Jump to content
Local
zulu_Radist

как бороться с ddos?

Recommended Posts

 

 

а чтобы завалить провайдера заказывают ддос у людей с погонами.

А ну поподробней?

 

Мсье россиянин)

 

Зомбанутый?

http://local.com.ua/forum/topic/63575-%D0%BE%D0%B1%D1%8B%D1%81%D0%BA-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0-%D0%BF%D1%80%D1%8F%D0%BC%D0%BE-%D1%81%D0%B5%D0%B9%D1%87%D0%B0%D1%81-%D0%BA%D0%B0%D0%BC%D0%B5%D0%BD%D0%B5%D1%86-%D0%BF%D0%BE%D0%B4%D0%BE%D0%BB%D1%8C%D1%81%D0%BA/

у этого мсье спросите, может он тоже россиянин?

Share this post


Link to post
Share on other sites

 

 

Может причина в том, что Вы хостер? Кому надо ддосить 30-ю Г адреса домоюзеров? - разве что в виде отладки бот-нета или просто поприкалываться. В этой стране чтобы завалить хостинг заказывают ддос у хакеров, а чтобы завалить провайдера заказывают ддос у людей с погонами.
 

 

Ну на счет хостера вы частично угадали... :-) Было дело, что на меня лилось гиг 50 наверное... Лилось так, что и провайдеру чуть не поплохело. Слава богу провайдер (европейский кстати) оказался адекватным и мы общими усилиями победили ту ситуацию. Просто из общения с тем провайдером, он говорил, что подобные ддосы ОЧЕНЬ дорого стоят, поэтому поливать таким ддосом могут только те, у кого денег куры не клюют... Я честно говоря, даже не знаю чем я так кому-то насолил. Вроде все тихо и мирно было. Давно это было правда, но в памяти у меня этот ддос отложился надолго.

Share this post


Link to post
Share on other sites

 

 

а чтобы завалить провайдера заказывают ддос у людей с погонами.

А ну поподробней?

 

Мсье россиянин)

 

 

 

Да нуна ). Дело в том, что у нас в Украине, у магистралов и на точках обмена не фильтруются досы, ибо дорогие железки нужны. И так сложилось, что провайдер с каналом больше 1Гбита, может "положить" флудом того, у кого до 1Гбита. Это реальность.

 

А вот про ментов и ддос, это конечно оч интересно. 

Share this post


Link to post
Share on other sites

А вот про ментов и ддос, это конечно оч интересно. 

 

Во-первых, с погонами бывают далеко не только менты. Во-вторых, в этой фразе "ддос" - в переносном смысле конечно же. Там ключевая фраза "завалить провайдера".

Edited by alex_o

Share this post


Link to post
Share on other sites

Просто из общения с тем провайдером, он говорил, что подобные ддосы ОЧЕНЬ дорого стоят, поэтому поливать таким ддосом могут только те, у кого денег куры не клюют...

А с чего вы взяли, что провайдеру известно по чем ддосы? Провайдеры обычно ддосами не торгуют.

Дешево сейчас ддосы, очень дешево и именно эта дешевизна и есть проблемой ддосов последних лет.

Share this post


Link to post
Share on other sites

оба аплинкера отказались помочь, сказали к вам льется трафик ипитесь с ним как хотите:)

Share this post


Link to post
Share on other sites

Дело в том, что у нас в Украине, у магистралов и на точках обмена не фильтруются досы, ибо дорогие железки нужны.

Это общемировая практика. Ближайший магистрал, который фильтрует ддосы - в Румынии.

Share this post


Link to post
Share on other sites

 

Дело в том, что у нас в Украине, у магистралов и на точках обмена не фильтруются досы, ибо дорогие железки нужны.

Это общемировая практика. Ближайший магистрал, который фильтрует ддосы - в Румынии.

 

Печаль. Знаю есть пару сервисов на Парковом, которые предоставляют сервис по фильтрации ддосов

Edited by loki

Share this post


Link to post
Share on other sites

оба аплинкера отказались помочь, сказали к вам льется трафик ипитесь с ним как хотите :)

Можно еще попытаться попросить у аплинкеров QoS. Пусть поставят наихудший приоритет в аплоаде на Вас трафику UDP за исключением DNS. Тогда во время ддоса у Вас пакет-лос будет на трафике торрентов и ддоса.

Share this post


Link to post
Share on other sites

оба аплинкера отказались помочь, сказали к вам льется трафик ипитесь с ним как хотите:)

Ну тогда остается только один вариант: туннель с кем-то, кто фильтрует и роутить адрес через них при атаке. Может к румынам напрямую и обратитесь.

Share this post


Link to post
Share on other sites

оба аплинкера отказались помочь, сказали к вам льется трафик ипитесь с ним как хотите :)

Вы для начала со своей маршрутизацией разберитесь, ибо вполне возможен вариант "клиент с торрентом отключился, а на его IP еще полчаса с кучи адресов по UPD торренты долетают". А у вас трафик флапает ибо блекхола на неиспользуемые адреса нет.

Если тут все в порядке - садите админа искать источники трафика(дампом как вы и смотрели) и резать их блекхолом на аплинках. Нужно по№$%ся, но это единственный рабочий вариант.

Share this post


Link to post
Share on other sites

Никакой админ не поможет, удп атака это жопа ) Кстати - что за аплинки такие что отказались помочь ?? Анука в студию названия, страна должна знать своих героев !!!

Дропанье этой атаки на насе или бордере ничем не поможет. Есть пару хитрых вариантов, завтра позвоню и проконсультирую.. Но опять же все очень индивидуально.

Основной метод - блекхол на аплинках и дедуктивный метод )), все остальное до лампочки

Share this post


Link to post
Share on other sites

to martin

 

А ну кэп, проконсультируйте и нас, что за метод дедукции у вас там ? :)

 

Никакой админ не поможет, удп атака это жопа

 

 

UDP флуд это самое, что не на есть примитивное :).

 

 

 Анука в студию названия, страна должна знать своих героев !!!

 

bgp.he.net говорит, что это :

 

AS35320  - Евротранстелеком

AS62028 - микс Telenet-а и Евротрансетекома  :blink:

 

 

Основной метод - блекхол на аплинках 

 

Так ааа...

Edited by loki

Share this post


Link to post
Share on other sites

Та блин. раздули фиг знает что.. голова и руки спасет

Share this post


Link to post
Share on other sites


net.inet.tcp.delayed_ack=0
kern.ipc.nmbclusters=400000
kern.ipc.maxsockbuf=83886080
net.inet.icmp.icmplim=100
kern.maxfiles=60000
net.inet.ip.fastforwarding=0
net.inet.ip.intr_queue_maxlen=5000
#kern.ipc.nmbclusters=400000
kern.ipc.maxsockbuf=8388608
net.inet.tcp.sendspace=3217968
net.inet.tcp.recvspace=3217968
net.inet.tcp.rfc1323=1
net.inet.tcp.blackhole=1
net.inet.udp.blackhole=1
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=1500
dev.igb.0.rx_processing_limit=4096
dev.igb.1.rx_processing_limit=4096
dev.igb.0.enable_aim=0
dev.igb.1.enable_aim=0
net.route.netisr_maxqlen=4096
kern.ipc.nmbufs=231085
kern.ipc.somaxconn=1024
kern.ipc.maxsockbuf=83886080
kern.ipc.maxsockets=131072
net.inet.ip.intr_queue_maxlen=5000
net.inet.ip.intr_queue_drops=0
net.inet.ip.redirect=0
net.inet.ip.fw.one_pass=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.bmcastecho=1
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
#kern.ipc.nmbclusters=131072
net.link.ether.inet.log_arp_permanent_modify=0
net.link.ether.inet.log_arp_movements=0
net.link.ether.inet.log_arp_wrong_iface=0
net.link.log_link_state_change=0
dev.igb.0.rx_processing_l
imit=4096
dev.igb.1.rx_processing_limit=4096
dev.igb.2.rx_processing_limit=4096
dev.igb.3.rx_processing_limit=4096
net.inet.ip.fw.one_pass=0


 

курите дальше

Share this post


Link to post
Share on other sites

 

 

Товаришь md5 дает рекомендации по бездумному тюнингу сетевой подсистемы.Зачем ? Чтоб "ддоса больше влазило"  ))

Share this post


Link to post
Share on other sites

Та не обижайся. Это ж в прикол все :)

Share this post


Link to post
Share on other sites

Резюме для закрепления в шапке темы - UDP DDOS без поддержки аплинка не задушить (blackhole community это именно поддержка аплинка, причем самая оперативная). Остальные рассуждения от лукавого.

Share this post


Link to post
Share on other sites

Л3 коммутатор опускает процедуру блехола на аппаратный уровень, имхо лучшее решение выставлять комьнити апстримам

Edited by Ajar

Share this post


Link to post
Share on other sites

 

 

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Посмотри сколько времени прошло с освобождения адреса.

 

адрес был выдан сегодня трем разным пользователям

 

дата             время     время_аренды   передано получено

2015-01-18 17:45:12 00:07:17 2.32 Kb 6.28 Kb
2015-01-18 17:04:12 00:03:34 543.66 Kb 370.21 Kb
2015-01-18 08:31:59 07:05:13 206.03 MB 11.30 GB

 

Понаблюдай,

после освобождения ип, трафик может литься еще час, в основном по UDP.

Размер трафика не существенный, но он есть.

 

Клиенты жалуются, что скорость падает, потому как у них в основном стоят бюджетные роутеры,

и данный трафик может ложить нат у клиента.

При чем, это наблюдается даже когда клиент перегружает роутер, но получает старый адрес.

 

На аппаратных серваках, нагрузка на проц поднимается до 10 и более АВ, роутер не подвижный.

Спасает ситуация правило которое я дал, после этого все отпускает.

Сама атака может быть 5-10 минут, но может лупить и час или два.

 

Посмотри trafshow, реальную нагрузку на конкретный IP,

может там вопрос выеденного яйца не стоит.

Share this post


Link to post
Share on other sites

Таки понимаю что дос просто детский...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By pavlabor
      В 2019 году продолжаются DDoS-атаки с использованием протокола LDAP: в этот раз на сайт Qiwi
      В четверг, 24 января, мы наблюдали атаку 212,5 Gbps (гигабит в секунду) / ~10 Mpps (миллионов пакетов в секунду) в пике, комбинировавшую векторы старого доброго SYN-флуда и достаточно редкой LDAP-амплификации с фрагментами.

    • By vit75
      Есть сервак под Linux, который отключать не желательно, разве что на минуту, чтобы подключить второй хард. Как на работающем Линуксе, из под него, сделать его же копию на второй хард?
    • By antiddos
      Уважаемые господа!
       
       
       
      Предлагаем Вашему вниманию сервис по защите от DDoS атак для ваших сайтов, серверов, сетей.
       
      Наша компания на рынке более 10 лет. 
      Мы представляем собой распределенную CDN с центрами фильтрации в Украине, Польше и Нидерландах.
      Наши решения построено на оборудовании Radware, Brocade, Juniper и позволяют фильтровать большие обьемы трафика. Мы работаем с любыми атаками включая L2-L7.
       
      Приглашаем к участию в партнерскую программу интеграторов и администраторов сетей, в которой вы будете получать гарантированное вознаграждение за привличенных клиентов. (условия вас приятно удивят!)
       
      Для всех желающих можем предоставить тестовую защиту на сутки. 
       
      Кроме того, для всех наших клиентов мы предоставляем услугу High Load consulting абсолютно бесплатно, как и администрирование выделенного сервера.
       
      Стоимость услуг для украинских пользователей:
      - Удаленная защита сайта без переноса контента на нашу площадку от 1000грн
      - Хостинг с защитой от DDoS от 1350грн
      - Виртуальный выделенный сервер с защитой от DDoS от 3000грн
      - Выделенный сервер с защитой от DDoS от 4000грн.
       
      Будем рады видеть Вас в числе наших клиентов. 
       
      Контакты:
      www.hi-load.biz (на сайте есть online chat)
      +48 518 759 968 (Telegram, Viber)
      +380 68 420 0111
      +380 95 420 0111
       
       
       
       

    • By СИОН
      Доброго времени суток коллеги.
      Такая проблема случилось...
      Взломали сеть - положили биллинг и микротик основной. 
      Также сдохло железо (программно) все что касается оборудования микротик и юбикюти. 
      Восстанавливаем уже третьи сутки.
       
      Вопрос:
      Как дальше обезопасить сеть? Какое железо и ПО преобрести чтобы упредить данные неприятные инсинуации.
      Офтоп... просьба не поддергивать и не писать нелепые сообщения, попросту помочь советом.
      Заранее спасибо.
    • By MazaXaka
      Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.
       
      Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.
      Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow
      наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.
       
      Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?
×