Pomoc z malym DDosem

[Petro 0]

Witam,

Mam ostatnio problem z atakami DDos. Nie sa one duze, lecz skutecznie zapychaja rurke 100 Mb/s, od sldc. Owa firma nawet malego ataku ~50 MB/s z 10 ip nie potrafi przyjac. Ale nie robie tego tematu, aby plakac, lecz uzyskac porade. A mianowicie, jak wykrywac jakie ip mnie atakuja, abym mogl je przyblokowac. Jaki program na debianie moze sprawdzic ktore ip mocno uzywaja lacze? To co od sldc sie dowiedzialem, to atakuja port :53. Nie prosze o rozwiazanie "out of box", lecz jakies nakierowanie.

 

Pozdrawiam

[Gość nrm]

csf.

iptraf, iftop, slurm.

[tgx 575]

Nie sa one duze, lecz skutecznie zapychaja rurke 100 Mb/s, od sldc.

 

No faktycznie nie duże skoro zapychają Ci rurke

 

 

 

Owa firma nawet malego ataku ~50 MB/s z 10 ip nie potrafi przyjac

 

 

uwierz mi że potrafią, nikt tylko nie będzie bawił się z tym za darmo

 

 

Jeżeli rurkę 100 Ci ktoś zapycha i z treści wnioskuję ze pakiety lecą z 53 portu to żaden csf nie pomoże, bo łącze masz już zalane więc odfiltrować go trzeba przed dedykiem.

 

 

Poproś o przepięcie do portu 1G, skonfiguruj dobrze jakiś dowolny firewall, jeżeli faktycznie ataki są nieduze <1G to powinno dać radę.

Edytowano Kwiecień 20, 2013 przez tgx (zobacz historię edycji)

[Gość Kamikadze]

Boże dostają pół darmo serwer i narzekają że nic nie robią z tym...

[Pjo 0]

Jest to pewne ze ataki sa amatorskie, i na 1 Gb/s sie niedlugo przesiadam. Lecz poki co chce jakas podstawowa obrone sobie zapewnic. Lecz jako iz mam postawiony serwer gry, to czy potrzebny mi jest port :53? Wyczytalem ze odpowiada on za dns-y, z ktorych nie musze kozystac. Mozna zablokowac?

 

 

Edit: Nie nazwkam ze nic nie robia. Jedynie wspomnialem ze gdy ruch jest ~50 Mb/s, czyli polowa rurki, i tak nie da sie polaczyc. Oczywiscie za ta cene nie wymagam 100% przepustowosci, lecz polowa i juz sie zatyka, to juz nie najlepiej.

Edytowano Kwiecień 20, 2013 przez Pjo (zobacz historię edycji)

[Gość Kamikadze]

Albo ja jestem ślepy i powinienem udać się do lekarza albo jakieś multikonta tu się smarują

 

Możesz sobie zablokować każdy port w iptables

[Pjo 0]

Wiem ze moge zablokowac, lecz czy to nie wplynie negatywnie na dzialanie? Przykladowo moja domena nie bedzie widzialne, czy co...

[Miłosz 2311]

Skoro nie jest zapychana cała rurka, to sobie connlimituj połaczenia na port 53.

[Pan Kot 1535]

@Miłosz

 

Przecież tu od razu widać, że to kolejny atak dns amplification udp'kami na port 53. 90% ruchu do 53 leci po udp, a nie tcp więc co tu connlimitować?

[Miłosz 2311]

eh.. tak z doskoku odpisałem troszku bezmyślnie CloudFlare ma chyba dnsy, to może niech się za nimi schowa.

[Pan Kot 1535]

Tak naprawdę to tylko kolejny wariant ataku udp, nawet dość szczegółowo opisany w moim FAQ odnośnie security na serwerach. CF jest dość dobrą opcją, ale tylko jeśli @Petro serwuje usługi, które wspiera (http(s)), bo nic innego przez to nie przepuścisz . A sam atak polega na wykorzystaniu niezabezpieczonych serwerów dns i spam odpytywaniem danej domeny i danego IP. Samo przepięcie DNS'ów tu nic nie da.

