Перейти до

как бороться с ddos?


Рекомендованные сообщения

В этом году новая проблема в том, что средний размер атаки перевалил за 10 гиг, так что почти никому и файрволы уже не помогут.

а какой тогда максимальный..... :blink:

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 123
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

детский ддос - это если у тебя канал 10Г а входящий ддос 1-2-5 гиг, тогда все ок. но если трафик ддоса занимает всю полосу которую выделил тебе аплинк - никакие крутилки сисцтл и фаерволы ничему не по

Бороться с таким только блэкхолом адреса, свяжитесь с аплинками.

Тут важно еще не делать это ручками, а автоматизировать процесс детекции и блэкхола.

Я не верю, что у вас на всю сеть атака. Сори.

 

Ну и это к лучшему, что вы не верите - я не хотел бы чтобы у вас или у кого-то другого подобное происходило.

 

Под сетью я имел ввиду только один из диапазонов реальных айпишников в сети.

Відредаговано Виктор Николаевич
Ссылка на сообщение
Поделиться на других сайтах

 

В этом году новая проблема в том, что средний размер атаки перевалил за 10 гиг, так что почти никому и файрволы уже не помогут.

а какой тогда максимальный..... :blink:

 

Я ж говорил - возьмите средний ботнет на 300-400 тысяч зомбихостов. Средняя скорость на нем пусть будет 10 Мбит/хост. Достаточно что-бы завалить крупный бэкбон. Ненадолго - BGP анонсы жертвы быстро покинут таблички маршрутизации.

Ссылка на сообщение
Поделиться на других сайтах

 

 

В этом году новая проблема в том, что средний размер атаки перевалил за 10 гиг, так что почти никому и файрволы уже не помогут.

а какой тогда максимальный..... :blink:

 

Я ж говорил - возьмите средний ботнет на 300-400 тысяч зомбихостов. Средняя скорость на нем пусть будет 10 Мбит/хост. Достаточно что-бы завалить крупный бэкбон. Ненадолго - BGP анонсы жертвы быстро покинут таблички маршрутизации.

 

впечатлило.

но и такая атака "заказчику" будет стоить не 3 копейки, чтобы он выбрасывал несколько раз или систематически бабло...

Ссылка на сообщение
Поделиться на других сайтах

начиная с 7 января ддосят практически не прекращая, у некоторых конкурентов по области тоже есть похожие проблемы, похоже на спланированную атаку на подсети провайдеров в украине..

Ссылка на сообщение
Поделиться на других сайтах

похоже на спланированную атаку на подсети провайдеров в украине..

Ага, конечно, а за вами лично снайперы не бегают?

 

Покажите статистику, как распределяется трафик ддоса по айпишникам подсети. Хотя я сомневаюсь, что она у вас вообще есть после "подсети провайдеров" атакуют. Скорее всего вы просто еще не разобрались что к чему.

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...

что-то мне это все уже конкретно поднадоело

атаки участились

уже раз в 4 дня

с такими темпами я весь префикс в нулл загоню )))

 

если здесь есть та морда кому я насрал в тарелку напиши в лс :)

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

 

адрес был выдан сегодня трем разным пользователям

 

 

Да забейте вы на адрес, который выдавался юзерам. В 90% случаев это ддос одних геймеров на других. Какие-то геймеры что-то не поделили, и теперь включили hping, или тому подобное на широком канале, с быстрым процессором.

 

что-то в ваших словах есть

вчера опять ддос утилизировал оба канала в полочку

посмотрел ip, записал кому он был выдан, выключаю этого юзера

звоню аплинку, добавляют блэкхол, отпускает

включаю абона, он получает новую айпишку, проходит 5 минут и приплывает уже на новый адрес этого юзера

отрубил его к чертям, звонит сегодня абон, провожу беседу, оказывается он злостный игроман в доту, вот и что с ним делать? 

Ссылка на сообщение
Поделиться на других сайтах

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

Ссылка на сообщение
Поделиться на других сайтах

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

Используется усиление атаки через дырки в ntpd.

Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500)

Технология такая же, как и в дырявом named когда-то.

Ссылка на сообщение
Поделиться на других сайтах

затулите все что не с 123 на 123 и все.

еще можете в дополнение создать список валидных ntp серверов  к которым обращаются ваши клиенты.

Відредаговано Melanxolik
Ссылка на сообщение
Поделиться на других сайтах

 

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

Используется усиление атаки через дырки в ntpd.

Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500)

Технология такая же, как и в дырявом named когда-то.

 

Это все понятно. НО: входящих пакетов практически не было. 

Ссылка на сообщение
Поделиться на других сайтах

 

 

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

Используется усиление атаки через дырки в ntpd.

Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500)

Технология такая же, как и в дырявом named когда-то.

 

Это все понятно. НО: входящих пакетов практически не было. 

 

 

Если не было входящих пакетов, то откуда дос? Входящих-то как раз должно быть много.

Ссылка на сообщение
Поделиться на других сайтах

 

 

 

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

Используется усиление атаки через дырки в ntpd.

Дырявому серверу бедбой шлет маленькие пакеты(64байта) с поддельными адресами(жертвы), в ответ сервер пускает на жертву udp пакеты максимально возможного размера(до 1500)

Технология такая же, как и в дырявом named когда-то.

 

Это все понятно. НО: входящих пакетов практически не было. 

 

 

Если не было входящих пакетов, то откуда дос? Входящих-то как раз должно быть много.

 

так в этом и вопрос. Не сам же он взбесился. :) 

Смотрел трафик я только перед там как зарезать трафик, может он до этого получил кучу пакетов. 

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

А какой src ip прилетевших пакетов? Кого ддосят?

Ссылка на сообщение
Поделиться на других сайтах

 

Вопрос по ддосу через NTP сервер. Сервер получает пачку пакетов с подмененными адресами и потом не спеша отвечает на них? Недавно смотрел трафик на ддосящей железке - входящих пакетов практически не было. 

 

А какой src ip прилетевших пакетов? Кого ддосят?

 

Ты думаешь я помню? :) 

Точно через мировой канал.

Бек резолв вроде как был в зоне .eu.

Ссылка на сообщение
Поделиться на других сайтах

Netflow статистика все помнит.

Мне по NTP прилетают фейковые запросы с ip 188.163.239.74

 

Вижу овер 300 запросов в секунду на ntp сервис

...

04:57:30.548277 IP (tos 0x28, ttl 55, id 54902, offset 0, flags [DF], proto UDP (17), length 76)
    188.163.239.74.123 > XX.YYY.ZZ.UU.123: [udp sum ok] NTPv4, length 48
        symmetric active, Leap indicator: clock unsynchronized (192), Stratum 0 (unspecified), poll 10 (1024s), precision -1
        Root Delay: 39874.023559, Root dispersion: 186.972640, Reference-ID: (unspec)
          Reference Timestamp:  0.721465647
          Originator Timestamp: 3640903050.539531290 (2015/05/18 04:57:30)
          Receive Timestamp:    3640903050.539531290 (2015/05/18 04:57:30)
          Transmit Timestamp:   3640903050.539531290 (2015/05/18 04:57:30)
            Originator - Receive Timestamp:  -0.000000000
            Originator - Transmit Timestamp: -0.000000000
Відредаговано supportod
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Melanxolik
      Как многие уже знаю, символ: "З" является запрещенным на территории нашей страны, в связи с этим, возникло много проблем, особенно в довольно популярной файловой системе, которая звучит так: Зфс, она содержит у себя утилиты названия которых начинаются также с Зпул, Зфс и т.д.
      Как у нас сейчас с этим и кто-то уже пробовал пушить разрабов по этому поводу?
       
    • Від Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
    • Від vovaputin
      Братья украинцы, не откажите в помощи, порнохаб заблочили, трафик упал, железо простаивает.
      У кого линукс попингуйте меня. Сисадмин скучает.
       
      hping3 --rand-source -i u10 -S -d 1400 kremlin.ru
       
      sberbank.ru
      ntv.ru
      lenta.ru
      roskazna.gov.ru
      vsrf.ru
      council.gov.ru
       
      все мы ждем от вас кто сколько может.
       
      ps
      -i u100 = 60 мбит
      -i u10 = 600 мбит
      -i u1 = 6 гбит
       
    • Від Rubert
      WorldVPS Solutions небольшой проект который предоставляет хостинг с бесплатным администрированием более 10-ти лет, у нас огромный опыт в подборе оборудования в лучших центрах обработки данных в мире с идеальным соотношением цена/качество.
       
      Мы предоставляем хостинг в таких странах как Нидерланды, Германия, США, Франция и Люксембург.
       
       
      VPS (Нидерланды, Германия, США и Франция):
       
      Virtualization KVM
      CPU Intel Xeon E5 1x2.6 GHz
      RAM 1 GB DDR4
      Disk 20 GB SSD RAID10
      Traffic unlimited
      Port 1000 Mbit
      IP 1 IPv4 + IPv6 on request
      From $13.00/mo
       
       
      VPS с большим дисков (США и Франция):
       
      2 vCores
      RAM 4 GB
      200 GB HDD or 100 GB SSD
      Port 100 Mbit/s
      1 IPv4 (up to 4 IP)
      From $19.00/mo
       
       
      Выделенный сервер в Нидерландах:
       
      Intel Core i3 2100 2 x 3.10 GHz
      4GB DDR3 RAM (up to 32 GB)
      1 TB or 120 GB (up to 16 TB)
      max 4 drives
      link 100 Mbit/s (up to 1 Gbit/s)
      50TB traffic per month
      1 IP (up to 4 IP)
      10Gbit/s protection DDoS Shield (FREE!)
      From $48.00/mo
       
      Выделенный сервер в Франции:
       
      AMD Opteron 3280, 8x 2.4 GHz Turbo
      16GB DDR3 RAM (up to 32 GB)
      2x2 TB HDD (up to SSD)
      max 2 drives
      link 100 Mbit/s
      1 IP (up to 4 IP)
      From $58.00/mo
       
      ---
       
      На сайте вы можете ознакомится со всеми возможными конфигурациями серверов.
       
      worldvps.ru
       
      *А так же для первых 10-ти заказов из форума local.com.ua мы предоставим бесплатно лицензию управления ISPmanager 6 Lite (кроме VPS с большим диском).
    • Від freedomwarrior
      Всем привет.
      Предоставляю услуги сетевика/админа.
      Что то починить, настроить bgp/ospf и т.д
      Если рухтеры то только Juniper.
      Серверное администрировани Linux/Unix, поднять веб сервер, починить и т.д.
      Настройка мониторинга с Grafana/Prometheus/Alertmanager и разного рода экспортеры.
      Кому интересно - пишите в личку.
      Только удаленка.
      Всем добра!

×
×
  • Створити нове...