
Ja et DDoS angreb overbelaster typisk hele netværket. Det skete bare ikke i tilfældet med 3f.dk. Netværket havde ingen problemer. Der var nul pakketab på en nabo IP. Og derfor tror jeg ikke på at det var et DDoS angreb der gjorde serveren utilgængelig.mbw2001 (75) skrev:Du skriver selv at et DDoS typisk overbelaster hele netværket og ikke bare målet.
Nej. Men der er intet som tyder på, at det var det, der skete i denne sag.mbw2001 (75) skrev:Du kan ikke seriøst mene at det er hosting centeret der har ansvaret for nedetiden fordi de dropper trafikken for at minimere impact under et DDoS angreb.
Selvfølgelig må udbyderen filtrere, hvis det er nødvendigt for at sikre stabiliteten af servicen. Men det skal være et filter, som hjælper nogen. Jeg vil kalde det for meget uprofessionelt, hvis hostingudbyderen laver et filter, som forværre situationen for det ramte site uden at hjælpe nogen andre sites.
#76
Nu gætter du jo bare....
Du er jo direkte selvmodsigende i din post. Først skriver du at nabositesne ikke var berørte fordi der ingen pakketab var og samtidig siger du at nedlukningen af 3Fs ikke hjalp de andre servere... Hvilken holdning vælger du?
Det virker mest af alt som om du drejer fakta til at passe din konspirationsteori fremfor at bygge teorien på de fakta som ligger på bordet.
Occam's razor... Hvad er mest sandsynligt? At en gruppe scriptkiddies starter et DDoS mod 3Fs server og 3F (sandsynligvis i samarbejde med hostingselvskabet) vælger at lukke serveren indtil de kan garantere at deres server ikke vil påvirke de resterende kunders drift.
Eller at 3F bevist lukker deres eget site ned, indeblander politi og får anholdt 3 tilfældige uskyldige drenge for at underbygge en falsk historie for sympati?
Jeg kan ikke sige med sikkerhed at 3F ikke har kørt den store konspiration i stilling. Men synes godt nok man skal være ualmindelig partisk for at finde din teori mest sandsynlig.
Nu gætter du jo bare....
Du er jo direkte selvmodsigende i din post. Først skriver du at nabositesne ikke var berørte fordi der ingen pakketab var og samtidig siger du at nedlukningen af 3Fs ikke hjalp de andre servere... Hvilken holdning vælger du?
Det virker mest af alt som om du drejer fakta til at passe din konspirationsteori fremfor at bygge teorien på de fakta som ligger på bordet.
Occam's razor... Hvad er mest sandsynligt? At en gruppe scriptkiddies starter et DDoS mod 3Fs server og 3F (sandsynligvis i samarbejde med hostingselvskabet) vælger at lukke serveren indtil de kan garantere at deres server ikke vil påvirke de resterende kunders drift.
Eller at 3F bevist lukker deres eget site ned, indeblander politi og får anholdt 3 tilfældige uskyldige drenge for at underbygge en falsk historie for sympati?
Jeg kan ikke sige med sikkerhed at 3F ikke har kørt den store konspiration i stilling. Men synes godt nok man skal være ualmindelig partisk for at finde din teori mest sandsynlig.
Når pakkerne når frem til det punkt, hvor de kunne filtrere dem har de allerede brugt resurser på de delte links. At lukke serveren ned hjælper ikke på det.mbw2001 (77) skrev:Du er jo direkte selvmodsigende i din post. Først skriver du at nabositesne ikke var berørte fordi der ingen pakketab var og samtidig siger du at nedlukningen af 3Fs ikke hjalp de andre servere... Hvilken holdning vælger du?
Desuden var symptomerne identiske både før og efter det tidspunkt, hvor serveren angiveligt blev lukket ned.
Alt hvad jeg siger er at de observationer jeg har gjort ikke stemmer overens med de udtalelser fra 3F om hændelsesforløbet. Der kan fremsættes mange teorier om hændelsesforløbet, endnu har jeg ikke set nogen overbevisende teori. Jeg tænker at der er 50% chance for at ikke en eneste af de fremsatte teorier faktisk er korrekt.mbw2001 (77) skrev:Det virker mest af alt som om du drejer fakta til at passe din konspirationsteori fremfor at bygge teorien på de fakta som ligger på bordet.
Jeg tror ikke at 3F har fremstillet bevismateriale til at få politiet til at anholde uskyldige personer. Jeg mener ikke 3F fremstår troværdige, men der er trods alt et stort skridt fra injurier og så til direkte at forfalske bevismateriale.mbw2001 (77) skrev:Eller at 3F bevist lukker deres eget site ned, indeblander politi og får anholdt 3 tilfældige uskyldige drenge for at underbygge en falsk historie for sympati?
