Перейти к содержимому

как бороться с ddos?


Рекомендованные сообщения

привет всем

прошу помощи :)

 

в работе NAS-сервер для агрегации тоннелей pptp, используем accel

на сервере пул реалок

уже который раз выхватываю интересную дос атаку

прет куча трафика с двух каналов по гигосу), валит мне к чертям весь инет канал, причем на адрес который из пула этого сервера, НО этот адрес в данный момент никому не выдан для тоннеля

не могу правильно описать задачу но в общем как-то так

есть выхлоп tcpdump если он поможет

 

как бороться с таким?

 

 

Ссылка на сообщение
Поделиться на других сайтах
  • Ответы 123
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

детский ддос - это если у тебя канал 10Г а входящий ддос 1-2-5 гиг, тогда все ок. но если трафик ддоса занимает всю полосу которую выделил тебе аплинк - никакие крутилки сисцтл и фаерволы ничему не по

Бороться с таким только блэкхолом адреса, свяжитесь с аплинками.

Тут важно еще не делать это ручками, а автоматизировать процесс детекции и блэкхола.

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

именно это и происходит

есть еще варианты?

Изменено пользователем zulu_Radist
Ссылка на сообщение
Поделиться на других сайтах

 

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

именно это и происходит

есть еще варианты?

 

 

А Вы нам дамп приложите, DDoS это или DoS?

Ссылка на сообщение
Поделиться на других сайтах

вот кусочек

22:54:57.842851 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842853 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842854 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842856 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842857 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842858 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842859 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316
22:54:57.842861 IP 176.111.79.154.36560 > 176.100.63.44.16324: UDP, length 1316

176.100.63.44 мой адрес из пула

 

когда рублю в файрволе адрес атакующего 176.111.79.154

то он либо меняет свой адрес, либо меняет атаку на другой мой адрес

жесть какая-то

Изменено пользователем zulu_Radist
Ссылка на сообщение
Поделиться на других сайтах

АС рубать бесполезно - от входящего мусора не избавит.

 

deny source ip 176.111.79.0/24 proto udp на железяке перед насами (на бордере).

Изменено пользователем alex_o
Ссылка на сообщение
Поделиться на других сайтах

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Ссылка на сообщение
Поделиться на других сайтах

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Если чел покупает у аплинка больше 1Г, то физика стыка у него скорее всего 10Г. 10Г ДДоС - это редкость. В этом случае достаточно с аплинком договориться о берсте своей полосы временно в связи с ДДоС и зарезать у себя на входе бордера весь паразитный приезжающий мусор. Тогда все, что стоит за бордером будет работать нормально без перегруза портов.

Ссылка на сообщение
Поделиться на других сайтах

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

Ссылка на сообщение
Поделиться на других сайтах

 

blackhole/фильтра на стороне аплинков.

 

нулить и дискардить трафик у себя смысла не имеет, паразитный трафик все также протаскивается аплинком и отдается в порт.

Если чел покупает у аплинка больше 1Г, то физика стыка у него скорее всего 10Г. 10Г ДДоС - это редкость. В этом случае достаточно с аплинком договориться о берсте своей полосы временно в связи с ДДоС и зарезать у себя на входе бордера весь паразитный приезжающий мусор. Тогда все, что стоит за бордером будет работать нормально без перегруза портов.

 

 

ТС четко указал проблему: "валит мне к чертям весь инет канал"

Ссылка на сообщение
Поделиться на других сайтах

 

Как показывает опыт, особо злостный атакующий после блэкхолинга жертвы, меняет адрес  для атаки.

именно это и происходит

есть еще варианты?

 

Не меняет адрес,

просто эта атака организовывается с торента или диси,

и там атакующих может быть несколько тысяч.

помогает

 ipfw add 10 deny udp from any not 53 to 176.100.63.44

на 5 минут - час.

Блок можно выставлять скриптом, от нагрузки на сервак.

Проблема, если натится несколько IP, не реально вычислить кого валят.

Изменено пользователем pavlabor
Ссылка на сообщение
Поделиться на других сайтах

 

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

 

Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера. Это приведет лишь к тому, что вы не сможете слать СВОИ пакеты на досера, но ЕГО пакеты приедут к вам без проблем.

 

Чтобы ддос-трэш не дошел до таргета, надо на каком-либо из хопов в трассе между соурсом и таргетом этот трэш дропать. Если у таргета более одного аплинка, то договариваться с каждым из аплинком о блэкхоле долго и сильно жестоко, да и не каждый из них еще захочет у себя временные костыли лепить. Поэтому проще дропать у себя на бордере. Единственное условие - чтобы каждый из аплинков при этом оставался без пакет-лоса.

Если идет атака именно ДДоС, а не ДоС, то у досера соурсов множество в разных АС. Тут надо только дропать фильтрами входящий траф по каким-то критериям.

Ссылка на сообщение
Поделиться на других сайтах

1. Фильтрация трафика на своем бордере не даст особого результата. Тем более при использовании UDP. Ддосер просто забьет ваш канал и на этом все закончится.

2. Атаки в 10Г бывают, причем часто и ничего тут экстраординарного нету. Для организации атаки протоколом UDP в 10Г многого от ддосера не потребуется.

3. Как уже правильно сказали, резать атаку надо у аплинков с помощью блэкхола, но и тут есть некоторая проблема. Блэкхол у себя нормальный аплинк держать не станет, потому что оно ему тоже не надо платить за трафик ддосовый, следовательно он этот блэкхол должен отдавать своим апстримам и так далее. Ну и вторая сторона блэкхолинга. В блэкхол, если по-взролому, сетями не отправляют. В блэкхол отправляют адреса, то есть /32. Это нужно иметь в веду.

4. Переходим к главному вопросу - детектирование ддоса. Это самый сложный процесс, хотя при такой ситуации, как описана ТС, задача не является невыполнимой. Если вы в состоянии автоматизировать этот процесс, то необходимо договориться с апстримами, чтоб вам предоставили возможность использования блэкхола, а дальше схема простая - детект ддоса, установка анонса адреса нарушителя в определенное комьюнити, которое ваш провайдер принимает от вас в качестве блэкхола.

 

Вобщем, на самом деле, борьба с ддосом, это довольно сложная и наукоемкая задача, но выполнимая, особенно в случае, описанном ТС.

Ссылка на сообщение
Поделиться на других сайтах

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Ссылка на сообщение
Поделиться на других сайтах

 

 

АС рубать бесполезно - от входящего мусора не избавит.

 

роут source ip 176.111.79.0/24 прото ЮДП ту нулл на железяке перед насами (на бордере).

 

А каким боком роутинг к протоколам передачи данных относиться, покажите команду полностью )) ? Роут в Null это тот же блэкхолинг, только без передачи маршрута по цепочке аплинку.

 

Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера. Это приведет лишь к тому, что вы не сможете слать СВОИ пакеты на досера, но ЕГО пакеты приедут к вам без проблем.

 

Чтобы ддос-трэш не дошел до таргета, надо на каком-либо из хопов в трассе между соурсом и таргетом этот трэш дропать. Если у таргета более одного аплинка, то договариваться с каждым из аплинком о блэкхоле долго и сильно жестоко, да и не каждый из них еще захочет у себя временные костыли лепить. Поэтому проще дропать у себя на бордере. Единственное условие - чтобы каждый из аплинков при этом оставался без пакет-лоса.

Если идет атака именно ДДоС, а не ДоС, то у досера соурсов множество в разных АС. Тут надо только дропать фильтрами входящий траф по каким-то критериям.

К сожалению это сработает только только в правильно спроектированных сетях, причем не мелкого размера. С 10g физикой к аплинкам, и без жесткого шейпера..

Если там физика гиговая - никакие заклинания кроме блекхола по комьюниюнити/звонку у аплинка не помогут.

Ссылка на сообщение
Поделиться на других сайтах
Вы предлагаете у себя из роут-таблицы выкинуть префиксы AS досера.

 

 

Вам показалось, я такого ничего не предлагал. Я только подчеркнул Ваш "трэш" по поводу ip route x.x.x.x/x proto udp =)))

 

Чтобы ддос-трэш не дошел до таргета

 

 

Ага, нужно его зафильтровать. Блэкхол - самый легкий метод, если аплинк его поддерживает. Если нет, то только комплекс мероприятий.

Ссылка на сообщение
Поделиться на других сайтах

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Кстати вполне возможный вариант что вы флудите сами себя, смотрели, трафик кругами не бегает от бордера к насу?

Правильно таки маршруты /32 анонсировать бордеру, а на нем сделать блекхол на свои сети.

Ссылка на сообщение
Поделиться на других сайтах

 

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

НАСРАТЬ на то, что не выдан! Учите матчасть! Для UDP протокола не обязательно, чтоб адрес был доступен! У вас идет классический UDP-флуд!

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: Melanxolik
      Как многие уже знаю, символ: "З" является запрещенным на территории нашей страны, в связи с этим, возникло много проблем, особенно в довольно популярной файловой системе, которая звучит так: Зфс, она содержит у себя утилиты названия которых начинаются также с Зпул, Зфс и т.д.
      Как у нас сейчас с этим и кто-то уже пробовал пушить разрабов по этому поводу?
       
    • Автор: Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
    • Автор: vovaputin
      Братья украинцы, не откажите в помощи, порнохаб заблочили, трафик упал, железо простаивает.
      У кого линукс попингуйте меня. Сисадмин скучает.
       
      hping3 --rand-source -i u10 -S -d 1400 kremlin.ru
       
      sberbank.ru
      ntv.ru
      lenta.ru
      roskazna.gov.ru
      vsrf.ru
      council.gov.ru
       
      все мы ждем от вас кто сколько может.
       
      ps
      -i u100 = 60 мбит
      -i u10 = 600 мбит
      -i u1 = 6 гбит
       
    • Автор: Rubert
      WorldVPS Solutions небольшой проект который предоставляет хостинг с бесплатным администрированием более 10-ти лет, у нас огромный опыт в подборе оборудования в лучших центрах обработки данных в мире с идеальным соотношением цена/качество.
       
      Мы предоставляем хостинг в таких странах как Нидерланды, Германия, США, Франция и Люксембург.
       
       
      VPS (Нидерланды, Германия, США и Франция):
       
      Virtualization KVM
      CPU Intel Xeon E5 1x2.6 GHz
      RAM 1 GB DDR4
      Disk 20 GB SSD RAID10
      Traffic unlimited
      Port 1000 Mbit
      IP 1 IPv4 + IPv6 on request
      From $13.00/mo
       
       
      VPS с большим дисков (США и Франция):
       
      2 vCores
      RAM 4 GB
      200 GB HDD or 100 GB SSD
      Port 100 Mbit/s
      1 IPv4 (up to 4 IP)
      From $19.00/mo
       
       
      Выделенный сервер в Нидерландах:
       
      Intel Core i3 2100 2 x 3.10 GHz
      4GB DDR3 RAM (up to 32 GB)
      1 TB or 120 GB (up to 16 TB)
      max 4 drives
      link 100 Mbit/s (up to 1 Gbit/s)
      50TB traffic per month
      1 IP (up to 4 IP)
      10Gbit/s protection DDoS Shield (FREE!)
      From $48.00/mo
       
      Выделенный сервер в Франции:
       
      AMD Opteron 3280, 8x 2.4 GHz Turbo
      16GB DDR3 RAM (up to 32 GB)
      2x2 TB HDD (up to SSD)
      max 2 drives
      link 100 Mbit/s
      1 IP (up to 4 IP)
      From $58.00/mo
       
      ---
       
      На сайте вы можете ознакомится со всеми возможными конфигурациями серверов.
       
      worldvps.ru
       
      *А так же для первых 10-ти заказов из форума local.com.ua мы предоставим бесплатно лицензию управления ISPmanager 6 Lite (кроме VPS с большим диском).
    • Автор: freedomwarrior
      Всем привет.
      Предоставляю услуги сетевика/админа.
      Что то починить, настроить bgp/ospf и т.д
      Если рухтеры то только Juniper.
      Серверное администрировани Linux/Unix, поднять веб сервер, починить и т.д.
      Настройка мониторинга с Grafana/Prometheus/Alertmanager и разного рода экспортеры.
      Кому интересно - пишите в личку.
      Только удаленка.
      Всем добра!

×
×
  • Создать...