Skocz do zawartości
Petro

Pomoc z malym DDosem

Polecane posty

Witam,

Mam ostatnio problem z atakami DDos. Nie sa one duze, lecz skutecznie zapychaja rurke 100 Mb/s, od sldc. Owa firma nawet malego ataku ~50 MB/s z 10 ip nie potrafi przyjac. Ale nie robie tego tematu, aby plakac, lecz uzyskac porade. A mianowicie, jak wykrywac jakie ip mnie atakuja, abym mogl je przyblokowac. Jaki program na debianie moze sprawdzic ktore ip mocno uzywaja lacze? To co od sldc sie dowiedzialem, to atakuja port :53. Nie prosze o rozwiazanie "out of box", lecz jakies nakierowanie.

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie sa one duze, lecz skutecznie zapychaja rurke 100 Mb/s, od sldc.

 

No faktycznie nie duże skoro zapychają Ci rurke ;)

 

 

 

Owa firma nawet malego ataku ~50 MB/s z 10 ip nie potrafi przyjac

 

 

uwierz mi że potrafią, nikt tylko nie będzie bawił się z tym za darmo

 

 

Jeżeli rurkę 100 Ci ktoś zapycha i z treści wnioskuję ze pakiety lecą z 53 portu to żaden csf nie pomoże, bo łącze masz już zalane więc odfiltrować go trzeba przed dedykiem.

 

 

Poproś o przepięcie do portu 1G, skonfiguruj dobrze jakiś dowolny firewall, jeżeli faktycznie ataki są nieduze <1G to powinno dać radę.

Edytowano przez tgx (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Boże dostają pół darmo serwer i narzekają że nic nie robią z tym...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jest to pewne ze ataki sa amatorskie, i na 1 Gb/s sie niedlugo przesiadam. Lecz poki co chce jakas podstawowa obrone sobie zapewnic. Lecz jako iz mam postawiony serwer gry, to czy potrzebny mi jest port :53? Wyczytalem ze odpowiada on za dns-y, z ktorych nie musze kozystac. Mozna zablokowac?

 

 

Edit: Nie nazwkam ze nic nie robia. Jedynie wspomnialem ze gdy ruch jest ~50 Mb/s, czyli polowa rurki, i tak nie da sie polaczyc. Oczywiscie za ta cene nie wymagam 100% przepustowosci, lecz polowa i juz sie zatyka, to juz nie najlepiej.

Edytowano przez Pjo (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Albo ja jestem ślepy i powinienem udać się do lekarza albo jakieś multikonta tu się smarują :)

 

Możesz sobie zablokować każdy port w iptables ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wiem ze moge zablokowac, lecz czy to nie wplynie negatywnie na dzialanie? Przykladowo moja domena nie bedzie widzialne, czy co...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skoro nie jest zapychana cała rurka, to sobie connlimituj połaczenia na port 53.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@Miłosz

 

Przecież tu od razu widać, że to kolejny atak dns amplification udp'kami na port 53. 90% ruchu do 53 leci po udp, a nie tcp więc co tu connlimitować? ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

eh.. tak z doskoku odpisałem troszku bezmyślnie ;) CloudFlare ma chyba dnsy, to może niech się za nimi schowa.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak naprawdę to tylko kolejny wariant ataku udp, nawet dość szczegółowo opisany w moim FAQ odnośnie security na serwerach. CF jest dość dobrą opcją, ale tylko jeśli @Petro serwuje usługi, które wspiera (http(s)), bo nic innego przez to nie przepuścisz ;). A sam atak polega na wykorzystaniu niezabezpieczonych serwerów dns i spam odpytywaniem danej domeny i danego IP. Samo przepięcie DNS'ów tu nic nie da.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@UP - Niestety, prowadze serwer gry (nie przeglądarkowej), w ktorym caly czas jest sie "online", wiec CF odpada. Lecz dowiedzialem sie nawet kto mnie atakuje. Jest to dwoje dzieci (ok. wiek 14 - 16, po glosie sądząc). Wiec mysle ze wystarczy tutaj kilka razy przyblokowac ip atakujace, to juz kolejnych szukac im sie nie bedzie chcialo...

 

Wiec potrzebuje jakas aplikacje, ktora bedzie zapisywac do logow w formacie "top listy" ip, ktore na porcie :53 beda zuzywaly duzo transferu. Gdyz podczas ataku, jak patrze w iftop, nagle wszystkie aktywne polaczenia - 0 b. Nie pokazuje ktore ip mi blokuje lacze.

 

Dzieki za zainteresowanie ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale jezeli atak dojdzie do twojej masyzny to sam fakt jego blokowania lub nie nie ma sensu. Tego typu operacje trzeba by przeprowadzac na wezle sieci a nie na koncowej maszynie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chodzi mi o zablokowanie po ataku. Czyli raz padnie wszystko, a potem zablokuje ip atakujace i juz z tych dns-ow nie zaatakuja, tylko beda misieli znalesc nowe.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

To jest jak korek na drodze. Co z tego że tuż obok wypadku policja będzie kierować ruchem jak już korek ma 5km i jadą następne samochody (samochody == pakiety a droga == łącze)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzieki za porownanie, lecz chyba zle po prostu powiedzialem, lub zle rozumiem ;p Te ataki trwaja ~1 - 2 minuty. Czyli wg. Twojego porownania - Jest wypadek. Przez jakis czas droga jest nieprzejezdna. Po jakims czasie, samochody ktore ulegly wypadkowi zostaly usuniete (czyli przestali atakowac), a policja zabrala sprawcom wypadku prawo jazdy (zablokowanie ip), i nie spowoduja juz wiecej utrudnien na drogach.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zatrzymanie ataku nie jest spowodowane niczym co zrobiłeś po swojej stronie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

(zablokowanie ip), i nie spowoduja juz wiecej utrudnien na drogach.

 

Nie wiem ile razy trzeba pisać

 

Nawet jak zablokujesz pakiety UDP (IP atakujących) na serwerze to one do niego i tak będą docierały. Co prawda nie będziesz już ich puszczał do aplikacji, ale do serwera dojdą i tak czy inaczej łącze zapchają.

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ok, teraz czaje :P

Lecz można do sldc napisać, aby przyblokowali te atakujące ip. Więc jeszcze tylko jakiś program do logowania tych ip, będę szczęśliwy ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

tcpdump -i eth0 -n -c 100000 >plik

 

cat plik|grep root-servers | grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' | sort | uniq

 

 

 

Ale zapomnij, żę sldc będzie coś z tym robić ;)

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość IStreamPL

 

 

Ale zapomnij, żę sldc będzie coś z tym robić ;)

 

 

Nie za taką cenę napewno ;)

A co do tych IP może luknij na whois do, której serwerowni należą. Napisz do nich, że leci od Waszego klienta DDoS ;) Zbanują gimnazjalistów i po kłopocie ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Na 99% są to otwarte serwery DNS i szansa, że właściciel cokolwiek z nimi zrobi jest dość mała, innymi słowy jeśli by mu zależało to sam by się o tym już dawno dowiedział.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×