Виктор Николаевич Posted January 25, 2015 Posted January 25, 2015 В этом году новая проблема в том, что средний размер атаки перевалил за 10 гиг, так что почти никому и файрволы уже не помогут. а какой тогда максимальный.....
Виктор Николаевич Posted January 25, 2015 Posted January 25, 2015 (edited) Я не верю, что у вас на всю сеть атака. Сори. Ну и это к лучшему, что вы не верите - я не хотел бы чтобы у вас или у кого-то другого подобное происходило. Под сетью я имел ввиду только один из диапазонов реальных айпишников в сети. Edited January 25, 2015 by Виктор Николаевич
kha0s Posted January 25, 2015 Posted January 25, 2015 В этом году новая проблема в том, что средний размер атаки перевалил за 10 гиг, так что почти никому и файрволы уже не помогут. а какой тогда максимальный..... Я ж говорил - возьмите средний ботнет на 300-400 тысяч зомбихостов. Средняя скорость на нем пусть будет 10 Мбит/хост. Достаточно что-бы завалить крупный бэкбон. Ненадолго - BGP анонсы жертвы быстро покинут таблички маршрутизации.
Виктор Николаевич Posted January 25, 2015 Posted January 25, 2015 В этом году новая проблема в том, что средний размер атаки перевалил за 10 гиг, так что почти никому и файрволы уже не помогут. а какой тогда максимальный..... Я ж говорил - возьмите средний ботнет на 300-400 тысяч зомбихостов. Средняя скорость на нем пусть будет 10 Мбит/хост. Достаточно что-бы завалить крупный бэкбон. Ненадолго - BGP анонсы жертвы быстро покинут таблички маршрутизации. впечатлило. но и такая атака "заказчику" будет стоить не 3 копейки, чтобы он выбрасывал несколько раз или систематически бабло...
sokol33 Posted January 25, 2015 Posted January 25, 2015 На меня тоже в пятницу 2 раза по 15 минут 8гиг провалило... Ддос зло...
Виктор Николаевич Posted January 25, 2015 Posted January 25, 2015 На меня тоже в пятницу 2 раза по 15 минут 8гиг провалило... Ддос зло... а через какой аплинк ?
Петрович6 Posted January 26, 2015 Posted January 26, 2015 начиная с 7 января ддосят практически не прекращая, у некоторых конкурентов по области тоже есть похожие проблемы, похоже на спланированную атаку на подсети провайдеров в украине..
ttttt Posted January 26, 2015 Posted January 26, 2015 похоже на спланированную атаку на подсети провайдеров в украине..Ага, конечно, а за вами лично снайперы не бегают? Покажите статистику, как распределяется трафик ддоса по айпишникам подсети. Хотя я сомневаюсь, что она у вас вообще есть после "подсети провайдеров" атакуют. Скорее всего вы просто еще не разобрались что к чему.
zulu_Radist Posted May 3, 2015 Author Posted May 3, 2015 что-то мне это все уже конкретно поднадоело атаки участились уже раз в 4 дня с такими темпами я весь префикс в нулл загоню ))) если здесь есть та морда кому я насрал в тарелку напиши в лс
Lambert Posted May 3, 2015 Posted May 3, 2015 схоже що всім потроху насипають... недавно датагруп валявся, казали від того ж ддосу
Melanxolik Posted May 10, 2015 Posted May 10, 2015 Fastnetmon и автоблэкхол. Как тип трафика летит? Уверены что не reflection?
zulu_Radist Posted June 16, 2015 Author Posted June 16, 2015 адрес был выдан сегодня трем разным пользователям Да забейте вы на адрес, который выдавался юзерам. В 90% случаев это ддос одних геймеров на других. Какие-то геймеры что-то не поделили, и теперь включили hping, или тому подобное на широком канале, с быстрым процессором. что-то в ваших словах есть вчера опять ддос утилизировал оба канала в полочку посмотрел ip, записал кому он был выдан, выключаю этого юзера звоню аплинку, добавляют блэкхол, отпускает включаю абона, он получает новую айпишку, проходит 5 минут и приплывает уже на новый адрес этого юзера отрубил его к чертям, звонит сегодня абон, провожу беседу, оказывается он злостный игроман в доту, вот и что с ним делать?
tkapluk Posted June 16, 2015 Posted June 16, 2015 Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было.
Ruslik Posted June 16, 2015 Posted June 16, 2015 Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. Используется усиление атаки через дырки в ntpd. Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500) Технология такая же, как и в дырявом named когда-то.
Melanxolik Posted June 16, 2015 Posted June 16, 2015 (edited) затулите все что не с 123 на 123 и все. еще можете в дополнение создать список валидных ntp серверов к которым обращаются ваши клиенты. Edited June 16, 2015 by Melanxolik
tkapluk Posted June 16, 2015 Posted June 16, 2015 Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. Используется усиление атаки через дырки в ntpd. Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500) Технология такая же, как и в дырявом named когда-то. Это все понятно. НО: входящих пакетов практически не было.
Phsm Posted June 16, 2015 Posted June 16, 2015 Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. Используется усиление атаки через дырки в ntpd. Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500) Технология такая же, как и в дырявом named когда-то. Это все понятно. НО: входящих пакетов практически не было. Если не было входящих пакетов, то откуда дос? Входящих-то как раз должно быть много.
tkapluk Posted June 16, 2015 Posted June 16, 2015 Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. Используется усиление атаки через дырки в ntpd. Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500) Технология такая же, как и в дырявом named когда-то. Это все понятно. НО: входящих пакетов практически не было. Если не было входящих пакетов, то откуда дос? Входящих-то как раз должно быть много. так в этом и вопрос. Не сам же он взбесился. Смотрел трафик я только перед там как зарезать трафик, может он до этого получил кучу пакетов.
supportod Posted June 25, 2015 Posted June 25, 2015 Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. А какой src ip прилетевших пакетов? Кого ддосят?
tkapluk Posted June 25, 2015 Posted June 25, 2015 Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. А какой src ip прилетевших пакетов? Кого ддосят? Ты думаешь я помню? Точно через мировой канал. Бек резолв вроде как был в зоне .eu.
supportod Posted June 25, 2015 Posted June 25, 2015 (edited) Netflow статистика все помнит. Мне по NTP прилетают фейковые запросы с ip 188.163.239.74 Вижу овер 300 запросов в секунду на ntp сервис... 04:57:30.548277 IP (tos 0x28, ttl 55, id 54902, offset 0, flags [DF], proto UDP (17), length 76) 188.163.239.74.123 > XX.YYY.ZZ.UU.123: [udp sum ok] NTPv4, length 48 symmetric active, Leap indicator: clock unsynchronized (192), Stratum 0 (unspecified), poll 10 (1024s), precision -1 Root Delay: 39874.023559, Root dispersion: 186.972640, Reference-ID: (unspec) Reference Timestamp: 0.721465647 Originator Timestamp: 3640903050.539531290 (2015/05/18 04:57:30) Receive Timestamp: 3640903050.539531290 (2015/05/18 04:57:30) Transmit Timestamp: 3640903050.539531290 (2015/05/18 04:57:30) Originator - Receive Timestamp: -0.000000000 Originator - Transmit Timestamp: -0.000000000 Edited June 25, 2015 by supportod
tkapluk Posted June 25, 2015 Posted June 25, 2015 Netflow статистика все помни если б была нетфло статистика я б не задавал тут такие вопросы.
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now