Skocz do zawartości
Zaloguj się, aby obserwować  
xnn

UDP Flood?

Polecane posty

Dzisiaj jedna z moich maszyn mocno zwolnila. Praktycznie niemozliwa stala sie komunikacja z nia.

Udalo mi sie zalogowac uzywajac DRACa i zaczalem szukac przyczyn zaistnialej sytuacji...

 

Liczba polaczen wykazywanych netstat'em byla standardowa ( ok 4000 ) wiekszosc natomiast miala flagi FIN_WAIT1/TIME_WAIT ( na porcie 80 )

 

Co innego przykulo natomiast moja uwage ( nie wiem czy szlusznie ), jeden z adresow IP nagminnie nawiazuje polaczenia UDP z serwerem, kilkadziesiat/set na sekunde ( ciezko mi stwierdzic ). Zablokowalem adresik IP maszyny atakujacej (?) uzywajac APF ale... Czy to rozwiąże problem? Przeciez pakiety i tak beda obijac sie ( chociaz tym razem o sciany maszyny ). Czy w tej sytuacji jedynym rozwiazaniem jest zewnetrzny firewall? Inna sprawa, pomimo zablokowania IPka apf'em dalej widze na snifferze ( tcpdump ) wchodzace pakiety.

 

ICMP_echo rowniez wylaczylem i.. koncza mi sie pomysly... zewnetrzny firewall jak dobrze pojdzie serwerownia zamontuje dopiero po weekendzie a mi zalezy na jak najszybszym rozwiazaniu problemu.

 

ifconfig wskazuje ogromna ilosc danych wchodzacych jak i pakietow odrzucanych ( chociaz nie jestem pewien czy RX packets dobrze interpretuje )...

 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:12721368 errors:0 dropped:0 overruns:0 frame:0

TX packets:1118120 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:4198718950 (3.9 GiB) TX bytes:635534661 (606.0 MiB)

Interrupt:169 Memory:f8000000-f8012100

 

Co mogles przeoczyc i co moze byc przyczyna takiego spowolnienia serwera, czy jedna maszyna floodujaca na UDP jest w stanie tak ograniczyc prace serwera? Dodam na koniec ze load serwera jest w normie ( 0.4~ )...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Zablokowalem adresik IP maszyny atakujacej (?) uzywajac APF ale... Czy to rozwiąże problem? Przeciez pakiety i tak beda obijac sie ( chociaz tym razem o sciany maszyny ).
Nie będą się odbijać tylko będą ignorowane.

 

Czy w tej sytuacji jedynym rozwiazaniem jest zewnetrzny firewall?
Sprzętowy / zewnętrzny wcale nie znaczy lepszy... Chociaż szczerze mówiąc nigdy nie miałem doczynienia z APF'em, tak więc nie wiem jak wypada na tle konkurencji :)

 

Inna sprawa, pomimo zablokowania IPka apf'em dalej widze na snifferze ( tcpdump ) wchodzace pakiety.
O ile mnie pamięć nie myli, to tcpdump 'widzi' pakiety przed firewall'em...

 

ifconfig wskazuje ogromna ilosc danych wchodzacych jak i pakietow odrzucanych ( chociaz nie jestem pewien czy RX packets dobrze interpretuje )...
RX to 'odebrane' :)

 

czy jedna maszyna floodujaca na UDP jest w stanie tak ograniczyc prace serwera?
Tak.

 

Dodam na koniec ze load serwera jest w normie ( 0.4~ )...
Bo to nie ma nic wspólnego z procesorem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hmm... Czy w przypadku gdy adres IP bedzie zablokowany, pakiety wysylane przez niego dalej beda przetwarzane przez system? Jakos musza do tego apf'a dotrzec i dopiero tam sa niszczone. Tym samym dalej zabieraja cenne lacze, dalej docieraja do maszyny a to zapewne jest przyczyna spowolnienia... Czy w takim przypadku firewall sprzetowy sprawdzi sie? Do firewalla w koncu tez wydaje mi sie ze moga wyczerpac lacze...

 

Jak w takim razie sie bronic? W jaki sposob sprawdzic ilosc danych docierajacych w danym momencie do serwera i ilosc blokowanych danych przez firewall?

 

Dzieki wielkie za rozjasnienie sprawy z tcpdump'em

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Hmm... Czy w przypadku gdy adres IP bedzie zablokowany, pakiety wysylane przez niego dalej beda przetwarzane przez system?

Blokujesz na INPUT w iptables (DROP) i w tym momencie sa blokowane. Nie obciaza to znacznie systemu. Zakladam, ze apf tak wlasnie robi.

Czy w takim przypadku firewall sprzetowy sprawdzi sie? Do firewalla w koncu tez wydaje mi sie ze moga wyczerpac lacze...

Ogniomurek :) zewnetrzny moze pomoc pytanie tylko czy go na pewno potrzebujesz. Jesli idzie duzy atak z kilku hostow blokujesz go u siebie i idziesz pozniej z logami (wystarczy kilka linijek z tcpdumpa) do swojego operatora z prosba o zablokowanie w jego szkielecie ruchu z tych hostow na Twoja maszyne. Kazdy sensowny uslugodawca powinien to zrobic od reki.

Jak w takim razie sie bronic? W jaki sposob sprawdzic ilosc danych docierajacych w danym momencie do serwera i ilosc blokowanych danych przez firewall?

Dorzuc sobie do czegos czego uzywasz do rysowania wykresow (mrtg, cacti, etc) wartosci z /proc/net/dev. Bedziesz mogl obserwowac kiedy o ile wzrasta Ci ruch i bedziesz widzial jak w Twoim przypadku jest to skorelowane z obciazeniem procesora.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys
Blokujesz na INPUT w iptables (DROP) i w tym momencie sa blokowane. Nie obciaza to znacznie systemu. Zakladam, ze apf tak wlasnie robi.

tak robi.

 

Blokowanie na poziomie serwera wystarczy, sprzętowe "zabawki" są stosunkowo drogie i raczej nie potrzebne.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
tak robi.

 

Blokowanie na poziomie serwera wystarczy, sprzętowe "zabawki" są stosunkowo drogie i raczej nie potrzebne.

 

obawiam sie ze w tym przypadku nie wystarczy.. a administratorow w hosteurope w weekendy ciezko jest zastac...

 

Skoro ten Flood UDP w tym momencie blokuje, to pozostaje jeszcze ddos na http ktory w tym momencie leci z ok 600 komputerow.. bardzo prawdopodobne ze ich liczba jest wieksza...

W jaki sposob wylapujecie ddosujace IP w przypadku takiego ataku? Teoretycznie boty zachowuja sie jak zwykli uzytkownicy ale wiem ze musi byc jakis sposob na wylapanie ich. Wchodza na strone glowna, nastepnie na kolejne podstrony, sciagaja grafike ( z ref'em ).

 

Czy macie moze jakis skrypt/program ktory wyswietla/banuje IPki, ktore nawiazaly okreslona ilosc polaczen do serwera przez okreslony czas? Wydaje mi sie ze to oraz jakies hmm... filtrowanie na zasadzie pojedynczych pakietow TCP/ip ( zapewne te ddosujace pakiety maja jakis znak szczegolny :) ) to jedyny sposób na pozbycie sie plugastwa...

 

A tak na marginesie, cisco asa 5505 w hosteurope to wydatek 25E/miesiecznie

 

Jeszcze jedno pytanie. Czy netstat dziala tak jak tcpdump, zanim pakiety spotkaja sie z firewallem?

Pewne IPki mam zablokowane na firewallu ale mimo wszystko dalej sie pokazuja w "netstacie" gdy sprawdzam ilosc polaczen ustanowionych...

 

Jeszcze jedna rzecz wzbudza moje podejrzenie, az 15 polaczen z jednego z dnsow uslugi OpenDNS (208.67.222.222) do serwera gdzie hostowana jest wylacznie jedna strona ( czyli zapytanie idzie o jedna domene + ewentualnie subdomeny). Czy mam sie obawiac jakiegos hmm... ataku na usluge DNS? W zasadzie zdziwiony jestem taka iloscia polaczen bo tego typu dane powinny byc cachowane przez DNS ( dodam na marginesie ze domena nie ma ustawionego zadnego wildcarda, oprocz domeny glownej ustawionych jest ok 10 subdomen - rekordy A, expire 3600 )...

 

Ostatnie pytanie. Jakies pomysly na przesledzenie co powoduje tak dlugie odpalenie sie apfu? w /var/log/apf_log nic uzytecznego nie ma...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
pozostaje jeszcze ddos na http ktory w tym momencie leci z ok 600 komputerow.. bardzo prawdopodobne ze ich liczba jest wieksza...

W jaki sposob wylapujecie ddosujace IP w przypadku takiego ataku? Teoretycznie boty zachowuja sie jak zwykli uzytkownicy ale wiem ze musi byc jakis sposob na wylapanie ich. Wchodza na strone glowna, nastepnie na kolejne podstrony, sciagaja grafike ( z ref'em ).

Generalnie jest to nietrywialne zadanie...