Jeg tror på at der faktisk foreligger bevismateriale som sandsynliggør eller beviser at disse personer har været involveret i enten et angreb imod 3F eller trusler om det.
Men jeg tror ikke på at 3Fs site blev lagt ned af et DDoS angreb.
En tredje mulighed som for mig lyder meget mere sandsynlig end begge de forklaringer du nævner er følgende: 3F kan have haft begrundet mistanke om et alvorligt sikkerhedshul på deres server. Denne mistanke kan skyldes:
- Man kender et konkret sikkerhedshul
- Man har fundet symptomer på at serveren allerede er kompromitteret
- Man har sparet så meget på driften, at man med stor sandsynlighed har overset noget vigtigt.
Og 3F kan på baggrund af denne mistanke valgt at lukke serveren ned. Samtidigt vil de ikke indrømme, hvor meget de har sløset med sikkerheden.
Som sagt ved jeg ikke, hvad jeg skal tro. Jeg har endnu ikke set en teori, som både stemmer overens med mine egne observationer og udtalelserne fra 3F. Derfor tror jeg ikke på at de udtalelser, jeg har læst fra 3F er korrekte.
Kort resume af interviewene i starten.Hekatombe (64) skrev:P1 harddisken havde d. 7. Sep et indslag omkring dette angreb
De interviewer en person som ved noget om IT sikkerhed. Han forklarer hvad DDoS angreb er. Men tilsyneladende ved han intet om den konkrete sag, så det hjælper os ikke til at finde ud af, hvad der er foregået.
Personen fra 3F citerer først deres hosting, som har fortalt at det ligner et DDoS angreb. Han forklarer at det startede med et angreb på 3f.dk midt på ugen og løbet af weekenden bliver også mit3f.dk ramt.
Desuden forklarer han at der er rygter om bagdøre i deres systemer, og da mit3f.dk er et system med følsomme oplysninger som man logger ind med nemid for at tilgå, så tager de rygterne meget alvorlige og lukker systemet ned.
Han forklarer også om trusler om diverse fysiske angreb. Desuden forklarer han at 3F hørte rygter om angreb imod HK og orienterede HK. Slutteligt forklarer han at situationen blev forværret af at angrebene skete midt i sommerferien og af at de var midt i et skift af hosting.
Personen fra HK fortæller om det angreb de blev udsat for. Han forklarer at trafikken først kommer ind gennem deres firewall, derefter gennem en loadbalancer, og endeligt kommer til en webserver. Under angrebet gik loadbalanceren ned.
Han forklarede at de kunne identificere nogle IP adresser, som var involveret i angrebet og blokere dem. Det hjalp meget, men ikke helt nok. Derfor indførte de også embryonic filtrering på deres firewall, hvilket løste problemet. Det skete ni timer efter angrebet var startet.
Personen fra HK forklarer, at det hjalp dem at deres Linux systemer gør det nemmere at finde ud af hvad der foregår, end det ville have været med Windows.
Til sidst får man at vide at stort set alle dagpenge indberetninger blev håndteret til tiden.
Det fremgår også at politiet angiveligt har lavet ransagninger imod personer udelukkende på grundlag af at de har besøgt en IRC kanal imens angrebet stod på.
Alt i alt synes jeg det lyder som om at personen fra HK faktisk har forstand på den teknik han arbejder med. Med personen fra 3F er man meget i tvivl.
Hvad angår nedetiden på 3Fs håndtering af dagpengeindberetninger, så fremgår det af interviewet at det skyldes at de lukkede serveren ned pga. rygter om en bagdør.
Er der nogen som efter at have hørt det interview stadigvæk tror at den langvarige nedetid på mit3f.dk skyldes DDoS angreb? Jeg synes i hvert fald at det interview slår fast at det ikke var tilfældet.
Man får ikke at vide om de rygter om en bagdør på nogen måde hænger sammen med DDoS angrebene. Hvis det er forskellige personer som står bag, så er det altså rygterne som er skyld i nedetiden. Men det lyder som om politiet i højere grad er gået efter personer involveret i DDoS angrebet og ikke rygter om en bagdør.
Hvis en person har startet et falskt rygte om en bagdør, kan vedkommende så straffes for den nedetid der har været imens systemet blev undersøgt? Personen som starter sådan et rygte har jo ingen indflydelse på om serveren bliver lukket ned eller hvor lang tid det tager at undersøge den for bagdøre.
Hvis rygtet om en bagdør er sandt, så må det være den person hos 3F eller deres hosting, som har plantet bagdøren, der er mest skyldig.
