Kamil Jońca wrote:
> "witrak()" <w...@h...com> writes:
>
>> Kamil Jońca wrote:
> [...]
>
>>>
>>
>> Zrobić się da, bo to już ustaliliśmy. Problem: po co ?
>>
>> Dyskutujemy o konkretnym rodzaju "ataku", więc nie mamy sobie co
>> wyobrażać. Takiego "ataku" nie ma sensu przeprowadzać - chyba,
>> żeby było to DDoS na infolinię :-)
>
> ALbo coś innego, czego nie potrafimy sobie wyobrazić. Nie, nie chce mi
> się nad tym zastanawiać.
> Dla mnie EOT; nie sądzę, żebym przekonał człowieka, który już wie jak ma
> wyglądać atak, i żadnego innego scenariusza nie dopuszcza.

Słusznie, nie przekonuj mnie, bo ja nie chcę mówić o czymś nowym,
co ewentualnie może być (lub nie), a tylko o tym co było
przedmiotem dyskusji.
Jak coś jest ustalone to powinno pozostać ustalone, a jak mamy
rozmawiać o czymś zupełnie innym, to najpierw powinniśmy zmienić
temat.

witrak()
PS. Trochę przypominasz mi Mao ze starego dowcipu:

Breżniew: Mao, polowaliśmy na tygrysa ?
Mao: Tak.
B: Ustrzeliłem tygrysa ?
M: Tak.
B: No to gdzie jest tygrys ?
M: Jaki tygrys ?
B: Ależ Mao, przecież polowaliśmy na tygrysa !
Mao: Tak.
B: Ustrzeliłem tygrysa ?
M: Tak.
B: No to gdzie jest tygrys ?
M: Jaki tygrys ?
...

do góry

On 3/1/2011 3:14 AM, witrak() wrote:
> Ale o ile pamiętam xbartx rzeczywiście pytał, jak "lecieć" po
> numerach - o kolejnych liczbach nie było mowy, co - zważywszy, że
> wypełnienie numerami kont przestrzeni numerów jest na początku
> bardzo niskie (w najlepszym razie parę procent) - w pratyce
> oznacza, że trzeba wystukać tysiące jeśli nie dziesiątki tysięcy
> numerków, żeby trafić parę kont.

no
parę sekund.

do góry

witek wrote:
> On 3/1/2011 3:14 AM, witrak() wrote:
>> Ale o ile pamiętam xbartx rzeczywiście pytał, jak "lecieć" po
>> numerach - o kolejnych liczbach nie było mowy, co - zważywszy, że
>> wypełnienie numerami kont przestrzeni numerów jest na początku
>> bardzo niskie (w najlepszym razie parę procent) - w pratyce
>> oznacza, że trzeba wystukać tysiące jeśli nie dziesiątki tysięcy
>> numerków, żeby trafić parę kont.
>
> no
> parę sekund.
>

no
na hamerykańskich filmach

zejdź na ziemię

do góry

On 3/1/2011 9:00 AM, witrak() wrote:
> witek wrote:
>> On 3/1/2011 3:14 AM, witrak() wrote:
>>> Ale o ile pamiętam xbartx rzeczywiście pytał, jak "lecieć" po
>>> numerach - o kolejnych liczbach nie było mowy, co - zważywszy, że
>>> wypełnienie numerami kont przestrzeni numerów jest na początku
>>> bardzo niskie (w najlepszym razie parę procent) - w pratyce
>>> oznacza, że trzeba wystukać tysiące jeśli nie dziesiątki tysięcy
>>> numerków, żeby trafić parę kont.
>>
>> no
>> parę sekund.
>>
>
> no
> na hamerykańskich filmach
>
> zejdź na ziemię

no właśnie zejdź na ziemie.
sądzisz, że pekao nie jest w stanie obsłużyć kilkudziesieciu tysiecy
zapytań jednocześnie?
prostym skryptem ci to jestem w stanie zrobić.

do góry

witek wrote:
> On 3/1/2011 9:00 AM, witrak() wrote:
>> witek wrote:
>>> On 3/1/2011 3:14 AM, witrak() wrote:
>>>> Ale o ile pamiętam xbartx rzeczywiście pytał, jak "lecieć" po
>>>> numerach - o kolejnych liczbach nie było mowy, co - zważywszy, że
>>>> wypełnienie numerami kont przestrzeni numerów jest na początku
>>>> bardzo niskie (w najlepszym razie parę procent) - w pratyce
>>>> oznacza, że trzeba wystukać tysiące jeśli nie dziesiątki tysięcy
>>>> numerków, żeby trafić parę kont.
>>>
>>> no
>>> parę sekund.
>>>
>>
>> no
>> na hamerykańskich filmach
>>
>> zejdź na ziemię
>
> no właśnie zejdź na ziemie.
> sądzisz, że pekao nie jest w stanie obsłużyć kilkudziesieciu
> tysiecy zapytań jednocześnie?
> prostym skryptem ci to jestem w stanie zrobić.
>
Policz. Kto stawiałby tak nadmiarowy serwer autentykacji ??? :))))

do góry

On 3/1/2011 6:06 PM, witrak() wrote:
> witek wrote:
>> On 3/1/2011 9:00 AM, witrak() wrote:
>>> witek wrote:
>>>> On 3/1/2011 3:14 AM, witrak() wrote:
>>>>> Ale o ile pamiętam xbartx rzeczywiście pytał, jak "lecieć" po
>>>>> numerach - o kolejnych liczbach nie było mowy, co - zważywszy, że
>>>>> wypełnienie numerami kont przestrzeni numerów jest na początku
>>>>> bardzo niskie (w najlepszym razie parę procent) - w pratyce
>>>>> oznacza, że trzeba wystukać tysiące jeśli nie dziesiątki tysięcy
>>>>> numerków, żeby trafić parę kont.
>>>>
>>>> no
>>>> parę sekund.
>>>>
>>>
>>> no
>>> na hamerykańskich filmach
>>>
>>> zejdź na ziemię
>>
>> no właśnie zejdź na ziemie.
>> sądzisz, że pekao nie jest w stanie obsłużyć kilkudziesieciu
>> tysiecy zapytań jednocześnie?
>> prostym skryptem ci to jestem w stanie zrobić.
>>
> Policz. Kto stawiałby tak nadmiarowy serwer autentykacji ??? :))))
>
>

