Skocz do zawartości
Zaloguj się, aby obserwować  
PrecelusMaximus

Mysql DDOS ?

Polecane posty

Witam,

 

 

Posiadam serwer vps w pewnej firmie w Polsce mającej "antyddos", a przynajmniej tak mówią. Od nowego roku na mój serwer leciały same ddosy, w połowie lutego pochwalili mi się że udało im się wdrożyć ochronę antyddos. Przez 3 tyg. nie było problemu i nagle serwer zablokowany i adnotacja że był atak. Dostałem logi z który wynika że atakują pakietami UDP port 3306.

ipv4 2 udp 17 15 src=173.117.220.85 dst=XX.XX.XX.XX sport=3306 dport=3306 [UNREPLIED] src=XX.XX.XX.XX dst=173.117.220.85 sport=3306 dport=3306 mark=0 secmark=0 use=2
ipv4 2 udp 17 13 src=97.5.171.9 dst=XX.XX.XX.XX sport=3306 dport=3306 [UNREPLIED] src=XX.XX.XX.XX dst=97.5.171.9 sport=3306 dport=3306 mark=0 secmark=0 use=2
ipv4 2 udp 17 12 src=129.22.4.251 dst=XX.XX.XX.XX sport=3306 dport=3306 [UNREPLIED] src=XX.XX.XX.XX dst=129.22.4.251 sport=3306 dport=3306 mark=0 secmark=0 use=2

Zdalny dostęp do mysql'a jest wyłączony (a tak przynajmniej mi się zdaje). Nawet dla bezpieczeństwa udostępniłem jedynie dla localhost ten port, reszta ma brak dostępu. Nmap mówi:

PORT     STATE    SERVICE

3306/tcp filtered mysql



Nmap done: 1 IP address (1 host up) scanned in 6.13 seconds

Jako że nie jestem adminem, prosiłbym o wskazówkę co z tym fantem zrobić? Ciekawi mnie jak oni uderzają w port 3306, skoro jest zamknięty, no chyba że serwer nic nie zwraca a jedynie generuje sztuczny ruch który ich antyddos nie obsługuje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No ale co możesz zrobić?
Robią z Ciebie frajera, mówiąc, że dysponują fantastyczną ochroną przeciw DDoS, a później blokują VPS'a bez ostrzeżenia.
Z floodami UDP nie możesz NIC zrobić po stronie swojej maszyny. To w sieci muszą wycinać taki ruch.

Co możesz zrobić? Zmień dostawcę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

No ale co możesz zrobić?

Robią z Ciebie frajera, mówiąc, że dysponują fantastyczną ochroną przeciw DDoS, a później blokują VPS'a bez ostrzeżenia.

Z floodami UDP nie możesz NIC zrobić po stronie swojej maszyny. To w sieci muszą wycinać taki ruch.

 

Co możesz zrobić? Zmień dostawcę.

 

Są różne typy ochrony :) Blokada albo wyłączenie IP to jedna z nich :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No ale co możesz zrobić?

Robią z Ciebie frajera, mówiąc, że dysponują fantastyczną ochroną przeciw DDoS, a później blokują VPS'a bez ostrzeżenia.

Z floodami UDP nie możesz NIC zrobić po stronie swojej maszyny. To w sieci muszą wycinać taki ruch.

 

Co możesz zrobić? Zmień dostawcę.

 

Śmieszne jest to że ddosy na inne porty są ewidentnie wyłapywane. Wtedy głównie atakowano port 80 przez flood UDP, oraz 9987 :D (tak to ta zła aplikacja). Przez 3 tyg. ataki przez te 2 porty nie przechodziły - tak wnioskuje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Są różne typy ochrony :) Blokada albo wyłączenie IP to jedna z nich :)

 

Ochrona:

1. «zabezpieczenie przed czymś niekorzystnym, złym lub niebezpiecznym»

 

Czyli, przed odcięciem łącza dla usługi, bronimy się przez odcięcie łącza? Fuck logic :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

 

Ochrona:

1. «zabezpieczenie przed czymś niekorzystnym, złym lub niebezpiecznym»

 

Czyli, przed odcięciem łącza dla usługi, bronimy się przez odcięcie łącza? Fuck logic :D

 

Nie mówię że to logiczne, ale jednak chronimy innych klientów. Takie polityki są stosowane i oznakowane jako ochrona :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

BTW, inna sprawa to to że MySQL działa na 3306 TCP, a ty masz atak w 3306 UDP, więc nawet jakby ten port TCP był otwarty to to i tak by nie miało wpływu.

 

Generalnie tym zarządza kernel. Gdybyś miał dedyka można by było kombinować z grseciem i lokalnym blackholingiem, który w moim przypadku zmienił kilka serwerów ze stanu "nic się nie da" na stan "są packet lossy i je czuć, ale można też się do serwera dostać", ale to wciąż wierzchołek góry lodowej, bo takie DDoSy da się wyciąć wyłącznie na poziomie sieci, a nie serwera - na poziomie serwera możesz się tylko upewnić, że mniej oberwie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×