Jump to content
Local
a_n_h

Защита DDOS

Recommended Posts

NAS FreeBSD.

Очередная атака..... сервер полностью "умирает" ни на что не реагирует пока не отключишь аплинк. Кто реально может помочь с защитой от напасти?

Share this post


Link to post
Share on other sites

А точно внешний ДДоС ? Графики нагрузки с внешнего интерфейса - толщина канала и pps покажите.

Share this post


Link to post
Share on other sites

 

 

А точно внешний ДДоС ?

очень похоже

 

 

Графики нагрузки с внешнего интерфейса - толщина канала и pps покажите.

во время атаки ничего увидеть не могу, в нормальном состоянии все в норме, в данный момент уже все успокоилось.....

Share this post


Link to post
Share on other sites

Ставьте fastnetmon на соседнюю машину, коммутатором зеркалируйте внешний траф на нее.

Потом настраивайте триггеры на сработку, банить через BGP black hole, если есть BGP или через firewall на сервере.

Но, ДДоСы обычно больше 1Гб и могут сразу идти на всю сеть /24.

Share this post


Link to post
Share on other sites

Атака уже прекратилась, "когда-то где-то слышал", что можно написать какой-то скрипт, какой будет мониторить входящий трафик и если будет с какого-то айпи идти подозрительное, то сразу банить. Кто-то может помочь, конечно не бесплатно.

Share this post


Link to post
Share on other sites

у вас внешний канал один?

физика десятка?

толку от бана, если досить будут удп, завалят вам внешку к епукам.

проходил такое и не один раз.

спасет только блэкхол и широкий внешний канал.

Share this post


Link to post
Share on other sites

у вас внешний канал один?

физика десятка?

толку от бана, если досить будут удп, завалят вам внешку к епукам.

проходил такое и не один раз.

спасет только блэкхол и широкий внешний канал.

А если у аплинка нет блэкхола чего делать?

Share this post


Link to post
Share on other sites

Поэтому лучше открыть ларек пивной :( Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так :) кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... 

Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим...

Edited by BARVIT

Share this post


Link to post
Share on other sites

 

 

толку от бана, если досить будут удп, завалят вам внешку к епукам.

хоть не большой толк - доступность сервера для анализа во время атаки. 

Share this post


Link to post
Share on other sites

 

толку от бана, если досить будут удп, завалят вам внешку к епукам.

хоть не большой толк - доступность сервера для анализа во время атаки. 

 

Ха! это счастье если вы находитесь как говориться в локальной сети с бордером

и не дай бог вам такое гавно выхватить когда вы за границей и вас долбят диким досом, физика в полке, потери 99% и доступа на железо НОЛЬ :) это... это БОЛЬ :)

проходили, знаем 

Share this post


Link to post
Share on other sites

 

 

толку от бана, если досить будут удп, завалят вам внешку к епукам.

хоть не большой толк - доступность сервера для анализа во время атаки. 

 

Ха! это счастье если вы находитесь как говориться в локальной сети с бордером

и не дай бог вам такое гавно выхватить когда вы за границей и вас долбят диким досом, физика в полке, потери 99% и доступа на железо НОЛЬ :) это... это БОЛЬ :)

проходили, знаем 

 

 

 свисток с dyndns + консольный шнурок и никакой боли

для особых эникейщиков - добавить микротик по вкусу

Share this post


Link to post
Share on other sites

Покажите вывод "ipfw nat show config".

Edited by wantmore

Share this post


Link to post
Share on other sites

Покажите вывод "ipfw nat show config".

 ipfw nat show config
ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in same_ports unreg_only reset
ipfw nat 2 config ip XXX.XXX.XXX.19 log same_ports reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY
ipfw nat 1 config ip XXX.XXX.XXX.18 log same_ports reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY

Share this post


Link to post
Share on other sites

Поэтому лучше открыть ларек пивной :( Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так :) кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком...

Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим...

Начинать со 100 мегабит - это роскошно) видимо недавно начинали. Мы начинали со Скайстар входа и диалап исхода начинали. Это было почти 20 лет назад. Но то такое...

Насчёт ддос - нужно к нему готовится. Должен быть удобный и понятный для вас алгоритм мониторинга. Нашли кто и откуда, и добавляете этот адрес в блекхоул. Если у вашего апстрима нет блекхоул, то пусть эти коммунити транслирует выше (выше должны быть). Если не может и транслировать - то мозги ему парьте чтоб сделал. Защита от ддос при помощи портов 10г тоже несколько поможет, но цена и гарантии защиты нет. Ддос атака из точек обмена может легко прийти over 10g.

 

P.S. Бизнес небольшого интернет провайдинга (до 2000 клиентов) после повышения курса и цен в целом стал нервным хобби, чем заработком. Чтобы заработать 30к грн чистыми себе в карман, нужно бороться с кражами и вандализмом, платить налоги и поднимать зп, покупать инет и Оборудование, делать развитие и ещё бороться с ддос и этим идти в ногу со временем. Если у вас действительно руки откуда надо - найдите работу в крупных компаниях, если будут знания английского - вообще хорошо. Или ждать пока остальные мелкие провайдеры передохнут, а крупные начнут приводить цены к уровню 10 евро в месяц.

Share this post


Link to post
Share on other sites

Поэтому лучше открыть ларек пивной :( Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так :) кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... 

Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим...

Наче думки прочитали. Жизнєно.

Share this post


Link to post
Share on other sites

NAS FreeBSD.

Очередная атака..... сервер полностью "умирает" ни на что не реагирует пока не отключишь аплинк. Кто реально может помочь с защитой от напасти?

Пишите в ЛС.

Share this post


Link to post
Share on other sites

Поэтому лучше открыть ларек пивной :(

... Вообщем лучше заниматься чем-то другим...

Сколько у вас пивных ларьков ? :)

Share this post


Link to post
Share on other sites

 

Поэтому лучше открыть ларек пивной :(

... Вообщем лучше заниматься чем-то другим...

Сколько у вас пивных ларьков ? :)

 

Пока нет :) Но мысли о них спать не дают :)

Share this post


Link to post
Share on other sites

 

 

Поэтому лучше открыть ларек пивной :(

... Вообщем лучше заниматься чем-то другим...

Сколько у вас пивных ларьков ? :)

 

Пока нет :) Но мысли о них спать не дают :)

 

Что мешает взять в аренду или купить ларек и организовать торговлю пивом ? :)

Чтоб потом написать тот же текст, написанный выше ?! :)

Жалуясь, пивом торгуют все кому не лень. Вспоминая попутно тяготы "торгашной" жизни. :)

Edited by sanyadnepr

Share this post


Link to post
Share on other sites

Ставьте fastnetmon на соседнюю машину, коммутатором зеркалируйте внешний траф на нее.

Потом настраивайте триггеры на сработку, банить через BGP black hole, если есть BGP или через firewall на сервере.

Но, ДДоСы обычно больше 1Гб и могут сразу идти на всю сеть /24.

BGP black hole, это только если на 1 адрес ддосят, да и то если ддосят на  нат адрес - не сильно весело его выключать

Share this post


Link to post
Share on other sites

Интересуюсь тоже подобной темой.

Нужен специалист, который сможет сделать автоматический анализ потоков.

Скорее всего, это должен быть разбор какого-то х.flow  и запуск определенных скриптов.

Потоки нужно разбирать с 4х Джунов.  БГП сессий до 10тка.

Если есть желающие, прошу писать в личку.

В идеале, конечно, чтобы еще и графики всякие рисовались.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×