a_n_h Опубликовано: 24 березня, 2017 Опубликовано: 24 березня, 2017 NAS FreeBSD. Очередная атака..... сервер полностью "умирает" ни на что не реагирует пока не отключишь аплинк. Кто реально может помочь с защитой от напасти?
supportod Опубліковано: 24 березня, 2017 Опубліковано: 24 березня, 2017 А точно внешний ДДоС ? Графики нагрузки с внешнего интерфейса - толщина канала и pps покажите.
a_n_h Опубліковано: 24 березня, 2017 Автор Опубліковано: 24 березня, 2017 А точно внешний ДДоС ? очень похоже Графики нагрузки с внешнего интерфейса - толщина канала и pps покажите. во время атаки ничего увидеть не могу, в нормальном состоянии все в норме, в данный момент уже все успокоилось.....
supportod Опубліковано: 24 березня, 2017 Опубліковано: 24 березня, 2017 Ставьте fastnetmon на соседнюю машину, коммутатором зеркалируйте внешний траф на нее. Потом настраивайте триггеры на сработку, банить через BGP black hole, если есть BGP или через firewall на сервере. Но, ДДоСы обычно больше 1Гб и могут сразу идти на всю сеть /24.
a_n_h Опубліковано: 24 березня, 2017 Автор Опубліковано: 24 березня, 2017 Атака уже прекратилась, "когда-то где-то слышал", что можно написать какой-то скрипт, какой будет мониторить входящий трафик и если будет с какого-то айпи идти подозрительное, то сразу банить. Кто-то может помочь, конечно не бесплатно.
zulu_Radist Опубліковано: 24 березня, 2017 Опубліковано: 24 березня, 2017 у вас внешний канал один? физика десятка? толку от бана, если досить будут удп, завалят вам внешку к епукам. проходил такое и не один раз. спасет только блэкхол и широкий внешний канал.
Prihod Опубліковано: 24 березня, 2017 Опубліковано: 24 березня, 2017 у вас внешний канал один? физика десятка? толку от бана, если досить будут удп, завалят вам внешку к епукам. проходил такое и не один раз. спасет только блэкхол и широкий внешний канал. А если у аплинка нет блэкхола чего делать?
artyom_bv Опубліковано: 24 березня, 2017 Опубліковано: 24 березня, 2017 менять аплинка... либо - не расстраиваться...
BARVIT Опубліковано: 24 березня, 2017 Опубліковано: 24 березня, 2017 (відредаговано) Поэтому лучше открыть ларек пивной Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим... Відредаговано 24 березня, 2017 BARVIT
a_n_h Опубліковано: 24 березня, 2017 Автор Опубліковано: 24 березня, 2017 толку от бана, если досить будут удп, завалят вам внешку к епукам. хоть не большой толк - доступность сервера для анализа во время атаки.
zulu_Radist Опубліковано: 24 березня, 2017 Опубліковано: 24 березня, 2017 толку от бана, если досить будут удп, завалят вам внешку к епукам. хоть не большой толк - доступность сервера для анализа во время атаки. Ха! это счастье если вы находитесь как говориться в локальной сети с бордером и не дай бог вам такое гавно выхватить когда вы за границей и вас долбят диким досом, физика в полке, потери 99% и доступа на железо НОЛЬ это... это БОЛЬ проходили, знаем
LV10 Опубліковано: 24 березня, 2017 Опубліковано: 24 березня, 2017 толку от бана, если досить будут удп, завалят вам внешку к епукам. хоть не большой толк - доступность сервера для анализа во время атаки. Ха! это счастье если вы находитесь как говориться в локальной сети с бордером и не дай бог вам такое гавно выхватить когда вы за границей и вас долбят диким досом, физика в полке, потери 99% и доступа на железо НОЛЬ это... это БОЛЬ проходили, знаем свисток с dyndns + консольный шнурок и никакой боли для особых эникейщиков - добавить микротик по вкусу
wantmore Опубліковано: 24 березня, 2017 Опубліковано: 24 березня, 2017 (відредаговано) Покажите вывод "ipfw nat show config". Відредаговано 24 березня, 2017 wantmore
a_n_h Опубліковано: 25 березня, 2017 Автор Опубліковано: 25 березня, 2017 Покажите вывод "ipfw nat show config". ipfw nat show config ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in same_ports unreg_only reset ipfw nat 2 config ip XXX.XXX.XXX.19 log same_ports reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY ipfw nat 1 config ip XXX.XXX.XXX.18 log same_ports reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY
