Jump to content

Recommended Posts

Posted (edited)

Я не верю, что у вас на всю сеть атака. Сори.

 

Ну и это к лучшему, что вы не верите - я не хотел бы чтобы у вас или у кого-то другого подобное происходило.

 

Под сетью я имел ввиду только один из диапазонов реальных айпишников в сети.

Edited by Виктор Николаевич
Posted

 

В этом году новая проблема в том, что средний размер атаки перевалил за 10 гиг, так что почти никому и файрволы уже не помогут.

а какой тогда максимальный..... :blink:

 

Я ж говорил - возьмите средний ботнет на 300-400 тысяч зомбихостов. Средняя скорость на нем пусть будет 10 Мбит/хост. Достаточно что-бы завалить крупный бэкбон. Ненадолго - BGP анонсы жертвы быстро покинут таблички маршрутизации.

Posted

 

 

В этом году новая проблема в том, что средний размер атаки перевалил за 10 гиг, так что почти никому и файрволы уже не помогут.

а какой тогда максимальный..... :blink:

 

Я ж говорил - возьмите средний ботнет на 300-400 тысяч зомбихостов. Средняя скорость на нем пусть будет 10 Мбит/хост. Достаточно что-бы завалить крупный бэкбон. Ненадолго - BGP анонсы жертвы быстро покинут таблички маршрутизации.

 

впечатлило.

но и такая атака "заказчику" будет стоить не 3 копейки, чтобы он выбрасывал несколько раз или систематически бабло...

Posted

начиная с 7 января ддосят практически не прекращая, у некоторых конкурентов по области тоже есть похожие проблемы, похоже на спланированную атаку на подсети провайдеров в украине..

Posted

похоже на спланированную атаку на подсети провайдеров в украине..

Ага, конечно, а за вами лично снайперы не бегают?

 

Покажите статистику, как распределяется трафик ддоса по айпишникам подсети. Хотя я сомневаюсь, что она у вас вообще есть после "подсети провайдеров" атакуют. Скорее всего вы просто еще не разобрались что к чему.

  • 3 months later...
Posted

что-то мне это все уже конкретно поднадоело

атаки участились

уже раз в 4 дня

с такими темпами я весь префикс в нулл загоню )))

 

если здесь есть та морда кому я насрал в тарелку напиши в лс :)

Posted

схоже що всім потроху насипають...

недавно датагруп валявся, казали від того ж ддосу

  • 1 month later...
Posted

 

адрес был выдан сегодня трем разным пользователям

 

 

Да забейте вы на адрес, который выдавался юзерам. В 90% случаев это ддос одних геймеров на других. Какие-то геймеры что-то не поделили, и теперь включили hping, или тому подобное на широком канале, с быстрым процессором.

 

что-то в ваших словах есть

вчера опять ддос утилизировал оба канала в полочку

посмотрел ip, записал кому он был выдан, выключаю этого юзера

звоню аплинку, добавляют блэкхол, отпускает

включаю абона, он получает новую айпишку, проходит 5 минут и приплывает уже на новый адрес этого юзера

отрубил его к чертям, звонит сегодня абон, провожу беседу, оказывается он злостный игроман в доту, вот и что с ним делать? 

Posted

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

Posted

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

Используется усиление атаки через дырки в ntpd.

Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500)

Технология такая же, как и в дырявом named когда-то.

Posted (edited)

затулите все что не с 123 на 123 и все.

еще можете в дополнение создать список валидных ntp серверов  к которым обращаются ваши клиенты.

Edited by Melanxolik
Posted

 

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

Используется усиление атаки через дырки в ntpd.

Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500)

Технология такая же, как и в дырявом named когда-то.

 

Это все понятно. НО: входящих пакетов практически не было. 

Posted

 

 

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

Используется усиление атаки через дырки в ntpd.

Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500)

Технология такая же, как и в дырявом named когда-то.

 

Это все понятно. НО: входящих пакетов практически не было. 

 

 

Если не было входящих пакетов, то откуда дос? Входящих-то как раз должно быть много.

Posted

 

 

 

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

Используется усиление атаки через дырки в ntpd.

Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500)

Технология такая же, как и в дырявом named когда-то.

 

Это все понятно. НО: входящих пакетов практически не было. 

 

 

Если не было входящих пакетов, то откуда дос? Входящих-то как раз должно быть много.

 

так в этом и вопрос. Не сам же он взбесился. :) 

Смотрел трафик я только перед там как зарезать трафик, может он до этого получил кучу пакетов. 

  • 2 weeks later...
Posted

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

А какой src ip прилетевших пакетов? Кого ддосят?

Posted

 

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

А какой src ip прилетевших пакетов? Кого ддосят?

 

Ты думаешь я помню? :) 

Точно через мировой канал.

Бек резолв вроде как был в зоне .eu.

Posted (edited)

Netflow статистика все помнит.

Мне по NTP прилетают фейковые запросы с ip 188.163.239.74

 

Вижу овер 300 запросов в секунду на ntp сервис

...

04:57:30.548277 IP (tos 0x28, ttl 55, id 54902, offset 0, flags [DF], proto UDP (17), length 76)
    188.163.239.74.123 > XX.YYY.ZZ.UU.123: [udp sum ok] NTPv4, length 48
        symmetric active, Leap indicator: clock unsynchronized (192), Stratum 0 (unspecified), poll 10 (1024s), precision -1
        Root Delay: 39874.023559, Root dispersion: 186.972640, Reference-ID: (unspec)
          Reference Timestamp:  0.721465647
          Originator Timestamp: 3640903050.539531290 (2015/05/18 04:57:30)
          Receive Timestamp:    3640903050.539531290 (2015/05/18 04:57:30)
          Transmit Timestamp:   3640903050.539531290 (2015/05/18 04:57:30)
            Originator - Receive Timestamp:  -0.000000000
            Originator - Transmit Timestamp: -0.000000000
Edited by supportod
Posted

 

 

Netflow статистика все помни
если б была нетфло статистика я б не задавал тут такие вопросы. :) 

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...