Chyba wszystkie banki.
Bo kilkadziesiąt tysięcy na liczbe użytkowników to w zasadzie niewielki
procent.
Po za tym nie musi obsłużyć wszystkich na raz. A kilka tysięcy obsługuje
na pewno.

do góry

witek wrote:
> On 3/1/2011 6:06 PM, witrak() wrote:
>> witek wrote:
>>> On 3/1/2011 9:00 AM, witrak() wrote:
>>>> witek wrote:
...
>>>>>> wypełnienie numerami kont przestrzeni numerów jest na początku
>>>>>> bardzo niskie (w najlepszym razie parę procent) - w pratyce
>>>>>> oznacza, że trzeba wystukać tysiące jeśli nie dziesiątki
>>>>>> tysięcy
>>>>>> numerków, żeby trafić parę kont.
>>>>>
>>>>> no
>>>>> parę sekund.
>>>>>
>>>>
>>>> no
>>>> na hamerykańskich filmach
>>>>
>>>> zejdź na ziemię
>>>
>>> no właśnie zejdź na ziemie.
>>> sądzisz, że pekao nie jest w stanie obsłużyć kilkudziesieciu
>>> tysiecy zapytań jednocześnie?
>>> prostym skryptem ci to jestem w stanie zrobić.
>>>
>> Policz. Kto stawiałby tak nadmiarowy serwer autentykacji ??? :))))
>>
>>
>
> Chyba wszystkie banki.
> Bo kilkadziesiąt tysięcy na liczbe użytkowników to w zasadzie
> niewielki procent.
> Po za tym nie musi obsłużyć wszystkich na raz. A kilka tysięcy
> obsługuje na pewno.

Pleciesz. Powiedziałeś "parę sekund" (max. 2-3 ?) na moje
"dziesiątki tysięcy" (min. 5-7 ?).
Będę litościwy - załóżmy, że to oznacza dwadzieścia tysięcy na
sekundę.

A teraz weźmy spory bank - powiedzmy Millennium - z liczbą kont
rzędu 700 tysięcy, i niech to będą wyłącznie klienci internetowi
(co jest bzdurą, ale co tam). Przyjmijmy, że przeciętny klient
wykonuje piętnaście operacji miesięcznie (to jest znacznie
zawyżone szacowanie, ale niech będzie) i że w związku z tym łączy
się z bankiem 15 razy: każda operacja osobno.
Ponadto przyjmijmy, że oni wszyscy robią to wyłącznie w ciągu dnia
(w ciągu 12 godzin), bo nocne marki nas nie obchodzą.

Mamy zatem średnio nieco mniej niż 250 logowań na sekundę.
Ponieważ są pory, kiedy ludzie lubią logować się do banków i
takie, które im mniej leżą, załóżmy, że bank spodziewa się
proporcji 1:10 i przyjmuje, iż będzie miewał w szczycie 2500
logowań na sekundę, a żeby mieć absolutną pewność (nasze banki
olewają klienta, ale może nie wszystkie) bierze sobie współczynnik
bezpieczeństwa równy 2.

Mamy więc summa summarum 5000 logowań na sekundę jako wartość
graniczną, na którą może być projektowany serwer logowań (serwer
aplikacyjny na pewno nie, bo koszt tam rośnie znacznie szybciej,
ale jak się klient zaloguje to zobaczy planszę "proszę czekać", a
poza tym mówimy o blokowaniu kont - serwer aplikacyjny do tego nie
jest potrzebny).

(Oczywiście dobry bank powinien mieć mechanizmy zabezpieczające i
seria prób logowania z jednego numeru IP musi wywołać alarm i
spowodować zablokowanie dostępu lub spowolnienie obsługi (typu:
kilka-kilkanaście sekund opóźnienia reakcji na kolejne POSTy lub
coś analogicznego), albo zwyczajna sygnalizacja błędnego
loginu/hasła na każdą próbę po iluś tam nieudanych. Ale pomińmy
to...)

Porównaj teraz te liczby: co najmniej 20 tys. i maks. 5 tys.
Przy najbardziej niekorzystnych dla mojej oceny szacowaniach
(najbardziej korzystnych dla Ciebie szacowaniach) "przestrzeliłeś"
kilka razy. I jeszcze się upierasz.

Jeżeli doczytałeś do tego miejsca i nie jesteś w stanie przyznać
się do tego, że rzuciłeś sobie stwierdzenie ot, tak po prostu, aby
coś napisać - to po prostu nie znasz się na tym.
Na wszelki wypadek proszę - nie odpowiadaj, bo ja już nie
zamierzam kontynuować tej idiotycznej, wynikającej tylko z Twojego
uporu i zadufania w sobie, dyskusji. Bo zwyczajnie nie mam na to
czasu - uczę takich, co chcą coś zrozumieć.
EOT

witrak()

do góry