TPSA nullroutuje nie swoje IP
Grzegorz Janoszka
Wiele razy widziałem, że jakieś organizacje walczące w imieniu
przymierających głodem artystów blokowały IP/domeny hostujące torrenty i
inny terrorystyczny content. Ale pierwszy raz widzę, żeby robiła to sama
TPSA.
Jeden z moich IP (nie polski) został zablokowany w TPSA. France Telecom
i Telia bez problemu rutują do tego IP, a strona lg.tpnet.pl podaje:
Type escape sequence to abort.
Tracing the route to hosted-by.leaseweb.com (62.212.X.Y)
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
A sh ip bg z tejże stronki podaje:
BGP routing table entry for 62.212.X.Y/32, version 345220424
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
65444
80.50.231.205 from 80.50.231.205 (213.25.2.10)
Origin IGP, localpref 100, valid, internal, best
Community: 5617:997 5617:3322 65444:65444 no-export
Originator: 213.25.2.238, Cluster list: 91.0.2.1, 22.0.0.4, 22.0.3.1
W internecie nie mogę zbyt wiele znaleźć informacji o tym prywatnym AS i
dziwnym community 65444:65444. Znalazłem za to to:
http://lg.tpnet.pl/zasady_bgp.html i zdanie:
"5617:997 - blackholing community - ma zastosowanie jedynie dla tras
\32 peerów rozgłaszających pojedynczy AS."
Zaraz napiszę do registrymałpatepsa, ale przy okazji - miał ktoś podobne
doświadczenia? Że został zablokowany przez tepsę? Jak to się udawało
rozwiązać?
--
Grzegorz Janoszka
Tomasz Śląski
> Tracing the route to hosted-by.leaseweb.com (62.212.X.Y)
Daj na priv dokładny adres, sprawdzę od siebie co i jak.
--
TOM
Jan Strybyszewski
>
> Wiele razy widziałem, że jakieś organizacje walczące w imieniu
> przymierających głodem artystów blokowały IP/domeny hostujące torrenty i
> inny terrorystyczny content. Ale pierwszy raz widzę, żeby robiła to sama
> TPSA.
Nauczyli sie blackholingu :) zawsze mozesz zlozyc reklamacje
>
Grzegorz Janoszka
Ale ja nie jestem klientem TPSA, a oni blokują mój adres. Sugerujesz, że
mam zadzwonić na błękitną i przez 90 minut tłumaczyć pani, że
znullroutowali mój IP rozgłaszając prefiks /32 po swojej sieci? :)
--
Grzegorz Janoszka
Grzegorz Janoszka
>> Tracing the route to hosted-by.leaseweb.com (62.212.X.Y)
> Daj na priv dokładny adres, sprawdzę od siebie co i jak.
Nullroute zniknął. Niemniej uważam takie coś za terroryzm sieciowy:
"Zapłaćcie nam E1000000 bo inaczej znullroutujemy wasze IP w sieciach
największych telekomów Europy/świata i zajmie wam miesiące na odkrycie
tego, kto, gdzie i za co"
Ktoś kogoś nazwał na ircu "grubasem" i ten ktoś nullroutuje jego IP w
sieci obsługującej miliony Polaków?
--
Grzegorz Janoszka
bo...@nano.pl
Zadzwon, nagraj rozmowe, bedzie ciekawie.
wer
Konrad Plich
Użytkownik "Grzegorz Janoszka" <Grze...@nie-lubie-spamu.Janoszka.pl>
napisał w wiadomości news:gdph18$acd$1...@news.onet.pl...
> Tomasz Śląski wrote:
>>> Tracing the route to hosted-by.leaseweb.com (62.212.X.Y)
>> Daj na priv dokładny adres, sprawdzę od siebie co i jak.
>
> Nullroute zniknął. Niemniej uważam takie coś za terroryzm sieciowy:
Obrona uzytkowników sieci przed zagrożeniami związanymi z sieciami botnet to
jest obrona a nie terroryzm.
>
> "Zapłaćcie nam E1000000 bo inaczej znullroutujemy wasze IP w sieciach
> największych telekomów Europy/świata i zajmie wam miesiące na odkrycie
> tego, kto, gdzie i za co"
O płaceniu nie słyszałem :-) Zwykle wystarcza napisać do ab...@tpnet.pl i
obiecać że zagrożenie ustało.
Nawet bez pisania po jakims czasie jesli zagrożenie zniknie dany IP zostaje
odblokowany.
>
> Ktoś kogoś nazwał na ircu "grubasem" i ten ktoś nullroutuje jego IP w
> sieci obsługującej miliony Polaków?
Nie używam IRCA i zbyt tłusty nie jestem więc osobiście nie czuje sie
urażony ;-)
Konrad Plich
Jan Strybyszewski
Coz nikt nie gwarantuje routingu do wszystkich sieci.
Musisz znalesc klienta w TPSA ktory zlozy reklamacje
>
--
Portal edukacyjny o inwestowaniu - http://www.inwestowanie.org.pl/
Jan Strybyszewski
> Tomasz Śląski wrote:
>>> Tracing the route to hosted-by.leaseweb.com (62.212.X.Y)
>> Daj na priv dokładny adres, sprawdzę od siebie co i jak.
>
> Nullroute zniknął. Niemniej uważam takie coś za terroryzm sieciowy:
Bardzo ciekawe szczegolnie ze mowisz o serwerze z piractwem :)
> Ktoś kogoś nazwał na ircu "grubasem" i ten ktoś nullroutuje jego IP w
> sieci obsługującej miliony Polaków?
Nie mamy panskiego plaszcza jak sie ma takich klientow to sie ponosi
konsekwencje
futszaK
> > Nullroute zniknął. Niemniej uważam takie coś za terroryzm sieciowy:
> Bardzo ciekawe szczegolnie ze mowisz o serwerze z piractwem :)
przy obecnym stanie techniki piractwo było, jest i będzie, czy się to
komuś podoba czy nie, zaś różnego rodzaju działania tych od antypiractwa
wydają się zwyczajnie śmieszne
--
Tomasz Kruk
http://net.czarne.net - zapraszamy do współpracy okolicznych operatorów
Grzegorz Janoszka
> O p³aceniu nie s³ysza³em :-) Zwykle wystarcza napisaæ do ab...@tpnet.pl i
> obiecaæ ¿e zagro¿enie usta³o.
Sprawa wyjaśniona, ale niestety oglądając samo bgp/communities człowiek
nie dojdzie do tego, że to było jakiekolwiek nadużycie, że było
jakiekolwiek zagrożenie - po prostu nic nie wie. Widzi tylko, że ktoś
gdzieś zablokował jego IP. Sugeruję lepsze opisanie community 5617:997,
tak by było widać, że to automatyczna blokada, która minie, a jak nie
minie, to pisać do Andrzeja Buse.
A skojarzyłem to z organizacjami dokarmiającymi głodujących artystów, bo
najczęściej mamy takie przypadki, że oni blokują IP. Bo tak.
--
Grzegorz Janoszka
Konrad Plich
Użytkownik "Grzegorz Janoszka" <Grze...@nie-lubie-spamu.Janoszka.pl>
napisał w wiadomości news:gdpslc$l9i$1...@news.onet.pl...
> Konrad Plich wrote:
>> O p3aceniu nie s3ysza3em :-) Zwykle wystarcza napisaa do ab...@tpnet.pl i
>> obiecaa ?e zagro?enie usta3o.
>
> Sprawa wyjaśniona, ale niestety oglądając samo bgp/communities człowiek
> nie dojdzie do tego, że to było jakiekolwiek nadużycie, że było
> jakiekolwiek zagrożenie - po prostu nic nie wie. Widzi tylko, że ktoś
> gdzieś zablokował jego IP. Sugeruję lepsze opisanie community 5617:997,
> tak by było widać, że to automatyczna blokada, która minie, a jak nie
> minie, to pisać do Andrzeja Buse.
Słuszna uwaga. Poprawiliśmy opis na http://lg.tpnet.pl/zasady_bgp.html
Konrad Plich
Michal Jankowski
> Słuszna uwaga. Poprawiliśmy opis na http://lg.tpnet.pl/zasady_bgp.html
To jest ten poprawiony opis?
---
5617:997 - blackholing community - klienci BGP rozgłaszający
pojedynczy AS mogą go ustwiać samodzielnie dla tras \32 peerów. W
przypadku zaistnienia wątpliwości co do podjętych działań, prosimy o
kontakt z zespołem TP CERT
---
Ja tego tekstu nie rozumiem w ogóle.
Przecież powinno być napisane, że routing jest PRZEZ WAS wrzucany w tę
czarną dziurę z powodów takich a takich, a nie zdanie sugerujące, że
to klienci sobie sami ustawiają. Co to jest "\32 peerów"?
Poza tym powinien być jakiś sposób odpytania, dlaczego akurat ten
adres został zablokowany.
MJ
Przemek Jaroszewski
> Jan Strybyszewski wrote:
>
>>> Nullroute zniknął. Niemniej uważam takie coś za terroryzm sieciowy:
>> Bardzo ciekawe szczegolnie ze mowisz o serwerze z piractwem :)
>
> przy obecnym stanie techniki piractwo było, jest i będzie, czy się to
> komuś podoba czy nie, zaś różnego rodzaju działania tych od antypiractwa
> wydają się zwyczajnie śmieszne
Nie samym piractwem LeaseWeb stoi :) Jeżeli tak Pana Grzegorza boli
nullroutowanie LeaseWebu, zapraszamy do CERT Polska - tutaj historia tej
hostowni jest dużo dłuższa i ciekawsza. Zresztą jej kopia powinna
znajdować się na skrzynce "abuse" do której chyba powinien Pan mieć
dostęp, zachęcam do lektury.
Terroryzmem i zorganizowaną przestępczością jest w wielu przypadkach
content na tych serwerach a nie odcinanie się od niego.
--
Pozdrawiam
Przemek
Przemek Jaroszewski
Sugerujesz, że każdy ma obowiązek umożliwiać dostęp do wszystkiego, co
ktoś w Internecie wrzuci? Wiem, wsadzę kij w mrowisko, ale jeśli ktoś
umieści dziecięcą pornografię to należy każdemu ułatwić dostęp do niej?
A może ktoś nie życzy sobie żeby jego klienci mieli dostęp do
kontrolerów botnetów? A może RBN powinien szczęśliwie istnieć i kwitnąć?
Czujesz, że granica cierpliwości jeśli nawet trudna do ustalenia to
gdzieś jednak istnieje? Może lepiej sprzątać na swoim podwórku tak, żeby
być po jej właściwej stronie?
--
Pozdrawiam
Przemek
Przemek Jaroszewski
> Nie samym piractwem LeaseWeb stoi :) Jeżeli tak Pana Grzegorza boli
> nullroutowanie LeaseWebu, zapraszamy do CERT Polska - tutaj historia tej
> hostowni jest dużo dłuższa i ciekawsza.
Aha, no i żeby nie było... Z całego LeaseWebu nullroutowane było/jest
kilka bardzo konkretnych i umotywowanych hostów :>
--
Pozdrawiam
Przemek
Jacek Zapala
> futszaK pisze:
> > przy obecnym stanie techniki piractwo było, jest i będzie, czy się to
> > komuś podoba czy nie, zaś różnego rodzaju działania tych od antypiractwa
> > wydają się zwyczajnie śmieszne
>
> Nie samym piractwem LeaseWeb stoi :) Jeżeli tak Pana Grzegorza boli
> nullroutowanie LeaseWebu, zapraszamy do CERT Polska - tutaj historia tej
> hostowni jest dużo dłuższa i ciekawsza. Zresztą jej kopia powinna
> znajdować się na skrzynce "abuse" do której chyba powinien Pan mieć
> dostęp, zachęcam do lektury.
> Terroryzmem i zorganizowaną przestępczością jest w wielu przypadkach
> content na tych serwerach a nie odcinanie się od niego.
>
A dla mniej zorientowanych dodam, że nie chodzi tu o filmy leżące w
katalogu udostępnianym w jakiejś sieci p2p tylko o sprawy znacznie
grubsze.
I należy zdecydowanie pochwalić politykę ISP chroniącego swoich klientów
(a także innych przed swoimi klientami).
--
Pozdrawiam,
Jacek Zapała
Jacek Zapala
> Aha, no i żeby nie było... Z całego LeaseWebu nullroutowane było/jest
> kilka bardzo konkretnych i umotywowanych hostów :>
Nasuwa się pytanie, czemu LeaseWeb się nimi skutecznie nie zajął.
--
Jacek
Michal Jankowski
> A dla mniej zorientowanych dodam, że nie chodzi tu o filmy leżące w
> katalogu udostępnianym w jakiejś sieci p2p tylko o sprawy znacznie
> grubsze.
Mianowicie?
MJ
Jan Strybyszewski
Malware, kontroler botneta pewnie cos z tego
Michal Jankowski
> Malware, kontroler botneta pewnie cos z tego
Znaczy ja sie domyslam z wczeniejszych postow, ze w tym konkretnym
przypadku nie chodzilo o nazwanie kogos grubasem na ircu, tylko o
serwer irca sluzacy do sterowania botnetem, tylko po prostu jakos
slowo "content" mi do tego nie pasowalo 8-).
MJ
Marcin Kulas
>
> Obrona uzytkowników sieci przed zagro?eniami zwi?zanymi z sieciami botnet to
Nurtuje mnie jedna kwestia. TP nadaje dość licznej grupie swoich klientów
dynamiczne IP. Z tych dynamicznych IP łączą się m.in. abuserzy, którzy
rozrabiają na IRC. Admini serwerów IRC dwoją się i troją, by ich wycinać,
ale to jak rzucanie się z motyką na słońce. Zamiast wyciąć całą neostradę,
zaciskają zęby i obsługują każdy incydent indywidualnie i doraźnie, bo nie
chcą wylewać dziecka z kąpielą. W ramach podziękowań TP nullroutuje IP
serwerów ircd[*1], bo przecież to one są źródłem dzikich botnetów, a nie
dzieci neostrady. Gdzie tu sens? Gdzie logika? Choćbym nie wiem jak się
starał tego nie powiedzieć, na usta ciśnie mi się słowo: hipokryzja.
Oczywiście to tylko jeden z wielu przypadków, w których Cygan zawinił,
a kowala powiesili.
Mam pytanie, jak najbardziej szczere. Co stoi na przeszkodzie, by TP
nadawała stałe adresy IP klientom? Dlaczego tak bardzo utrudniacie
(nie odbierz tego personalnie) innym usuwanie abuserów z sieci, a sami
lekką ręką wycinacie innych, niekoniecznie bezpośrednio winnych,
w obrębie swojego ASa?
A może misją TP jest jednak utworzenie dużego intranetu i odcięcie
się od innych operatorów? Tylko, że wtedy gros abuserii znajdzie sobie
inny target, wewnątrz sieci i problem nadal pozostanie nierozwiązany.
Czy ktoś z CERT-u mógłby porozmawiać na ten temat z rozumiejącymi
techniczne kwestie (czyt. nie biurokratami) ludźmi z TP, by ci potem
przetłumaczyli problem wyższym warstwom? I czy ci techniczni ludzie
z TP w ogóle zechcą podjąć ryzyko wyjaśnienia istoty problemu swoim
przełożonym?
Alternatywą jest chyba tylko bojkot klientów TP i głosowanie nogami.
[*1] Żeby nie było gołosłownie, podaję kilka przykładów:
BGP routing table entry for 149.156.124.222/32, version 346112830
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
3402
80.50.231.205 from 80.50.231.205 (213.25.2.10)
Origin IGP, localpref 100, valid, internal, best
Community: 5617:997 5617:3322 no-export
Originator: 213.25.2.238, Cluster list: 91.0.2.1, 22.0.0.4, 22.0.3.1
BGP routing table entry for 212.182.63.110/32, version 346109232
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
3402
80.50.231.205 from 80.50.231.205 (213.25.2.10)
Origin IGP, localpref 100, valid, internal, best
Community: 5617:997 5617:3322 no-export
Originator: 213.25.2.238, Cluster list: 91.0.2.1, 22.0.0.4, 22.0.3.1
BGP routing table entry for 150.254.6.206/32, version 346110028
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
3402
80.50.231.205 from 80.50.231.205 (213.25.2.10)
Origin IGP, localpref 100, valid, internal, best
Community: 5617:997 5617:3322 no-export
Originator: 213.25.2.238, Cluster list: 91.0.2.1, 22.0.0.4, 22.0.3.1
BGP routing table entry for 213.17.153.11/32, version 346111095
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
3402
80.50.231.205 from 80.50.231.205 (213.25.2.10)
Origin IGP, localpref 100, valid, internal, best
Community: 5617:997 5617:3322 no-export
Originator: 213.25.2.238, Cluster list: 91.0.2.1, 22.0.0.3, 22.0.3.1
BGP routing table entry for 213.146.63.33/32, version 346110405
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
3402
80.50.231.205 from 80.50.231.205 (213.25.2.10)
Origin IGP, localpref 100, valid, internal, best
Community: 5617:997 5617:3322 no-export
Originator: 213.25.2.238, Cluster list: 91.0.2.1, 22.0.0.3, 22.0.3.1
ASN3402 = MAPS
Dlaczego zatem na http://lg.tpnet.pl/zasady_bgp.html podajecie
namiar na CERT, skoro blackholing karmicie prefiksami z MAPS?
--
[ Marcin Kulas jid: h...@jabbed.org ]
[ "Bądź uczynny, pomagaj innym - a wtedy wszyscy wokół pomyślą, ]
[ że to co dla nich robisz, jest twoim zasranym obowiązkiem." ]
Krzysztof Halasa
> Sugerujesz, że każdy ma obowiązek umożliwiać dostęp do wszystkiego, co
> ktoś w Internecie wrzuci? Wiem, wsadzę kij w mrowisko, ale jeśli ktoś
> umieści dziecięcą pornografię to należy każdemu ułatwić dostęp do
> niej? A może ktoś nie życzy sobie żeby jego klienci mieli dostęp do
> kontrolerów botnetów? A może RBN powinien szczęśliwie istnieć i
> kwitnąć? Czujesz, że granica cierpliwości jeśli nawet trudna do
> ustalenia to gdzieś jednak istnieje? Może lepiej sprzątać na swoim
> podwórku tak, żeby być po jej właściwej stronie?
Taaak, jasne. Jeszcze terroryzm i Sep 11, 2001.
Przeciez to jest bardzo proste: firma ma klientow. Z klientami
podpisuje umowy. Dostarcza im dostep do sieci - nie do wybranego przez
siebie fragmentu sieci chyba?
Sprawa z dziecieca pornografia itp. jest rowniez bardzo prosta - od
tego sa prokuratorzy, policja i sądy. Byc moze niekoniecznie w Polsce,
przyznaje. Wrzucanie kogos w czarna dziure jest mniej wiecej tym
samym, co ignorowanie produkcji i sprzedazy dzieciecej pornografii,
jesli tylko nie widac jej na polce w kiosku.
Latwo byc prokuratorem i sedzia w jednej osobie?
Zupelnie czym innym sa same ataki (trwajace w danej chwili) i tu nie
mam takich watpliwosci. Swoja droga, co ma *CERT do dzieciecej
pornografii to nie mam zielonego pojecia.
To nie jest tak ze ja tu widze zla wole, nie - podejrzewam dobre
intencje, tyle ze - jak to mowia - dobrymi intencjami jest pieklo
wybrukowane :-(
--
Krzysztof Halasa
Verox
> Konrad Plich wrote:
>>
>> Obrona uzytkowników sieci przed zagro?eniami zwi?zanymi z sieciami botnet to
>> jest obrona a nie terroryzm.
Na początek zblokowałbym SMTP z neostrad.
[...]
> Mam pytanie, jak najbardziej szczere. Co stoi na przeszkodzie, by TP
> nadawała stałe adresy IP klientom? Dlaczego tak bardzo utrudniacie
> (nie odbierz tego personalnie) innym usuwanie abuserów z sieci, a sami
> lekką ręką wycinacie innych, niekoniecznie bezpośrednio winnych,
> w obrębie swojego ASa?
Nie wiesz ? To jasne, warstwa 9 modelu ISO/OSI *). Z tych samych przyczyn dla
których BGP jest płatne w &fTP, taka polityka - trzeba zepsuć usługe żeby ktoś
kupił droższą.
*) pieniądze :-)
--
begin 755 signature.exe
[tomek <at> kalety <dot> net] vy 73! de SP9UOB
Proud to be 100 percent microsoft free. op. Tomek
futszaK
nie można złożyć reklamacji, na wesołej linii wzbraniają się przed tym
jak tylko mogą "bo przecież Internet Panu działa, może jakieś prace są
przeprowadzane na routerze"
dno i wodorosty, jak ja się ciesze że są szanse na przyszły rok uwolnić
się z sieci tpnet :)
--
Tomasz Kruk
http://futszak.blogspot.com/
futszaK
> Coz nikt nie gwarantuje routingu do wszystkich sieci.
> Musisz znalesc klienta w TPSA ktory zlozy reklamacje
nie chcą przyjmować reklamacji, trzeba na piśmie :(
futszaK
> > Nie samym piractwem LeaseWeb stoi :) Jeżeli tak Pana Grzegorza boli
> > nullroutowanie LeaseWebu, zapraszamy do CERT Polska - tutaj historia tej
> > hostowni jest dużo dłuższa i ciekawsza.
> Aha, no i żeby nie było... Z całego LeaseWebu nullroutowane było/jest
> kilka bardzo konkretnych i umotywowanych hostów :>
ciekawe co jest przyczyną nullroutowania polskich serworów ircnetu ?
może jakiś oficjalny komunikat w tej sprawie ?
futszaK
> Nie wiesz ? To jasne, warstwa 9 modelu ISO/OSI *). Z tych samych przyczyn dla
> których BGP jest płatne w &fTP, taka polityka - trzeba zepsuć usługe żeby ktoś
> kupił droższą.
problem w tym, że ostatnio wśród klientów końcowych słyszę opinie, że
dynamiczne IP jest lepsze od statycznego "bo można za darmo z rapida
ściągać"
więc jak to w końcu jest ? dynamiczne IP jest lepsze czy gorsze od
statycznego dla klientów końcowych ?
Krzysztof Halasa
> problem w tym, że ostatnio wśród klientów końcowych słyszę opinie, że
> dynamiczne IP jest lepsze od statycznego "bo można za darmo z rapida
> ściągać"
>
> więc jak to w końcu jest ? dynamiczne IP jest lepsze czy gorsze od
> statycznego dla klientów końcowych ?
Wniosek jest prosty: dynamiczne IP jest lepsze dla wszelkiej masci
abuserow, i gorsze dla normalnych userow.
--
Krzysztof Halasa
Krzysztof Halasa
> Na początek zblokowałbym SMTP z neostrad.
Cokolwiek bez sensu, jesli ktos nie chce przyjmowac poczty z neostrad
(i np. z wszelkich dialupow itd) to przeciez nie musi.
--
Krzysztof Halasa
bo...@nano.pl
Chyba nikt nie przyjmuje w tej chwili poczty z dynamicznych IP, poza
uwierzytelnionymi klientami.
wer
futszaK
> Wniosek jest prosty: dynamiczne IP jest lepsze dla wszelkiej masci
> abuserow, i gorsze dla normalnych userow.
dlaczego gorsze ?
bo się dzierżawa kończy raz na jakiś czas ?
Krzysztof Halasa
>> Wniosek jest prosty: dynamiczne IP jest lepsze dla wszelkiej masci
>> abuserow, i gorsze dla normalnych userow.
>
> dlaczego gorsze ?
> bo się dzierżawa kończy raz na jakiś czas ?
Oczywiscie, bo np. zmiana adresu wiaze sie z zerwaniem wszystkich
istniejacych polaczen np. TCP, i nie mozna do takiej neostrady dostac
sie z zewnatrz (np. przez SSH, SMTP itd) bez kombinowania.
Ale za to abuserzy sie ciesza, bo zdecydowanie trudniej jest ich
namierzyc, a czesto jest to po prostu nierealne.
--
Krzysztof Halasa
Lukasz Trabinski
>
> Mam pytanie, jak najbardziej szczere. Co stoi na przeszkodzie, by TP
> nadawała stałe adresy IP klientom? Dlaczego tak bardzo utrudniacie
Już widzę płacz właścicieli wszelakiej maści firm hostingowych i wylewane
żale na polipa... :)
--
ŁT
Grzegorz Janoszka
Jak masz kilkanaście tysięcy maszyn, z których wiele ma różnych
właścicieli, którzy jeszcze nie są bezpośrednio klientami, bo obsługuje
się wielu resellerów, to ciężko skutecznie zadbać o każdy incydent.
Zresztą najczęściej sami nullroutujemy w naszej sieci podejrzane IP do
czasu wyjaśnienia, więc nawet nie zauważamy wtedy ewentualnej blokady u
innych operatorów.
Natomiast niepokoją mnie wszelkiego rodzaju automatyczne skrypty, które
wykrywają serwery botnetów i je automatycznie blokują. Jak wiadomo
algorytmy nie są doskonałe, a potem odkręcanie blokady jest skomplikowane.
Mieliśmy przypadek, że Telecom Italia zablokował jakiś IP. I to nie z
powodu ddos/botnet/cokolwiek, tylko że tam sąd wydał jakiś wyrok
nakazujący blokowanie czegoś, a ktoś przygotowujący listę hostów do
zablokowania się walnął (literówka?) i zablokował nie ten IP. Wiecie,
jak ciężko odkręca się takie przypadki?
Innym razem jakaś sieć zablokowała cały prefiks naszego klienta. Ładnie
odpisali, że nie mają pojęcia, dlaczego jest zablokowany, ale że blokady
nie ściągną, bo jak ktoś ją założył, to widocznie jest potrzebna.
Jak masz jakieś konkretne przypadki działań niezgodnych z holenderskim
prawem, o których zgłoszenia zostały zignorowane przez firmę, to daj
znać. Pornografia dziecięca znika błyskawicznie, ale trudno blokować
klienta, za to że jego maszyna być może wysłała dwa pakiety w świat.
--
Grzegorz Janoszka
Grzegorz Janoszka
> Sugerujesz, że każdy ma obowiązek umożliwiać dostęp do wszystkiego, co
> ktoś w Internecie wrzuci? Wiem, wsadzę kij w mrowisko, ale jeśli ktoś
> umieści dziecięcą pornografię to należy każdemu ułatwić dostęp do niej?
Wiesz, kupując dostęp do internetu, kupujesz dostęp do internetu, a nie
tylko do treści, które się operatorowi podobają. Zresztą, gdyby istniało
zapotrzebowanie społeczne na "czysty internet", to by firmy miały taką
usługę, prawda?
--
Grzegorz Janoszka
Grzegorz Janoszka
> dno i wodorosty, jak ja się ciesze że są szanse na przyszły rok uwolnić
> się z sieci tpnet :)
Wiesz, narzekać na swoje podwórko każdy potrafi. Ja np. byłem
zaszokowany tym, że w Holandii dłużej się czeka na zestawienie internetu
od KPN niż w PL od TPSA. A reklamowanie i odkręcanie czegoś jest chyba
nawet gorsze niż na błękitnej linii, w szczególności, jak masz internet
od jednej firmy, po drucie drugiej. Pomijam kwestie ogromnej przepaści w
infrastrukturze i tego, że KPN peeruje się ;-) ale mimo wszystko z
daleka widać, że TPSA taka zła nie jest z punktu widzenia przeciętnego
klienta.
--
Grzegorz Janoszka
abar...@gmail.com
wrote:
Nie do końca rozumiem twój punkt widzenia z jednej strony mowa o
ochronie ludzi (nie koniecznie Klientów TP) przed zagrożeniami z a
drugiej mowa o płatnym BGP.
Czy w związku z tym uważasz że należny wszystkim pozwolić na bycie
kontrolowanym prze BotNet?
Cy na prawdę uważacie że w imię dostępu i wolności słowa należy
poświęcić 90% nieświadomego społeczeństwa i pozwolić im na podłączenie
niezabezpieczonych Windows do Internetu?
Zastanówmy się czy działania ISP na rzecz bezpieczeństw na prawdę są
negatywne za nim dopuścimy się krytyki. Ludzi którzy wiedzą z jakimi
zagrożeniami wiąże się dostęp no netu i czytają np. to forum jest
jedynie ~10% czy wiec należy tak negatywnie oceniać działania ISP?
futszaK
> > dno i wodorosty, jak ja się ciesze że są szanse na przyszły rok uwolnić
> > się z sieci tpnet :)
> Wiesz, narzekać na swoje podwórko każdy potrafi.
ja nie narzekam, jako prowadzący firme sprzedającą usługi konkurencyjne
wobec TPSA (a właściwie to TPSA sprzedaje na moim terenie usługi
konkurencyjne wobec mich, bo w wielu miejscach byłem pierwszy) tylko
stwierdzam fakt. gdybym mógł się od TPSA odtentegować to bym się już
odtentegował chociażby dla zasady, niezależnie od faktu, że są poprostu
drodzy
> Ja np. byłem
> zaszokowany tym, że w Holandii dłużej się czeka na zestawienie internetu
> od KPN niż w PL od TPSA. A reklamowanie i odkręcanie czegoś jest chyba
> nawet gorsze niż na błękitnej linii
czego oczekujesz od kraju, w którym narkotyki są legalne :P
> w szczególności, jak masz internet
> od jednej firmy, po drucie drugiej. Pomijam kwestie ogromnej przepaści w
> infrastrukturze i tego, że KPN peeruje się ;-) ale mimo wszystko z
> daleka widać, że TPSA taka zła nie jest z punktu widzenia przeciętnego
> klienta.
tonący brzytwy się łapie...
Krzysztof Halasa
> Chyba nikt nie przyjmuje w tej chwili poczty z dynamicznych IP, poza
> uwierzytelnionymi klientami.
To taki zart, jak rozumiem.
Chyba ze nikt = jakies tam "portale".
--
Krzysztof Halasa
Krzysztof Halasa
> Cy na prawdę uważacie że w imię dostępu i wolności słowa należy
> poświęcić 90% nieświadomego społeczeństwa i pozwolić im na podłączenie
> niezabezpieczonych Windows do Internetu?
Jak to bylo z tym zaslugiwaniem na wolnosc?
> Zastanówmy się czy działania ISP na rzecz bezpieczeństw na prawdę są
> negatywne za nim dopuścimy się krytyki. Ludzi którzy wiedzą z jakimi
> zagrożeniami wiąże się dostęp no netu i czytają np. to forum jest
> jedynie ~10% czy wiec należy tak negatywnie oceniać działania ISP?
Oczywiscie.
Poza tym sa rozwiazania takie (jak np. "opcjonalne pakiety
bezpieczenstwa"), ktore nie wymuszaja na uzytkowniku bycia
"niewolnikiem", a tylko mu to umozliwiaja.
--
Krzysztof Halasa
Konrad Bechler
>> Wniosek jest prosty: dynamiczne IP jest lepsze dla wszelkiej masci
>> abuserow, i gorsze dla normalnych userow.
> dlaczego gorsze ?
Dlatego, że normalnemu użytkownikowi może się trafić IPek wykorzystywane
wcześniej przez abusera i nullroutowany lub filtorwany w innej części
Sieci. Jasne, moża zadzwonić i poprosić o odblokowanie. Ale za
24h/tydzień dostaniesz kolejny IPek...i tak w kółko.
Jeżeli użytkownik nie robi nic nielegalnego (a dokładniej: takiego, co
wymaga ukrycia się), to IMO lepszy dla niego jest adres statyczny.
--
Konrad Bechler
konrad (at) konsol (dot) eu
Konrad Bechler
> Sugerujesz, że każdy ma obowiązek umożliwiać dostęp do wszystkiego, co
> ktoś w Internecie wrzuci?
No, jeżeli oferuje 'dostęp do Internetu', to chyba powinien oferować
dostęp do wszystkiego, co w nim (tym Internecie) jest?
No tak, sprzedaliśmy to auto, ale wie Pan, akurat foteli nie było, to
dostał Pan bez...
Marek Marczykowski
> futszaK <fut...@gmail.com> writes:
>
>>> Wniosek jest prosty: dynamiczne IP jest lepsze dla wszelkiej masci
>>> abuserow, i gorsze dla normalnych userow.
>>
>> dlaczego gorsze ?
>> bo się dzierżawa kończy raz na jakiś czas ?
>
> Oczywiscie, bo np. zmiana adresu wiaze sie z zerwaniem wszystkich
> istniejacych polaczen np. TCP, i nie mozna do takiej neostrady dostac
> sie z zewnatrz (np. przez SSH, SMTP itd) bez kombinowania.
No i łatwo można trafić na IP już gdzieś poblokowane, bo poprzedni
"właściciel" narozrabiał.
--
Pozdrawiam,
Marek Marczykowski | gg:2873965
marmarek at staszic waw pl | xmpp:marmarek at staszic waw pl
Tomasz Piłat
>> Sugerujesz, że każdy ma obowiązek umożliwiać dostęp do wszystkiego, co
>> ktoś w Internecie wrzuci?
> No, jeżeli oferuje 'dostęp do Internetu', to chyba powinien oferować
> dostęp do wszystkiego, co w nim (tym Internecie) jest?
> No tak, sprzedaliśmy to auto, ale wie Pan, akurat foteli nie było, to
> dostał Pan bez...
Ale internet to nie samochód i porównanie wyjątkowo nietrafione.
Ponc
--
Kto misiowi urwał ucho?
Konrad Bechler
>>> Sugerujesz, że każdy ma obowiązek umożliwiać dostęp do wszystkiego, co
>>> ktoś w Internecie wrzuci?
>> No, jeżeli oferuje 'dostęp do Internetu', to chyba powinien oferować
>> dostęp do wszystkiego, co w nim (tym Internecie) jest?
>> No tak, sprzedaliśmy to auto, ale wie Pan, akurat foteli nie było, to
>> dostał Pan bez...
> Ale internet to nie samochód i porównanie wyjątkowo nietrafione.
Masz rację.
Ale Internet określa się czasem jako informatyczną autostradę.
"Sorry, nie możesz wjechać do naszego miasta, bo Twoje OC na to nie
pozwala"...
xarafaxz@[TNIJTA]gmail.com
> Konrad Plich wrote:
>>
>> Obrona uzytkowników sieci przed zagro?eniami zwi?zanymi z sieciami botnet
>> to jest obrona a nie terroryzm.