Jeg finder det noget ironisk at firewallen kan klare trafikken, men loadbalanceren går ned. En loadbalancer er jo et stykke hardware, hvis eneste opgave er at skulle håndtere meget trafik. Men det var så HKs infrastruktur. Denne tråd handler om 3F, blev der sagt noget om 3Fs infrastruktur?stekkurms (79) skrev:Han forklarer at trafikken først kommer ind gennem deres firewall, derefter gennem en loadbalancer, og endeligt kommer til en webserver. Under angrebet gik loadbalanceren ned.
Det burde 3F også have gjort. Hvorfor gjorde de ikke det?stekkurms (79) skrev:Han forklarede at de kunne identificere nogle IP adresser, som var involveret i angrebet og blokere dem.
Det navn har jeg ikke hørt før, men jeg søgte lidt på det og fandt frem til en lidt overfladisk beskrivelse. Tilsyneladende er det et navn som Cisco bruger for en beskyttelse imod SYN flooding.stekkurms (79) skrev:Derfor indførte de også embryonic filtrering på deres firewall
Hvis serveren bagved firewallen kan bruge SYN cookies til at beskytte imod SYN flooding, så vil en filtrering som den der bliver beskrevet faktisk forværre situationen.
Med SYN cookies kan halvåbne forbindelser håndteres stateless på serveren. Begrænsningen i firewallen er nød til at være stateful og kan ikke skelne mellem legitim trafik og SYN flooding. Dermed vil den være nødt til at smide legitime forbindelser væk.
Han siger de bruger Linux. Men Linux har support for SYN cookies, så den burde være i stand til at modstå et SYN flooding angreb, hvis den ellers blev forbundet direkte til Internettet.
Men ved at sætte firewall og loadbalancer foran bliver de igen sårbar overfor angreb som serveren selv kunne modstå.
Jeg finder det ganske ironisk at loadbalanceren bukker under for SYN flooding før de servere, der ligger bag den.
Det var først længe efter angrebet at jeg hørte at mit3f.dk også blev angrebet. Så 3F syntes åbenbart selv at mit3f.dk var vigtigere end 3f.dk. Og det vil jeg ikke argumentere imod. Men jeg savner stadigvæk en forklaring på, hvad der skete med 3f.dk. Som tidligere nævnt pegede symptomerne ikke på DDoS angreb.stekkurms (79) skrev:Er der nogen som efter at have hørt det interview stadigvæk tror at den langvarige nedetid på mit3f.dk skyldes DDoS angreb? Jeg
Det er jo forholdsvis nemt at starte sådan et rygte. Hvis man lukker et system ned på grundlag af et udokumenteret rygte som man alligevel ikke kan verificere korrektheden af, så er man jo ekstremt sårbar overfor DoS angreb.stekkurms (79) skrev:Hvis en person har startet et falskt rygte om en bagdør, kan vedkommende så straffes for den nedetid der har været imens systemet blev undersøgt?
På den anden side er det ikke ret forskelligt fra diverse bombetrusler. Det sker jo gang på gang at bygninger eller større områder ryddes pga. en bombetrussel. Og ofte er der ikke engang nogen som står bag, men det hele skyldes en simpel misforståelse.
Udfra den ekspertise du antyder manden fra 3F havde, så kunne det vel godt tænkes at han ikke kender forskellen på en bagdør og et sikkerhedshul.stekkurms (79) skrev:Hvis rygtet om en bagdør er sandt, så må det være den person hos 3F eller deres hosting, som har plantet bagdøren, der er mest skyldig.
kasperd (76) skrev:Hvis angrebet ikke er stort nok til at det faktisk kunne have bragt nogen service ned, og hostingudbyderen alligevel vælger at tage serveren offline, så mener jeg kun man kan bebrejde hostingudbyderen.
Ja *hvis*.
Og hvis ikke så er det altså en anden sag.
kasperd (76) skrev:Hvis det skal have nogen effekt skal trafikken filtreres før den sendes over de delte links. Hvis trafikken først filtreres når den allerede har brugt kapacitet på de delte links og det kun er det dedikerede link man forhindrer den i at bevæge sig over, så har filtreringen ingen positiv effekt.
Nu antager du igen at det er netværket og ikke serverne som er angrebet.
kasperd (76) skrev:Hvis filtret havde ligget tidligt havde man kunnet se det med traceroute.
????
Hvis det hosting firma er bare lidt kompetent, så har de vel:
---firewall---net box 1---net box 2---server
hvor du tracerouter til IP adressen på ydersiden af firewallen.
Hvordan kan traceroute vise om server er nede eller en af de 2 netboxe droppe trafikken?
kasperd (76) skrev:Jeg vil kalde det for meget uprofessionelt, hvis hostingudbyderen laver et filter, som forværre situationen for det ramte site uden at hjælpe nogen andre sites.
Ja, men det re vel meget professionelt at filtrere hvis der er flere kunder som deler servere og de ved at filtrere kan fjerne ulemperne for andre kunder og 3F's server alligevel er ubrugelig.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund