a_n_h 589 Опубликовано: 2017-03-24 14:16:57 Share Опубликовано: 2017-03-24 14:16:57 NAS FreeBSD. Очередная атака..... сервер полностью "умирает" ни на что не реагирует пока не отключишь аплинк. Кто реально может помочь с защитой от напасти? Ссылка на сообщение Поделиться на других сайтах
supportod 1 Опубліковано: 2017-03-24 14:20:18 Share Опубліковано: 2017-03-24 14:20:18 А точно внешний ДДоС ? Графики нагрузки с внешнего интерфейса - толщина канала и pps покажите. Ссылка на сообщение Поделиться на других сайтах
a_n_h 589 Опубліковано: 2017-03-24 14:29:44 Автор Share Опубліковано: 2017-03-24 14:29:44 А точно внешний ДДоС ? очень похоже Графики нагрузки с внешнего интерфейса - толщина канала и pps покажите. во время атаки ничего увидеть не могу, в нормальном состоянии все в норме, в данный момент уже все успокоилось..... Ссылка на сообщение Поделиться на других сайтах
supportod 1 Опубліковано: 2017-03-24 14:39:44 Share Опубліковано: 2017-03-24 14:39:44 Ставьте fastnetmon на соседнюю машину, коммутатором зеркалируйте внешний траф на нее. Потом настраивайте триггеры на сработку, банить через BGP black hole, если есть BGP или через firewall на сервере. Но, ДДоСы обычно больше 1Гб и могут сразу идти на всю сеть /24. Ссылка на сообщение Поделиться на других сайтах
a_n_h 589 Опубліковано: 2017-03-24 14:45:14 Автор Share Опубліковано: 2017-03-24 14:45:14 Атака уже прекратилась, "когда-то где-то слышал", что можно написать какой-то скрипт, какой будет мониторить входящий трафик и если будет с какого-то айпи идти подозрительное, то сразу банить. Кто-то может помочь, конечно не бесплатно. Ссылка на сообщение Поделиться на других сайтах
supportod 1 Опубліковано: 2017-03-24 15:09:19 Share Опубліковано: 2017-03-24 15:09:19 Это и есть fastnetmon. Ссылка на сообщение Поделиться на других сайтах
zulu_Radist 856 Опубліковано: 2017-03-24 16:39:58 Share Опубліковано: 2017-03-24 16:39:58 у вас внешний канал один? физика десятка? толку от бана, если досить будут удп, завалят вам внешку к епукам. проходил такое и не один раз. спасет только блэкхол и широкий внешний канал. Ссылка на сообщение Поделиться на других сайтах
Prihod 21 Опубліковано: 2017-03-24 18:00:51 Share Опубліковано: 2017-03-24 18:00:51 у вас внешний канал один? физика десятка? толку от бана, если досить будут удп, завалят вам внешку к епукам. проходил такое и не один раз. спасет только блэкхол и широкий внешний канал. А если у аплинка нет блэкхола чего делать? Ссылка на сообщение Поделиться на других сайтах
BARVIT 113 Опубліковано: 2017-03-24 18:07:15 Share Опубліковано: 2017-03-24 18:07:15 Терпеть... Ссылка на сообщение Поделиться на других сайтах
artyom_bv 0 Опубліковано: 2017-03-24 18:09:53 Share Опубліковано: 2017-03-24 18:09:53 менять аплинка... либо - не расстраиваться... Ссылка на сообщение Поделиться на других сайтах
BARVIT 113 Опубліковано: 2017-03-24 18:26:24 Share Опубліковано: 2017-03-24 18:26:24 (відредаговано) Поэтому лучше открыть ларек пивной Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим... Відредаговано 2017-03-24 18:50:22 BARVIT Ссылка на сообщение Поделиться на других сайтах
a_n_h 589 Опубліковано: 2017-03-24 18:27:10 Автор Share Опубліковано: 2017-03-24 18:27:10 толку от бана, если досить будут удп, завалят вам внешку к епукам. хоть не большой толк - доступность сервера для анализа во время атаки. Ссылка на сообщение Поделиться на других сайтах
zulu_Radist 856 Опубліковано: 2017-03-24 18:42:00 Share Опубліковано: 2017-03-24 18:42:00 толку от бана, если досить будут удп, завалят вам внешку к епукам. хоть не большой толк - доступность сервера для анализа во время атаки. Ха! это счастье если вы находитесь как говориться в локальной сети с бордером и не дай бог вам такое гавно выхватить когда вы за границей и вас долбят диким досом, физика в полке, потери 99% и доступа на железо НОЛЬ это... это БОЛЬ проходили, знаем Ссылка на сообщение Поделиться на других сайтах
LV10 281 Опубліковано: 2017-03-24 22:41:20 Share Опубліковано: 2017-03-24 22:41:20 толку от бана, если досить будут удп, завалят вам внешку к епукам. хоть не большой толк - доступность сервера для анализа во время атаки. Ха! это счастье если вы находитесь как говориться в локальной сети с бордером и не дай бог вам такое гавно выхватить когда вы за границей и вас долбят диким досом, физика в полке, потери 99% и доступа на железо НОЛЬ это... это БОЛЬ проходили, знаем свисток с dyndns + консольный шнурок и никакой боли для особых эникейщиков - добавить микротик по вкусу Ссылка на сообщение Поделиться на других сайтах
wantmore 30 Опубліковано: 2017-03-24 22:53:44 Share Опубліковано: 2017-03-24 22:53:44 (відредаговано) Покажите вывод "ipfw nat show config". Відредаговано 2017-03-24 22:54:47 wantmore Ссылка на сообщение Поделиться на других сайтах
