dos / ddos - jak wyciągąć ip atakującego? & pytanie.

[odaj 0]

Witam, jestem administratorem serwera gta san andreas multiplayer, posiadam serwer dedykowany wykupiony w OVH.

Kilka dni temu grupa osób/jakaś osoba przeprowadziła serię ataków (dos/ddos) na mój serwer, forum serwer gry padły.

Wczoraj zainstalowałem firewalla (apf) http://www.mycutelife.net/sanju/newtickethelp/apf oraz DDOS DEFLATE.

Myślałem, że to wystarczy - jednak seria ataków w nocy z nowu nastąpiła - doczytałem tam że wpisujemy gdzieś IP które należy zablokować, jednak skąd je wziąść? Dziękuję za pomoc.

 

//Czy jest jeszcze coś więcej aby zabezpieczyć swojego dedyka?

[Pan Kot 1535]

O wiele lepszą opcją w moim skromnym mniemaniu jest CSF.

 

Jeśli jest to jakiś DoS na konkretną usługę to CSF może pomóc, ale jeśli jest to zasypywanie pakietami całego serwera, najlepiej jeszcze z kilkuset różnych IP to tu firewall software'owy nic nie pomoże i musisz się zainteresować firewallami hardware'owymi, które niemało kosztują.

 

Podsumowując pierw spróbuj CSF, jak nie pomoże to lipka.

[Gość patrys]

Sama instalacja tych skryptów nic nie da, to tylko nakładki na iptables/sysctl.

Trzeba poznać specyfikę, cel ataku i wtedy można podjąć dalsze kroki w celu minimalizacji jego skutków.

1) Usługa która jest atakowana, w przypadku serwera www dostosowanie konfiguracji połączeń + zastosowanie proxy/cache.

2) Konfiguracja Kernela.

3) Filtry sieciowe.

Tak naprawdę prostym atakiem z jednego hosta wyłączyć można większość hostingów z tego forum

[odaj 0]

Witajcie, dziękuję wam za odpowiedzi.

 

Atakowany nie jest serwer WWW, lecz cały serwer dedykowany na którym stoi serwera gta sa-mp.

Mój kernel to 3.cośtam.

3. ?

 

CSF? Znalazłem tylko to

 

http://www.liquidweb.com/kb/csf-config-server-firewall-installation/

 

Czy o to Ci chodziło?

Edytowano Listopad 24, 2012 przez Gość (zobacz historię edycji)

[Gość patrys]

Jakieś logi ? Czy stwierdzasz to na podstawie tego, że serwer pada ?

[odaj 0]

Nie, stwierdzam to na podstawie tego, ze właśnie jedna osoba jednym czasem zaczęła u mnie grać - dołączyła druga. Serwer padł pierwszy raz, ok - myślę crash, włączam - padł po chwili, myślę - patrzę - nic się nie stało, żadnych logów w server_log, wszystko działa sprawnie. Kolejny raz - na serwerze grają tylko te dwie osoby, później na forum odezwała się jedna z nich i mówiąc 'przyznała się' do tego co zrobiła, powiedziałem jej - żeby nie było, że ktoś sobie żartuje - kilka chwil po tym jak napisałem ,,no to pokaż, że to Ty`` serwer padł, drugi raz też. Jestem na stówę pewny, że to te osoby.

[Gość bolek10]

Ale to nie wygląda na DDoS. To raczej coś z twoim serwerem gry.

[odaj 0]

Właśnie nie, bo wszystko jest dobrze - wrzuciłem na VPS'a i wszystko działa dobrze,

 

To botnet - po logach widzę, że jest ogrom połączeń. Botnet? Jak się zabezpieczyć przed tym :/

 

Koleś siedzi w irlandii, ma vpsa gdzieś i tam chyba tym zarządza.

[Pan Kot 1535]

Skoro mówisz, że botnet to niemożliwy jest VPS - odróżniaj DoS od DDoSa.

[odaj 0]

No ta, wybaczcie.

 

@Archi

 

CFS zainstalować, ta?

[Pan Kot 1535]

Tia, tylko z oficjalnej strony i najnowszą wersję.

http://configserver.com/cp/csf.html

 

Nie zapomnij go poprawnie skonfigurować bo to nie jest program z gatunku "zainstaluję i sam sobie będzie działać". Bez konfiguracji nic nie da.

[odaj 0]

Dzięki, skorzystałem z shorewalla + geoip, z pomocą kolegi zainstalowałem jeszcze kilka rzeczy i teraz raz na 2-3godziny serwer dostaje laga na kilka sekund, jest okej.

 

Dzięki, każdy dostaje +sa.

 

jednak nie

 

Nie posiadasz wystarczającej ilości postów aby dodawać reputacje.

 

;/

Tak czy siak dzięki.

Edytowano Listopad 25, 2012 przez odaj (zobacz historię edycji)