LENS Опубліковано: 25 березня, 2017 Опубліковано: 25 березня, 2017 Поэтому лучше открыть ларек пивной Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим... Начинать со 100 мегабит - это роскошно) видимо недавно начинали. Мы начинали со Скайстар входа и диалап исхода начинали. Это было почти 20 лет назад. Но то такое...Насчёт ддос - нужно к нему готовится. Должен быть удобный и понятный для вас алгоритм мониторинга. Нашли кто и откуда, и добавляете этот адрес в блекхоул. Если у вашего апстрима нет блекхоул, то пусть эти коммунити транслирует выше (выше должны быть). Если не может и транслировать - то мозги ему парьте чтоб сделал. Защита от ддос при помощи портов 10г тоже несколько поможет, но цена и гарантии защиты нет. Ддос атака из точек обмена может легко прийти over 10g. P.S. Бизнес небольшого интернет провайдинга (до 2000 клиентов) после повышения курса и цен в целом стал нервным хобби, чем заработком. Чтобы заработать 30к грн чистыми себе в карман, нужно бороться с кражами и вандализмом, платить налоги и поднимать зп, покупать инет и Оборудование, делать развитие и ещё бороться с ддос и этим идти в ногу со временем. Если у вас действительно руки откуда надо - найдите работу в крупных компаниях, если будут знания английского - вообще хорошо. Или ждать пока остальные мелкие провайдеры передохнут, а крупные начнут приводить цены к уровню 10 евро в месяц.
ua.feldsher Опубліковано: 25 березня, 2017 Опубліковано: 25 березня, 2017 Поэтому лучше открыть ларек пивной Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим... Наче думки прочитали. Жизнєно.
sanyadnepr Опубліковано: 25 березня, 2017 Опубліковано: 25 березня, 2017 NAS FreeBSD. Очередная атака..... сервер полностью "умирает" ни на что не реагирует пока не отключишь аплинк. Кто реально может помочь с защитой от напасти? Пишите в ЛС.
sanyadnepr Опубліковано: 25 березня, 2017 Опубліковано: 25 березня, 2017 Поэтому лучше открыть ларек пивной ... Вообщем лучше заниматься чем-то другим... Сколько у вас пивных ларьков ?
BARVIT Опубліковано: 25 березня, 2017 Опубліковано: 25 березня, 2017 Поэтому лучше открыть ларек пивной ... Вообщем лучше заниматься чем-то другим... Сколько у вас пивных ларьков ? Пока нет Но мысли о них спать не дают
sanyadnepr Опубліковано: 25 березня, 2017 Опубліковано: 25 березня, 2017 (відредаговано) Поэтому лучше открыть ларек пивной ... Вообщем лучше заниматься чем-то другим... Сколько у вас пивных ларьков ? Пока нет Но мысли о них спать не дают Что мешает взять в аренду или купить ларек и организовать торговлю пивом ? Чтоб потом написать тот же текст, написанный выше ?! Жалуясь, пивом торгуют все кому не лень. Вспоминая попутно тяготы "торгашной" жизни. Відредаговано 25 березня, 2017 sanyadnepr
karyon Опубліковано: 25 березня, 2017 Опубліковано: 25 березня, 2017 Ставьте fastnetmon на соседнюю машину, коммутатором зеркалируйте внешний траф на нее. Потом настраивайте триггеры на сработку, банить через BGP black hole, если есть BGP или через firewall на сервере. Но, ДДоСы обычно больше 1Гб и могут сразу идти на всю сеть /24. BGP black hole, это только если на 1 адрес ддосят, да и то если ддосят на нат адрес - не сильно весело его выключать
bit Опубліковано: 25 березня, 2017 Опубліковано: 25 березня, 2017 Интересуюсь тоже подобной темой. Нужен специалист, который сможет сделать автоматический анализ потоков. Скорее всего, это должен быть разбор какого-то х.flow и запуск определенных скриптов. Потоки нужно разбирать с 4х Джунов. БГП сессий до 10тка. Если есть желающие, прошу писать в личку. В идеале, конечно, чтобы еще и графики всякие рисовались.
hailnora Опубліковано: 25 березня, 2017 Опубліковано: 25 березня, 2017 (відредаговано) / Відредаговано 25 березня, 2017 hailnora
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас