AWS и Китайские хацкеры

[tessob]

Я видимо непонял в чём предполагаемая проблема - предполагается что есть возможность слушать в подсетке broadcast /multicast ?

Посмотрите как выполняется хак ARP протокола с перенаправлением трафика. Я так, например сидя рядом с вами в кафе с бесплатным вай-фаем, могу писать весь ваш nonSSH трафик.

[geek7]

Я видимо непонял в чём предполагаемая проблема - предполагается что есть возможность слушать в подсетке broadcast /multicast ?

Посмотрите как выполняется хак ARP протокола с перенаправлением трафика. Я так, например сидя рядом с вами в кафе с бесплатным вай-фаем, могу писать весь ваш nonSSH трафик.

AWS не физическая сеть, вот что они про свой SDN пишут:

Packet Sniffing Even two virtual instances that are owned by the same customer located on the same physical host cannot listen to each other's traffic. Additionally, attacks such as ARP cache poisoning do not work within Amazon EC2 and Amazon VPC.

[tessob]

AWS не физическая сеть, вот что они про свой SDN пишут...

Так я же написал, что опасаюсь появления такой дырки в будущем. Просто сейчас тенденция в сторону контейнеризации усиливается и вполне возможно, что в одной из следующих контейнерных технологий это окажется вдруг возможно.

[VovaK98]

Ну кстати да, инстанс в aws видит другие инстансы через локальную сеть.

Нет, только если куплен VPC & subnet правильно сконфигурированы.
По умолчанию EC2 instance открыты всем ветрам.

[helg]

Рекомендую fail2ban

У меня весь фронт, на котором сидят юзеры, всегда скалируется горизонтально. Для меня не проблема поднять еще два ведра виртуалок и озадачить ддосеров.

Ваше дело. Но при этом раскрывается факт, что сеть за данным IP сильно масштабирована и позволяет долго заниматься экспериментами. Это делает данный IP более привлекательным для подобных попыток.

[tessob]

Ваше дело. Но при этом раскрывается факт, что сеть за данным IP сильно масштабирована и позволяет долго заниматься экспериментами. Это делает данный IP более привлекательным для подобных попыток.

Нас тоже навещали подобные приступы паранойи, в результате чего мы просто навелосипедили себе систему для анализа логов со статистикой, блекджеком и шлю... Если будет возникать некая тенденция (производная функции сглаживания), то запустится panic-mode и все подписавшиеся получат SNS уведомлялку со ссылкой. Однако, на практике такая уведомлялка приходит раз в 3-4 месяца. Подавляющая масса атак -- это надежда на то, что где-то остались стандартные пароли. На нагрузку это вообще не влияет.