[Pjo 0]

@UP - Niestety, prowadze serwer gry (nie przeglądarkowej), w ktorym caly czas jest sie "online", wiec CF odpada. Lecz dowiedzialem sie nawet kto mnie atakuje. Jest to dwoje dzieci (ok. wiek 14 - 16, po glosie sądząc). Wiec mysle ze wystarczy tutaj kilka razy przyblokowac ip atakujace, to juz kolejnych szukac im sie nie bedzie chcialo...

 

Wiec potrzebuje jakas aplikacje, ktora bedzie zapisywac do logow w formacie "top listy" ip, ktore na porcie :53 beda zuzywaly duzo transferu. Gdyz podczas ataku, jak patrze w iftop, nagle wszystkie aktywne polaczenia - 0 b. Nie pokazuje ktore ip mi blokuje lacze.

 

Dzieki za zainteresowanie

[theONE 526]

Ale jezeli atak dojdzie do twojej masyzny to sam fakt jego blokowania lub nie nie ma sensu. Tego typu operacje trzeba by przeprowadzac na wezle sieci a nie na koncowej maszynie.

[Pjo 0]

Chodzi mi o zablokowanie po ataku. Czyli raz padnie wszystko, a potem zablokuje ip atakujace i juz z tych dns-ow nie zaatakuja, tylko beda misieli znalesc nowe.

[Gość Kamikadze]

To jest jak korek na drodze. Co z tego że tuż obok wypadku policja będzie kierować ruchem jak już korek ma 5km i jadą następne samochody (samochody == pakiety a droga == łącze)

[Pjo 0]

Dzieki za porownanie, lecz chyba zle po prostu powiedzialem, lub zle rozumiem ;p Te ataki trwaja ~1 - 2 minuty. Czyli wg. Twojego porownania - Jest wypadek. Przez jakis czas droga jest nieprzejezdna. Po jakims czasie, samochody ktore ulegly wypadkowi zostaly usuniete (czyli przestali atakowac), a policja zabrala sprawcom wypadku prawo jazdy (zablokowanie ip), i nie spowoduja juz wiecej utrudnien na drogach.

[theONE 526]

Zatrzymanie ataku nie jest spowodowane niczym co zrobiłeś po swojej stronie

[tgx 575]

(zablokowanie ip), i nie spowoduja juz wiecej utrudnien na drogach.

 

Nie wiem ile razy trzeba pisać

 

Nawet jak zablokujesz pakiety UDP (IP atakujących) na serwerze to one do niego i tak będą docierały. Co prawda nie będziesz już ich puszczał do aplikacji, ale do serwera dojdą i tak czy inaczej łącze zapchają.

 

 

[Pjo 0]

Ok, teraz czaje

Lecz można do sldc napisać, aby przyblokowali te atakujące ip. Więc jeszcze tylko jakiś program do logowania tych ip, będę szczęśliwy

[tgx 575]

 

tcpdump -i eth0 -n -c 100000 >plik

 

cat plik|grep root-servers | grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' | sort | uniq

 

 

 

Ale zapomnij, żę sldc będzie coś z tym robić

 

 

[Gość IStreamPL]

 

 

Ale zapomnij, żę sldc będzie coś z tym robić

 

 

Nie za taką cenę napewno

A co do tych IP może luknij na whois do, której serwerowni należą. Napisz do nich, że leci od Waszego klienta DDoS Zbanują gimnazjalistów i po kłopocie

[Pan Kot 1535]

Na 99% są to otwarte serwery DNS i szansa, że właściciel cokolwiek z nimi zrobi jest dość mała, innymi słowy jeśli by mu zależało to sam by się o tym już dawno dowiedział.