Перейти до

как бороться с ddos?


Рекомендованные сообщения

привет всем

прошу помощи :)

 

в работе NAS-сервер для агрегации тоннелей pptp, используем accel

на сервере пул реалок

уже который раз выхватываю интересную дос атаку

прет куча трафика с двух каналов по гигосу), валит мне к чертям весь инет канал, причем на адрес который из пула этого сервера, НО этот адрес в данный момент никому не выдан для тоннеля

не могу правильно описать задачу но в общем как-то так

есть выхлоп tcpdump если он поможет

 

как бороться с таким?

 

 

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 123
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

детский ддос - это если у тебя канал 10Г а входящий ддос 1-2-5 гиг, тогда все ок. но если трафик ддоса занимает всю полосу которую выделил тебе аплинк - никакие крутилки сисцтл и фаерволы ничему не по

Бороться с таким только блэкхолом адреса, свяжитесь с аплинками.

Тут важно еще не делать это ручками, а автоматизировать процесс детекции и блэкхола.

Опубліковано: (відредаговано)

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

именно это и происходит

есть еще варианты?

Відредаговано zulu_Radist
Ссылка на сообщение
Поделиться на других сайтах

 

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

именно это и происходит

есть еще варианты?

 

 

А Вы нам дамп приложите, DDoS это или DoS?

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

вот кусочек

22:54:57.842851 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842853 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842854 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842856 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842857 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842858 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842859 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842861 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316

176.100.63.44 мой адрес из пула

 

когда рублю в файрволе адрес атакующего 176.111.79.154

то он либо меняет свой адрес, либо меняет атаку на другой мой адрес

жесть какая-то

Відредаговано zulu_Radist
Ссылка на сообщение
Поделиться на других сайтах

АС рубать бесполезно - от входящего мусора не избавит.

 

deny source ip 176.111.79.0/24 proto udp на железяке перед насами (на бордере).

Відредаговано alex_o
Ссылка на сообщение
Поделиться на других сайтах

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Ссылка на сообщение
Поделиться на других сайтах

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Если чел покупает у аплинка больше 1Г, то физика стыка у него скорее всего 10Г. 10Г ДДоС - это редкость. В этом случае достаточно с аплинком договориться о берсте своей полосы временно в связи с ДДоС и зарезать у себя на входе бордера весь паразитный приезжающий мусор. Тогда все, что стоит за бордером будет работать нормально без перегруза портов.

Ссылка на сообщение
Поделиться на других сайтах

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

Ссылка на сообщение
Поделиться на других сайтах

 

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Если чел покупает у аплинка больше 1Г, то физика стыка у него скорее всего 10Г. 10Г ДДоС - это редкость. В этом случае достаточно с аплинком договориться о берсте своей полосы временно в связи с ДДоС и зарезать у себя на входе бордера весь паразитный приезжающий мусор. Тогда все, что стоит за бордером будет работать нормально без перегруза портов.

 

 

ТС четко указал проблему: "валит мне к чертям весь инет канал"

Ссылка на сообщение
Поделиться на других сайтах

 

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

именно это и происходит

есть еще варианты?

 

Не меняет адрес,

просто эта атака организовывается с торента или диси,

и там атакующих может быть несколько тысяч.

помогает

 ipfw add 10 deny udp from any not 53 to 176.100.63.44

на 5 минут - час.

Блок можно выставлять скриптом, от нагрузки на сервак.

Проблема, если натится несколько IP, не реально вычислить кого валят.

Відредаговано pavlabor
Ссылка на сообщение
Поделиться на других сайтах

 

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

 

Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера. Это приведет лишь к тому, что вы не сможете слать СВОИ пакеты на досера, но ЕГО пакеты приедут к вам без проблем.

 

Чтобы ддос-трэш не дошел до таргета, надо на каком-либо из хопов в трассе между соурсом и таргетом этот трэш дропать. Если у таргета более одного аплинка, то договариваться с каждым из аплинком о блэкхоле долго и сильно жестоко, да и не каждый из них еще захочет у себя временные костыли лепить. Поэтому проще дропать у себя на бордере. Единственное условие - чтобы каждый из аплинков при этом оставался без пакет-лоса.

Если идет атака именно ДДоС, а не ДоС, то у досера соурсов множество в разных АС. Тут надо только дропать фильтрами входящий траф по каким-то критериям.

Ссылка на сообщение
Поделиться на других сайтах

1. Фильтрация трафика на своем бордере не даст особого результата. Тем более при использовании UDP. Ддосер просто забьет ваш канал и на этом все закончится.

2. Атаки в 10Г бывают, причем часто и ничего тут экстраординарного нету. Для организации атаки протоколом UDP в 10Г многого от ддосера не потребуется.

3. Как уже правильно сказали, резать атаку надо у аплинков с помощью блэкхола, но и тут есть некоторая проблема. Блэкхол у себя нормальный аплинк держать не станет, потому что оно ему тоже не надо платить за трафик ддосовый, следовательно он этот блэкхол должен отдавать своим апстримам и так далее. Ну и вторая сторона блэкхолинга. В блэкхол, если по-взролому, сетями не отправляют. В блэкхол отправляют адреса, то есть /32. Это нужно иметь в веду.

4. Переходим к главному вопросу - детектирование ддоса. Это самый сложный процесс, хотя при такой ситуации, как описана ТС, задача не является невыполнимой. Если вы в состоянии автоматизировать этот процесс, то необходимо договориться с апстримами, чтоб вам предоставили возможность использования блэкхола, а дальше схема простая - детект ддоса, установка анонса адреса нарушителя в определенное комьюнити, которое ваш провайдер принимает от вас в качестве блэкхола.

 

Вобщем, на самом деле, борьба с ддосом, это довольно сложная и наукоемкая задача, но выполнимая, особенно в случае, описанном ТС.

Ссылка на сообщение
Поделиться на других сайтах

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Ссылка на сообщение
Поделиться на других сайтах

 

 

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

 

Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера. Это приведет лишь к тому, что вы не сможете слать СВОИ пакеты на досера, но ЕГО пакеты приедут к вам без проблем.

 

Чтобы ддос-трэш не дошел до таргета, надо на каком-либо из хопов в трассе между соурсом и таргетом этот трэш дропать. Если у таргета более одного аплинка, то договариваться с каждым из аплинком о блэкхоле долго и сильно жестоко, да и не каждый из них еще захочет у себя временные костыли лепить. Поэтому проще дропать у себя на бордере. Единственное условие - чтобы каждый из аплинков при этом оставался без пакет-лоса.

Если идет атака именно ДДоС, а не ДоС, то у досера соурсов множество в разных АС. Тут надо только дропать фильтрами входящий траф по каким-то критериям.

К сожалению это сработает только только в правильно спроектированных сетях, причем не мелкого размера. С 10g физикой к аплинкам, и без жесткого шейпера..

Если там физика гиговая - никакие заклинания кроме блекхола по комьюниюнити/звонку у аплинка не помогут.

Ссылка на сообщение
Поделиться на других сайтах
Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера.

 

 

Вам показалось, я такого ничего не предлагал. Я только подчеркнул Ваш "трэш" по поводу ip route x.x.x.x/x proto udp =)))

 

Чтобы ддос-трэш не дошел до таргета

 

 

Ага, нужно его зафильтровать. Блэкхол - самый легкий метод, если аплинк его поддерживает. Если нет, то только комплекс мероприятий.

Ссылка на сообщение
Поделиться на других сайтах

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Кстати вполне возможный вариант что вы флудите сами себя, смотрели, трафик кругами не бегает от бордера к насу?

Правильно таки маршруты /32 анонсировать бордеру, а на нем сделать блекхол на свои сети.

Ссылка на сообщение
Поделиться на других сайтах

 

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

НАСРАТЬ на то, что не выдан! Учите матчасть! Для UDP протокола не обязательно, чтоб адрес был доступен! У вас идет классический UDP-флуд!

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Melanxolik
      Как многие уже знаю, символ: "З" является запрещенным на территории нашей страны, в связи с этим, возникло много проблем, особенно в довольно популярной файловой системе, которая звучит так: Зфс, она содержит у себя утилиты названия которых начинаются также с Зпул, Зфс и т.д.
      Как у нас сейчас с этим и кто-то уже пробовал пушить разрабов по этому поводу?
       
    • Від Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
    • Від vovaputin
      Братья украинцы, не откажите в помощи, порнохаб заблочили, трафик упал, железо простаивает.
      У кого линукс попингуйте меня. Сисадмин скучает.
       
      hping3 --rand-source -i u10 -S -d 1400 kremlin.ru
       
      sberbank.ru
      ntv.ru
      lenta.ru
      roskazna.gov.ru
      vsrf.ru
      council.gov.ru
       
      все мы ждем от вас кто сколько может.
       
      ps
      -i u100 = 60 мбит
      -i u10 = 600 мбит
      -i u1 = 6 гбит
       
    • Від Rubert
      WorldVPS Solutions небольшой проект который предоставляет хостинг с бесплатным администрированием более 10-ти лет, у нас огромный опыт в подборе оборудования в лучших центрах обработки данных в мире с идеальным соотношением цена/качество.
       
      Мы предоставляем хостинг в таких странах как Нидерланды, Германия, США, Франция и Люксембург.
       
       
      VPS (Нидерланды, Германия, США и Франция):
       
      Virtualization KVM
      CPU Intel Xeon E5 1x2.6 GHz
      RAM 1 GB DDR4
      Disk 20 GB SSD RAID10
      Traffic unlimited
      Port 1000 Mbit
      IP 1 IPv4 + IPv6 on request
      From $13.00/mo
       
       
      VPS с большим дисков (США и Франция):
       
      2 vCores
      RAM 4 GB
      200 GB HDD or 100 GB SSD
      Port 100 Mbit/s
      1 IPv4 (up to 4 IP)
      From $19.00/mo
       
       
      Выделенный сервер в Нидерландах:
       
      Intel Core i3 2100 2 x 3.10 GHz
      4GB DDR3 RAM (up to 32 GB)
      1 TB or 120 GB (up to 16 TB)
      max 4 drives
      link 100 Mbit/s (up to 1 Gbit/s)
      50TB traffic per month
      1 IP (up to 4 IP)
      10Gbit/s protection DDoS Shield (FREE!)
      From $48.00/mo
       
      Выделенный сервер в Франции:
       
      AMD Opteron 3280, 8x 2.4 GHz Turbo
      16GB DDR3 RAM (up to 32 GB)
      2x2 TB HDD (up to SSD)
      max 2 drives
      link 100 Mbit/s
      1 IP (up to 4 IP)
      From $58.00/mo
       
      ---
       
      На сайте вы можете ознакомится со всеми возможными конфигурациями серверов.
       
      worldvps.ru
       
      *А так же для первых 10-ти заказов из форума local.com.ua мы предоставим бесплатно лицензию управления ISPmanager 6 Lite (кроме VPS с большим диском).
    • Від freedomwarrior
      Всем привет.
      Предоставляю услуги сетевика/админа.
      Что то починить, настроить bgp/ospf и т.д
      Если рухтеры то только Juniper.
      Серверное администрировани Linux/Unix, поднять веб сервер, починить и т.д.
      Настройка мониторинга с Grafana/Prometheus/Alertmanager и разного рода экспортеры.
      Кому интересно - пишите в личку.
      Только удаленка.
      Всем добра!

×
×
  • Створити нове...