>
> Nurtuje mnie jedna kwestia. TP nadaje dość licznej grupie swoich klientów
> dynamiczne IP. Z tych dynamicznych IP łączą się m.in. abuserzy, którzy
> rozrabiają na IRC. Admini serwerów IRC dwoją się i troją, by ich wycinać,
> ale to jak rzucanie się z motyką na słońce. Zamiast wyciąć całą neostradę,
> zaciskają zęby i obsługują każdy incydent indywidualnie i doraźnie, bo nie
> chcą wylewać dziecka z kąpielą. W ramach podziękowań TP nullroutuje IP
> serwerów ircd[*1], bo przecież to one są źródłem dzikich botnetów, a nie
> dzieci neostrady. Gdzie tu sens? Gdzie logika? Choćbym nie wiem jak się
> starał tego nie powiedzieć, na usta ciśnie mi się słowo: hipokryzja.
>
> Oczywiście to tylko jeden z wielu przypadków, w których Cygan zawinił,
> a kowala powiesili.
>
> Mam pytanie, jak najbardziej szczere. Co stoi na przeszkodzie, by TP
> nadawała stałe adresy IP klientom? Dlaczego tak bardzo utrudniacie
> ...
Nie mam pojęcia czy TPSA kierowało to samo co mną, ale nadaje userom
dynamiczne ip z prostego powodu: zużycie. Przykładowo mając 2k adresów
mogę, śpiąc spokojnie, podpiąć do nich 3k userów. W praktyce jeszcze dużo
więcej, ale to nie istotne. Oczywiście jak ktoś koniecznie chce stałe bo ą
ę itd , można się dogadać. Tak czy siak rozdawanie statycznych IP
_użytkownikom domowym_ uważam za marnotrawstwo, w IPv6 można ale... Aha i
co do blokowania abuserów po adresie IP, RBL-i itp, to uważam że jest to
_zawsze_ złe, od tego służy abuse czy CERT, zależy co kto ma.
Marcin Kulas
> Nie mam pojęcia czy TPSA kierowało to samo co mną, ale nadaje userom
> dynamiczne ip z prostego powodu: zużycie. Przykładowo mając 2k adresów
> mogę, śpiąc spokojnie, podpiąć do nich 3k userów.
Jest to jakiś argument, ale wtedy Ty masz więcej roboty, jak ktoś
z Twojej sieci narozrabia (a w dużych sieciach dzieje się to co chwilę)
i to do Ciebie należy potem szukanie kto danego dnia o danej godzinie
miał podany IP, by urwać łeb abuserowi i nasikać do szyi, a potem jeszcze
dyskutować z poszkodowanymi.
Jeśli tego nie będziesz robił, to trachną Ci całą pulę i wtedy możesz
mieć problem z utrzymaniem klientów, którym poczta/cokolwiek przestanie
do świata docierać.
W przypadku stałego IP dajesz strzelbę w ręce poszkodowanego. Jeśli chce,
może wyciąć w pień jeden IP i obie strony mają mniej roboty.
> Tak czy siak rozdawanie statycznych IP _użytkownikom domowym_
> uważam za marnotrawstwo,
YMMV
> Aha i co do blokowania abuserów po adresie IP, RBL-i itp, to uważam
> że jest to _zawsze_ złe, od tego służy abuse czy CERT, zależy co
> kto ma.
Żartujesz, prawda?
Gdybm chciał zgłaszać każdy spam do abuse/CERT-u, musiałbym to robić
automatycznie. Najprawdopodobniej po kilku dniach zostałbym sam wycięty
za spamowanie ich skrzynek. Dużo prościej i szybciej jest wycinać
od ręki u siebie. Abuse/CERT bym zostawił na grubsze incydenty.
Kiedyś z automatu karmiłem SpamCopa. Sprawność takiego mechanizmu
była średnia w porównaniu z tym czego używam teraz.
Bardziej mi się opłaca utrzymywać własnego RBL-a, którego karmię
tym czym chcę, a potem zasilam nim wszystkie swoje maszyny. Mniej
roboty i false positives, a więcej pożytku dla klientów.
--
[ Marcin Kulas jid: h...@jabbed.org ]
[ "Bądź uczynny, pomagaj innym - a wtedy wszyscy wokół pomyślą, ]
[ że to co dla nich robisz, jest twoim zasranym obowiązkiem." ]
xarafaxz@[tnij_ta]gmail.com
> Jest to jakiś argument, ale wtedy Ty masz więcej roboty, jak ktoś
> z Twojej sieci narozrabia (a w dużych sieciach dzieje się to co chwilę)
> i to do Ciebie należy potem szukanie kto danego dnia o danej godzinie
> miał podany IP, by urwać łeb abuserowi i nasikać do szyi, a potem jeszcze
> dyskutować z poszkodowanymi.
> Jeśli tego nie będziesz robił, to trachną Ci całą pulę i wtedy możesz
> mieć problem z utrzymaniem klientów, którym poczta/cokolwiek przestanie
> do świata docierać.
> W przypadku stałego IP dajesz strzelbę w ręce poszkodowanego. Jeśli chce,
> może wyciąć w pień jeden IP i obie strony mają mniej roboty.
>
Dzierżawę tj, dokładny czas, adres ip, mac CPE oraz modemu kablowego ładnie
zrzucam sobie do Postgres-a. I od tego momentu identyfikacja szkodnika to
mniej niż minuta. Przed spoofingiem zabezpieczają jeszcze inne techniki.
Jak ktoś korzysta z radius-a i pppoe to są nawet dostępne gotowe
rozwiązania. Jeżeli chodzi o strzelbę to ma ona niestety duży rozrzut:
ostatnio mam problemy z firmą trend micro, która umieściła mi 1 adres na
rbl (jeszcze w 2006, bo był tam nat dla userów, teraz jest firmowa poczta,
od lat adres jest czysty) a niektóre osoby muszą wysyłać maile do
instytucji, które z oprogramowania tej, niepoważnej, firmy korzystają.