 

Czy macie moze jakis skrypt/program ktory wyswietla/banuje IPki, ktore nawiazaly okreslona ilosc polaczen do serwera przez okreslony czas? Wydaje mi sie ze to oraz jakies hmm... filtrowanie na zasadzie pojedynczych pakietow TCP/ip ( zapewne te ddosujace pakiety maja jakis znak szczegolny :) ) to jedyny sposób na pozbycie sie plugastwa...
Praktycznie każdy firewall ma możliwość limitowania liczby połączeń, więc pobaw się tym co masz :)

 

Jeszcze jedna rzecz wzbudza moje podejrzenie, az 15 polaczen z jednego z dnsow uslugi OpenDNS (208.67.222.222) do serwera gdzie hostowana jest wylacznie jedna strona ( czyli zapytanie idzie o jedna domene + ewentualnie subdomeny). Czy mam sie obawiac jakiegos hmm... ataku na usluge DNS? W zasadzie zdziwiony jestem taka iloscia polaczen bo tego typu dane powinny byc cachowane przez DNS ( dodam na marginesie ze domena nie ma ustawionego zadnego wildcarda, oprocz domeny glownej ustawionych jest ok 10 subdomen - rekordy A, expire 3600 )...
Wystarczy, że zombie odpytują OpenDNS o nieistniejące subdomeny :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

czy w przypadku DDoSu gdzie atakujacy zabiera mi cale lacze ( 100mbitow ) do serwera, blokowanie jakichkolwiek IPkow na serwerze cos da? nawet gdy zablokuje IPki to i tak beda one zabierac lacze czyli w ten sposob ataku nie powstrzymam (chyba ze gdzies cos pomylilem). w takim wypadku pozostaje blokowanie parszywych IPkow na routerze serwerowni... Ciekawi mnie jedna sprawa, czy Wasze serwerownie daja Wam bezposrednia mozliwosc blokowania IPkow (dostep do panelu, routera), czy odbywa sie to wylacznie przez support?

 

No to czas na antyreklame hosteurope... Support nie odpowiada w weekendy w przypadku ddosu trzeba czekac do poniedzialku, heh...

 

Czy znacie moze jakis skrypt pokazujacy w czasie rzeczywistym wykorzystanie lacza przez poszczegolne IPki? Mozliwe ze w ten sposob uda sie cokolwiek znalezc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
czy w przypadku DDoSu gdzie atakujacy zabiera mi cale lacze ( 100mbitow ) do serwera, blokowanie jakichkolwiek IPkow na serwerze cos da? nawet gdy zablokuje IPki to i tak beda one zabierac lacze czyli w ten sposob ataku nie powstrzymam (chyba ze gdzies cos pomylilem).
Jest dokładnie tak jak napisałeś.

 

Ciekawi mnie jedna sprawa, czy Wasze serwerownie daja Wam bezposrednia mozliwosc blokowania IPkow (dostep do panelu, routera), czy odbywa sie to wylacznie przez support?
Jeżeli się przez chwilę zastanowisz to sam sobie odpowiesz na to pytanie :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Jest dokładnie tak jak napisałeś.

 

Jeżeli się przez chwilę zastanowisz to sam sobie odpowiesz na to pytanie :)

 

wiesz, z jednej strony moga dac dostep do takiego panelu limitujac go tylko i wylacznie do Twoich maszyn.. z drugiej strony nigdy sie z tym nie spotkalem i nie wiem czy jest oprogramowanie jakies do tego ( mozna powiedziec ze obecnie plywam po glebokiej wodzie i uzupelniam wiedze :) ).

 

Btw, atakujacy rozpoczyna swoje dzialania zawsze chwile po odpaleniu serwera www... konczy nastomiast chwile po jego wylaczeniu.. widac, ze oszczedza traffic botnetu :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprawa zakonczona.. Dla tych ktorzy kiedys beda przegladac ten temat w poszukiwaniu rady...

 

Jak sie okazalo byl to UDP Flood polaczony z DDosem na http. Pierwsze wylapalem dzieki programowi BandwidthD, spam na http okazal sie mizerna próbą wykorzystania wszystkich mozliwych polaczen z serwerem http. Na szczescie to w latwy sposob mozna bylo wylapac za pomoca netstata i paru narzedzi linuxowych ( odsylam do: http://www.mydigitallife.info/2007/12/13/h...ns-to-a-server/ ).

 

W przypadku UDP Floodu zdani jestesmy jedynie na pisanie abusow do serwerowni z ktorych przeprowadzony jest atak ewentualnie o napisanie listu do supportu w celu zablokowania ipokw w szkielecie ktory wykorzystujemy ( ciekawe kto szybciej w moim przypadku zareaguje.. ).

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×