a_n_h 589 Опубліковано: 2017-03-25 00:57:38 Автор Share Опубліковано: 2017-03-25 00:57:38 Покажите вывод "ipfw nat show config". ipfw nat show config ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in same_ports unreg_only reset ipfw nat 2 config ip XXX.XXX.XXX.19 log same_ports reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY ipfw nat 1 config ip XXX.XXX.XXX.18 log same_ports reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY Ссылка на сообщение Поделиться на других сайтах
LENS 105 Опубліковано: 2017-03-25 06:39:41 Share Опубліковано: 2017-03-25 06:39:41 Поэтому лучше открыть ларек пивной Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим... Начинать со 100 мегабит - это роскошно) видимо недавно начинали. Мы начинали со Скайстар входа и диалап исхода начинали. Это было почти 20 лет назад. Но то такое...Насчёт ддос - нужно к нему готовится. Должен быть удобный и понятный для вас алгоритм мониторинга. Нашли кто и откуда, и добавляете этот адрес в блекхоул. Если у вашего апстрима нет блекхоул, то пусть эти коммунити транслирует выше (выше должны быть). Если не может и транслировать - то мозги ему парьте чтоб сделал. Защита от ддос при помощи портов 10г тоже несколько поможет, но цена и гарантии защиты нет. Ддос атака из точек обмена может легко прийти over 10g. P.S. Бизнес небольшого интернет провайдинга (до 2000 клиентов) после повышения курса и цен в целом стал нервным хобби, чем заработком. Чтобы заработать 30к грн чистыми себе в карман, нужно бороться с кражами и вандализмом, платить налоги и поднимать зп, покупать инет и Оборудование, делать развитие и ещё бороться с ддос и этим идти в ногу со временем. Если у вас действительно руки откуда надо - найдите работу в крупных компаниях, если будут знания английского - вообще хорошо. Или ждать пока остальные мелкие провайдеры передохнут, а крупные начнут приводить цены к уровню 10 евро в месяц. Ссылка на сообщение Поделиться на других сайтах
ua.feldsher 6 Опубліковано: 2017-03-25 06:44:27 Share Опубліковано: 2017-03-25 06:44:27 Поэтому лучше открыть ларек пивной Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим... Наче думки прочитали. Жизнєно. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2017-03-25 06:48:57 Share Опубліковано: 2017-03-25 06:48:57 NAS FreeBSD. Очередная атака..... сервер полностью "умирает" ни на что не реагирует пока не отключишь аплинк. Кто реально может помочь с защитой от напасти? Пишите в ЛС. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2017-03-25 06:53:24 Share Опубліковано: 2017-03-25 06:53:24 Поэтому лучше открыть ларек пивной ... Вообщем лучше заниматься чем-то другим... Сколько у вас пивных ларьков ? Ссылка на сообщение Поделиться на других сайтах
BARVIT 113 Опубліковано: 2017-03-25 08:33:59 Share Опубліковано: 2017-03-25 08:33:59 Поэтому лучше открыть ларек пивной ... Вообщем лучше заниматься чем-то другим... Сколько у вас пивных ларьков ? Пока нет Но мысли о них спать не дают Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубліковано: 2017-03-25 09:10:54 Share Опубліковано: 2017-03-25 09:10:54 (відредаговано) Поэтому лучше открыть ларек пивной ... Вообщем лучше заниматься чем-то другим... Сколько у вас пивных ларьков ? Пока нет Но мысли о них спать не дают Что мешает взять в аренду или купить ларек и организовать торговлю пивом ? Чтоб потом написать тот же текст, написанный выше ?! Жалуясь, пивом торгуют все кому не лень. Вспоминая попутно тяготы "торгашной" жизни. Відредаговано 2017-03-25 09:13:01 sanyadnepr Ссылка на сообщение Поделиться на других сайтах
karyon 48 Опубліковано: 2017-03-25 09:16:14 Share Опубліковано: 2017-03-25 09:16:14 Ставьте fastnetmon на соседнюю машину, коммутатором зеркалируйте внешний траф на нее. Потом настраивайте триггеры на сработку, банить через BGP black hole, если есть BGP или через firewall на сервере. Но, ДДоСы обычно больше 1Гб и могут сразу идти на всю сеть /24. BGP black hole, это только если на 1 адрес ддосят, да и то если ддосят на нат адрес - не сильно весело его выключать Ссылка на сообщение Поделиться на других сайтах
bit 58 Опубліковано: 2017-03-25 09:31:25 Share Опубліковано: 2017-03-25 09:31:25 Интересуюсь тоже подобной темой. Нужен специалист, который сможет сделать автоматический анализ потоков. Скорее всего, это должен быть разбор какого-то х.flow и запуск определенных скриптов. Потоки нужно разбирать с 4х Джунов. БГП сессий до 10тка. Если есть желающие, прошу писать в личку. В идеале, конечно, чтобы еще и графики всякие рисовались. Ссылка на сообщение Поделиться на других сайтах
hailnora 128 Опубліковано: 2017-03-25 15:10:33 Share Опубліковано: 2017-03-25 15:10:33 (відредаговано) / Відредаговано 2017-03-25 15:11:06 hailnora Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас