Перейти до

как бороться с ddos?


Рекомендованные сообщения

 

 

а чтобы завалить провайдера заказывают ддос у людей с погонами.

А ну поподробней?

 

Мсье россиянин)

 

Зомбанутый?

http://local.com.ua/forum/topic/63575-%D0%BE%D0%B1%D1%8B%D1%81%D0%BA-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0-%D0%BF%D1%80%D1%8F%D0%BC%D0%BE-%D1%81%D0%B5%D0%B9%D1%87%D0%B0%D1%81-%D0%BA%D0%B0%D0%BC%D0%B5%D0%BD%D0%B5%D1%86-%D0%BF%D0%BE%D0%B4%D0%BE%D0%BB%D1%8C%D1%81%D0%BA/

у этого мсье спросите, может он тоже россиянин?

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 123
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

детский ддос - это если у тебя канал 10Г а входящий ддос 1-2-5 гиг, тогда все ок. но если трафик ддоса занимает всю полосу которую выделил тебе аплинк - никакие крутилки сисцтл и фаерволы ничему не по

Бороться с таким только блэкхолом адреса, свяжитесь с аплинками.

Тут важно еще не делать это ручками, а автоматизировать процесс детекции и блэкхола.

 

 

Может причина в том, что Вы хостер? Кому надо ддосить 30-ю Г адреса домоюзеров? - разве что в виде отладки бот-нета или просто поприкалываться. В этой стране чтобы завалить хостинг заказывают ддос у хакеров, а чтобы завалить провайдера заказывают ддос у людей с погонами.
 

 

Ну на счет хостера вы частично угадали... :-) Было дело, что на меня лилось гиг 50 наверное... Лилось так, что и провайдеру чуть не поплохело. Слава богу провайдер (европейский кстати) оказался адекватным и мы общими усилиями победили ту ситуацию. Просто из общения с тем провайдером, он говорил, что подобные ддосы ОЧЕНЬ дорого стоят, поэтому поливать таким ддосом могут только те, у кого денег куры не клюют... Я честно говоря, даже не знаю чем я так кому-то насолил. Вроде все тихо и мирно было. Давно это было правда, но в памяти у меня этот ддос отложился надолго.

Ссылка на сообщение
Поделиться на других сайтах

 

 

а чтобы завалить провайдера заказывают ддос у людей с погонами.

А ну поподробней?

 

Мсье россиянин)

 

 

 

Да нуна ). Дело в том, что у нас в Украине, у магистралов и на точках обмена не фильтруются досы, ибо дорогие железки нужны. И так сложилось, что провайдер с каналом больше 1Гбита, может "положить" флудом того, у кого до 1Гбита. Это реальность.

 

А вот про ментов и ддос, это конечно оч интересно. 

Ссылка на сообщение
Поделиться на других сайтах

А вот про ментов и ддос, это конечно оч интересно. 

 

Во-первых, с погонами бывают далеко не только менты. Во-вторых, в этой фразе "ддос" - в переносном смысле конечно же. Там ключевая фраза "завалить провайдера".

Відредаговано alex_o
Ссылка на сообщение
Поделиться на других сайтах

Просто из общения с тем провайдером, он говорил, что подобные ддосы ОЧЕНЬ дорого стоят, поэтому поливать таким ддосом могут только те, у кого денег куры не клюют...

А с чего вы взяли, что провайдеру известно по чем ддосы? Провайдеры обычно ддосами не торгуют.

Дешево сейчас ддосы, очень дешево и именно эта дешевизна и есть проблемой ддосов последних лет.

Ссылка на сообщение
Поделиться на других сайтах

Дело в том, что у нас в Украине, у магистралов и на точках обмена не фильтруются досы, ибо дорогие железки нужны.

Это общемировая практика. Ближайший магистрал, который фильтрует ддосы - в Румынии.
Ссылка на сообщение
Поделиться на других сайтах

 

Дело в том, что у нас в Украине, у магистралов и на точках обмена не фильтруются досы, ибо дорогие железки нужны.

Это общемировая практика. Ближайший магистрал, который фильтрует ддосы - в Румынии.

 

Печаль. Знаю есть пару сервисов на Парковом, которые предоставляют сервис по фильтрации ддосов

Відредаговано loki
Ссылка на сообщение
Поделиться на других сайтах

оба аплинкера отказались помочь, сказали к вам льется трафик ипитесь с ним как хотите :)

Можно еще попытаться попросить у аплинкеров QoS. Пусть поставят наихудший приоритет в аплоаде на Вас трафику UDP за исключением DNS. Тогда во время ддоса у Вас пакет-лос будет на трафике торрентов и ддоса.

Ссылка на сообщение
Поделиться на других сайтах

оба аплинкера отказались помочь, сказали к вам льется трафик ипитесь с ним как хотите:)

Ну тогда остается только один вариант: туннель с кем-то, кто фильтрует и роутить адрес через них при атаке. Может к румынам напрямую и обратитесь.
Ссылка на сообщение
Поделиться на других сайтах

оба аплинкера отказались помочь, сказали к вам льется трафик ипитесь с ним как хотите :)

Вы для начала со своей маршрутизацией разберитесь, ибо вполне возможен вариант "клиент с торрентом отключился, а на его IP еще полчаса с кучи адресов по UPD торренты долетают". А у вас трафик флапает ибо блекхола на неиспользуемые адреса нет.

Если тут все в порядке - садите админа искать источники трафика(дампом как вы и смотрели) и резать их блекхолом на аплинках. Нужно по№$%ся, но это единственный рабочий вариант.

Ссылка на сообщение
Поделиться на других сайтах

Никакой админ не поможет, удп атака это жопа ) Кстати - что за аплинки такие что отказались помочь ?? Анука в студию названия, страна должна знать своих героев !!!

Дропанье этой атаки на насе или бордере ничем не поможет. Есть пару хитрых вариантов, завтра позвоню и проконсультирую.. Но опять же все очень индивидуально.

Основной метод - блекхол на аплинках и дедуктивный метод )), все остальное до лампочки

Ссылка на сообщение
Поделиться на других сайтах

to martin

 

А ну кэп, проконсультируйте и нас, что за метод дедукции у вас там ? :)

 

Никакой админ не поможет, удп атака это жопа

 

 

UDP флуд это самое, что не на есть примитивное :).

 

 

 Анука в студию названия, страна должна знать своих героев !!!

 

bgp.he.net говорит, что это :

 

AS35320  - Евротранстелеком

AS62028 - микс Telenet-а и Евротрансетекома  :blink:

 

 

Основной метод - блекхол на аплинках 

 

Так ааа...

Відредаговано loki
Ссылка на сообщение
Поделиться на других сайтах


net.inet.tcp.delayed_ack=0
kern.ipc.nmbclusters=400000
kern.ipc.maxsockbuf=83886080
net.inet.icmp.icmplim=100
kern.maxfiles=60000
net.inet.ip.fastforwarding=0
net.inet.ip.intr_queue_maxlen=5000
#kern.ipc.nmbclusters=400000
kern.ipc.maxsockbuf=8388608
net.inet.tcp.sendspace=3217968
net.inet.tcp.recvspace=3217968
net.inet.tcp.rfc1323=1
net.inet.tcp.blackhole=1
net.inet.udp.blackhole=1
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=1500
dev.igb.0.rx_processing_limit=4096
dev.igb.1.rx_processing_limit=4096
dev.igb.0.enable_aim=0
dev.igb.1.enable_aim=0
net.route.netisr_maxqlen=4096
kern.ipc.nmbufs=231085
kern.ipc.somaxconn=1024
kern.ipc.maxsockbuf=83886080
kern.ipc.maxsockets=131072
net.inet.ip.intr_queue_maxlen=5000
net.inet.ip.intr_queue_drops=0
net.inet.ip.redirect=0
net.inet.ip.fw.one_pass=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.bmcastecho=1
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
#kern.ipc.nmbclusters=131072
net.link.ether.inet.log_arp_permanent_modify=0
net.link.ether.inet.log_arp_movements=0
net.link.ether.inet.log_arp_wrong_iface=0
net.link.log_link_state_change=0
dev.igb.0.rx_processing_l
imit=4096
dev.igb.1.rx_processing_limit=4096
dev.igb.2.rx_processing_limit=4096
dev.igb.3.rx_processing_limit=4096
net.inet.ip.fw.one_pass=0


 

курите дальше

Ссылка на сообщение
Поделиться на других сайтах

Резюме для закрепления в шапке темы - UDP DDOS без поддержки аплинка не задушить (blackhole community это именно поддержка аплинка, причем самая оперативная). Остальные рассуждения от лукавого.

Ссылка на сообщение
Поделиться на других сайтах

Л3 коммутатор опускает процедуру блехола на аппаратный уровень, имхо лучшее решение выставлять комьнити апстримам

Відредаговано Ajar
Ссылка на сообщение
Поделиться на других сайтах

 

 

друзья, все очень круто, спасибо :)

но я думаю надо копать в другую сторону

никто не обратил внимание на одну важную вещь

 

адрес на который прет трафик по сути не доступен

и надо я так понял дать отлуп что хоста нет, трафик иди нах)

 

бордер у него статик роут что такой то пул адресов за этим насом

в момент атаки адрес который подвергается атаке не выдан никакому клиенту, тоннель не поднят с таким внешним адресом, хоста нет!

может на НАСе надо ковырнуть или файрвол или sysctl чтобы он говорил епона мать destination host unreachable отвали нафик :)

Посмотри сколько времени прошло с освобождения адреса.

 

адрес был выдан сегодня трем разным пользователям

 

дата             время     время_аренды   передано получено

2015-01-18 17:45:12 00:07:17 2.32 Kb 6.28 Kb
2015-01-18 17:04:12 00:03:34 543.66 Kb 370.21 Kb
2015-01-18 08:31:59 07:05:13 206.03 MB 11.30 GB

 

Понаблюдай,

после освобождения ип, трафик может литься еще час, в основном по UDP.

Размер трафика не существенный, но он есть.

 

Клиенты жалуются, что скорость падает, потому как у них в основном стоят бюджетные роутеры,

и данный трафик может ложить нат у клиента.

При чем, это наблюдается даже когда клиент перегружает роутер, но получает старый адрес.

 

На аппаратных серваках, нагрузка на проц поднимается до 10 и более АВ, роутер не подвижный.

Спасает ситуация правило которое я дал, после этого все отпускает.

Сама атака может быть 5-10 минут, но может лупить и час или два.

 

Посмотри trafshow, реальную нагрузку на конкретный IP,

может там вопрос выеденного яйца не стоит.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Melanxolik
      Как многие уже знаю, символ: "З" является запрещенным на территории нашей страны, в связи с этим, возникло много проблем, особенно в довольно популярной файловой системе, которая звучит так: Зфс, она содержит у себя утилиты названия которых начинаются также с Зпул, Зфс и т.д.
      Как у нас сейчас с этим и кто-то уже пробовал пушить разрабов по этому поводу?
       
    • Від Daniil_
      Ищу партнера, который сможет предложить ddos защиту для dns only
      трафика мало, на днс порядка 10к доменов
       
      что нужно
      - пересылать только dns пакеты (53 порт)
      - чтобы при атаке по icmp dns пакеты продолжали пересылаться
      - при флуде на dns порт фильтровать запросы
       
      пробовали работать с компаниями, которые специализируются на защите web трафика, получили много проблем с тем, что dns запросы не все отрабатывали
       
    • Від vovaputin
      Братья украинцы, не откажите в помощи, порнохаб заблочили, трафик упал, железо простаивает.
      У кого линукс попингуйте меня. Сисадмин скучает.
       
      hping3 --rand-source -i u10 -S -d 1400 kremlin.ru
       
      sberbank.ru
      ntv.ru
      lenta.ru
      roskazna.gov.ru
      vsrf.ru
      council.gov.ru
       
      все мы ждем от вас кто сколько может.
       
      ps
      -i u100 = 60 мбит
      -i u10 = 600 мбит
      -i u1 = 6 гбит
       
    • Від Rubert
      WorldVPS Solutions небольшой проект который предоставляет хостинг с бесплатным администрированием более 10-ти лет, у нас огромный опыт в подборе оборудования в лучших центрах обработки данных в мире с идеальным соотношением цена/качество.
       
      Мы предоставляем хостинг в таких странах как Нидерланды, Германия, США, Франция и Люксембург.
       
       
      VPS (Нидерланды, Германия, США и Франция):
       
      Virtualization KVM
      CPU Intel Xeon E5 1x2.6 GHz
      RAM 1 GB DDR4
      Disk 20 GB SSD RAID10
      Traffic unlimited
      Port 1000 Mbit
      IP 1 IPv4 + IPv6 on request
      From $13.00/mo
       
       
      VPS с большим дисков (США и Франция):
       
      2 vCores
      RAM 4 GB
      200 GB HDD or 100 GB SSD
      Port 100 Mbit/s
      1 IPv4 (up to 4 IP)
      From $19.00/mo
       
       
      Выделенный сервер в Нидерландах:
       
      Intel Core i3 2100 2 x 3.10 GHz
      4GB DDR3 RAM (up to 32 GB)
      1 TB or 120 GB (up to 16 TB)
      max 4 drives
      link 100 Mbit/s (up to 1 Gbit/s)
      50TB traffic per month
      1 IP (up to 4 IP)
      10Gbit/s protection DDoS Shield (FREE!)
      From $48.00/mo
       
      Выделенный сервер в Франции:
       
      AMD Opteron 3280, 8x 2.4 GHz Turbo
      16GB DDR3 RAM (up to 32 GB)
      2x2 TB HDD (up to SSD)
      max 2 drives
      link 100 Mbit/s
      1 IP (up to 4 IP)
      From $58.00/mo
       
      ---
       
      На сайте вы можете ознакомится со всеми возможными конфигурациями серверов.
       
      worldvps.ru
       
      *А так же для первых 10-ти заказов из форума local.com.ua мы предоставим бесплатно лицензию управления ISPmanager 6 Lite (кроме VPS с большим диском).
    • Від freedomwarrior
      Всем привет.
      Предоставляю услуги сетевика/админа.
      Что то починить, настроить bgp/ospf и т.д
      Если рухтеры то только Juniper.
      Серверное администрировани Linux/Unix, поднять веб сервер, починить и т.д.
      Настройка мониторинга с Grafana/Prometheus/Alertmanager и разного рода экспортеры.
      Кому интересно - пишите в личку.
      Только удаленка.
      Всем добра!

×
×
  • Створити нове...