jasny 21 Zgłoś post Napisano Kwiecień 30, 2012 (edytowany) Witam, Mam dość spore forum na IPB. Serwer dedykowany I7 980x, 24gb ramu. Od jakiegoś czasu mam przyjemność bycia ddosowanym... ( ach ta tematyka gier online ) mam następujący problem : Serwer podczas ataków zalicza zwiechę , jedyne w jaki sposób można go przywrócić do używalności to hard restart. Po restarcie wszystko jest okej. W związku z tym kilka pytań startowych. Logi nic nie pokazują poza dużą ilością przychodzących pakietów. Dodam, że na serwerze jest softwarowy firewall odrzucający wszystko po UDP i posiadający tylko 2 otwarte porty na zewnątrz po TCP - 80 , 22. ICMP też odrzucam. 1. Dlaczego serwer zalicza zwiechę? 2. Jak zdiagnozować problem ? ( wiem że bardzo ogólne pytanie ale nie mam pomysłu jak wyłapać przyczynę zwiechy ) 3. Podczas restartu crashują niektóre tabele sql, w jaki sposób jak zapobiec przed ich uszkodzeniom? Edytowano Kwiecień 30, 2012 przez jasny (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
murgal 0 Zgłoś post Napisano Kwiecień 30, 2012 1. Bo jest zapychany pakietami. 2. Tak naprawde serwera nie da sie zabezpieczyc przed ddosem softwarowo. 3. Jedynym pomyslem to czesty zrzut tabel, zapewne sa to tabele czesto uzupelniane (chat/post). Udostępnij ten post Link to postu Udostępnij na innych stronach
jasny 21 Zgłoś post Napisano Kwiecień 30, 2012 Jestem przekonany, że ta wyczerpująca odpowiedź niosąca jakże ogrom treści nie wyczerpuje tematu. Udostępnij ten post Link to postu Udostępnij na innych stronach
furek 37 Zgłoś post Napisano Kwiecień 30, 2012 Musisz wiedzieć jakie to są ataki czy to w port są 80 ? Zainteresuj się tym programem: varnish https://www.varnish-cache.org/ Dobrze działa. Udostępnij ten post Link to postu Udostępnij na innych stronach
Kolopik 222 Zgłoś post Napisano Kwiecień 30, 2012 Fail2ban także Ci się przyda - banalny w konfiguracji. Udostępnij ten post Link to postu Udostępnij na innych stronach
jasny 21 Zgłoś post Napisano Kwiecień 30, 2012 Musisz wiedzieć jakie to są ataki czy to w port są 80 ? Zainteresuj się tym programem: varnish https://www.varnish-cache.org/ Dobrze działa. spróbuję. Fail2ban także Ci się przyda - banalny w konfiguracji. fail2ban nie pomaga. uzywalem tez csf. Udostępnij ten post Link to postu Udostępnij na innych stronach
jasny 21 Zgłoś post Napisano Maj 1, 2012 furek, jaką konfiguracje varnisha polecasz? Jest tego trochę w sieci. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Maj 1, 2012 furek, jaką konfiguracje varnisha polecasz? Jest tego trochę w sieci. Konfiguracja daemona to tylko kilka parametrów, reszta to ustawienie cache i to jest robione stricte pod serwis. Sam Varnish nie jest rozwiązaniem, pakiety które uderzają w niego muszą być cięte już przed nim. Jak to nie nie jest duży serwis starczy moduł connlimit z iptables by ograniczyć ilość połączeń na dany port z pojedynczego ip. Udostępnij ten post Link to postu Udostępnij na innych stronach
furek 37 Zgłoś post Napisano Maj 1, 2012 Tak, Varnish + iptables (connlimit) i powinno złagodzić ataki. Varnish będzię odświewał syf a iptables limitował per ip Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Maj 1, 2012 Varnish będzię odświewał syf Rozwiń ? bo chyba nie znasz zastosowania ... Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Maj 1, 2012 Varnish to przecież b. wydajne proxy, to jak ma syf filtrować? Można zrobić jakieś regułki, żeby nie wchodziły duchy albo pod pewne adresy blokować dostęp. Udostępnij ten post Link to postu Udostępnij na innych stronach
jasny 21 Zgłoś post Napisano Maj 2, 2012 (edytowany) Dodam tylko , że przy wyłączonej usłudze httpd i mysql też crashuje (po 5 sekundach!!! ) przy testach ddos ja port 80. Wiecie co może być problemem ? Mózg mi się już lasuje. Edytowano Maj 2, 2012 przez jasny (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Maj 2, 2012 (edytowany) Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
jasny 21 Zgłoś post Napisano Maj 2, 2012 udp na port 80 Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Maj 2, 2012 (edytowany) Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
jasny 21 Zgłoś post Napisano Maj 2, 2012 (edytowany) Kiedyś spotkałem się z sytuacją, w której karta sieciowa nie radziła sobie ze sporą ilością małych pakietów. Na dobrą sprawę to może być przyczyna sprzętowa, lub software'owa (firewall i deadlock?). Bo oczywiście scenariusz wysycenia łącza (wtedy również zdalna konsola się 'zawiesi', a udp ze wzglęu na swoją charakterystyke jest do tego celu wprost świetne) wykluczyłeś? Aż mi się przypomniało: "the best thing about UDP jokes is that I don't care if you get them" Jestem na 99% przekonany że jest to kwestia sprzętu. Dzisiaj przeinstalowalem serwer i zrobiłem kilka testów: 1. Ta sama konfiguracja na przeinstalowanym debianie-minimal. (lighttpd + mysql + csf ) 2. lighttpd + csf 3. apache + csf 3. csf (bez www) 4. wszystko wyłączone 5. DROP na wszystko Incomming udp Efekt ? Crash serwera po praktycznie 1 sekundzie przy każdej próbie ataku. Nic z tego nie rozumiem. Wygląda na sprawę sprzętową... jednak niczego już nie jestem pewien (moje typy) : - 2 x dysk twardy ssd w raidzie 0 + 1x sda na backup. - karta sieciowa ( mam gbit port w hetznerze ) edit: wysycenie łącza OCZYWIŚCIE nie dotyczy. Edytowano Maj 2, 2012 przez jasny (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
peres.pro 9 Zgłoś post Napisano Maj 8, 2012 (edytowany) No to może napisz z tym do supportu tam gdzie masz maszyne i wyjaśnij problem. Edytowano Maj 8, 2012 przez lanceq (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