> Gdybm chciał zgłaszać każdy spam do abuse/CERT-u, musiałbym to robić
> automatycznie. Najprawdopodobniej po kilku dniach zostałbym sam wycięty
> za spamowanie ich skrzynek. Dużo prościej i szybciej jest wycinać
> od ręki u siebie. Abuse/CERT bym zostawił na grubsze incydenty.
>
> Kiedyś z automatu karmiłem SpamCopa. Sprawność takiego mechanizmu
> była średnia w porównaniu z tym czego używam teraz.
> Bardziej mi się opłaca utrzymywać własnego RBL-a, którego karmię
> tym czym chcę, a potem zasilam nim wszystkie swoje maszyny. Mniej
> roboty i false positives, a więcej pożytku dla klientów.
>
Co do zgłoszeń CERT to narazie można powiedzieć że się bardzo nudzę.
Ostatnie miałem podczas akcji "Simone". Pewnie to zasługa tego że ze
spambotami w swojej sieci walcze sam. Oczywiście za pomocą automatów jak
najbardziej. Różnica jest taka że ja zawsze wiem kogo zbanuje, a dla ciebie
to będzie tylko adres IP za którym po 2h, albo nawet w tej chwili jeżeli to
NAT, może się kryć niewinna osoba. W ipv6 będzie to można pewnie o 180
stopni odwrócić, ale do tego długa droga.
Myślę że powinno powstać ujednolicone prawo i procedury postępowania ze
zgłoszeniami.
Marcin Kulas
>
> ostatnio mam problemy z firmą trend micro, która umieściła mi 1 adres na
> rbl (jeszcze w 2006, bo był tam nat dla userów, teraz jest firmowa poczta,
> od lat adres jest czysty) a niektóre osoby muszą wysyłać maile do
> instytucji, które z oprogramowania tej, niepoważnej, firmy korzystają.
Lepiej, że zablokowali tylko 1 IP, a nie całą klasę. A odblokować powinni
po rozmowie, to inna sprawa.
> Co do zgłoszeń CERT to narazie można powiedzieć że się bardzo nudzę.
> Ostatnie miałem podczas akcji "Simone". Pewnie to zasługa tego że ze
> spambotami w swojej sieci walcze sam. Oczywiście za pomocą automatów jak
> najbardziej. Różnica jest taka że ja zawsze wiem kogo zbanuje, a dla ciebie
> to będzie tylko adres IP za którym po 2h, albo nawet w tej chwili jeżeli to
> NAT, może się kryć niewinna osoba.
Ja banuję tymczasowo, więc jeśli źródło problemu ustanie, wpis zniknie.
Wyjątkiem są grubsze incydenty kalibru DoS-a. Takich wycinam po wieki,
a jeśli widzę, że IP dynamiczne, na podłodze ląduje cała pula ISP,
jeśli ten nie raczy odpowiedzieć i zareagować, a jest bardziej egzotyczny.
> Myślę że powinno powstać ujednolicone prawo i procedury postępowania ze
> zgłoszeniami.
Problem w tym, że Internet to naczynia połączone obejmujące cały świat
i nie wierzę w to, że za mojego pokolenia uda się stworzyć międzynarodowy
system prawny radzący sobie z nadużyciami w sieci. Nic nie ucieszyłoby
mnie bardziej niż prawne pozbawienie sieci lub kończyn spamerów z Afryki
lub innych zakątków, którzy są w tej chwili w moim odczuciu bezkarni.
Dużo prościej i szybciej jest reagować samemu, byle nie tak bezsensownie,
jak to tydzień temu zrobiła TP, profanując mechanizm blackholingu.
bo...@nano.pl
>
>> Myślę że powinno powstać ujednolicone prawo i procedury postępowania ze
>> zgłoszeniami.
>
> Problem w tym, że Internet to naczynia połączone obejmujące cały świat
> i nie wierzę w to, że za mojego pokolenia uda się stworzyć międzynarodowy
> system prawny radzący sobie z nadużyciami w sieci. Nic nie ucieszyłoby
> mnie bardziej niż prawne pozbawienie sieci lub kończyn spamerów z Afryki
> lub innych zakątków, którzy są w tej chwili w moim odczuciu bezkarni.
> Dużo prościej i szybciej jest reagować samemu, byle nie tak bezsensownie,
> jak to tydzień temu zrobiła TP, profanując mechanizm blackholingu.
>
Ujednolicenie prawa to ciężka sprawa. Pewnie powstanie kiedyś na wzór międzynarodowego prawa
morskiego. Tylko, że sporo krajów mimo, że ma prawo, to organy ścigania ma mocno zajęte czymś innym.
Chińczycy ścigają blogerów, bo spam z ich IP z przedłużaczami nie jest zagrożeniem dla partii
komunistycznej. Rosja i Ukraina mają wszystko w d... Z tego co widzę w statystykach, im większy
provider tym bardziej mu zwisa. Celują w tym operatorzy narodowi. Turcja, Włochy, Brazylia. Wynika
to też z tego, że jest zbyt dużo userów per pracownik.
wer
Piotr KUCHARSKI
> Różnica jest taka że ja zawsze wiem kogo zbanuje, a dla ciebie
> to będzie tylko adres IP za którym po 2h, albo nawet w tej chwili jeżeli to
> NAT, może się kryć niewinna osoba.
Właśnie. Jak ktoś ma jakiś serwis, który jest atakowany przez jeden z Twoich
adresów IP, to nie będzie się bawił w dochodzenie, kto to może być, zabanuje
jeden IP raz, jak się zmieni, to drugi, może, jak cierpliwy, trzeci, a potem
po całości. Ludzie nie mają czasu i chęci się bawić w takie ciuciubabki. Nie
zawsze też zgłaszają, więc w długim okresie tracą Twoi klienci.
No ale ponoć brakuje adresów v4, a na v6 się nie chce przechodzić...
p.
--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal