a_n_h 600 Опубликовано: 2017-03-24 14:16:57 Share Опубликовано: 2017-03-24 14:16:57 NAS FreeBSD. Очередная атака..... сервер полностью "умирает" ни на что не реагирует пока не отключишь аплинк. Кто реально может помочь с защитой от напасти? Ссылка на сообщение Поделиться на других сайтах
supportod 1 Опубликовано: 2017-03-24 14:20:18 Share Опубликовано: 2017-03-24 14:20:18 А точно внешний ДДоС ? Графики нагрузки с внешнего интерфейса - толщина канала и pps покажите. Ссылка на сообщение Поделиться на других сайтах
a_n_h 600 Опубликовано: 2017-03-24 14:29:44 Автор Share Опубликовано: 2017-03-24 14:29:44 А точно внешний ДДоС ? очень похоже Графики нагрузки с внешнего интерфейса - толщина канала и pps покажите. во время атаки ничего увидеть не могу, в нормальном состоянии все в норме, в данный момент уже все успокоилось..... Ссылка на сообщение Поделиться на других сайтах
supportod 1 Опубликовано: 2017-03-24 14:39:44 Share Опубликовано: 2017-03-24 14:39:44 Ставьте fastnetmon на соседнюю машину, коммутатором зеркалируйте внешний траф на нее. Потом настраивайте триггеры на сработку, банить через BGP black hole, если есть BGP или через firewall на сервере. Но, ДДоСы обычно больше 1Гб и могут сразу идти на всю сеть /24. Ссылка на сообщение Поделиться на других сайтах
a_n_h 600 Опубликовано: 2017-03-24 14:45:14 Автор Share Опубликовано: 2017-03-24 14:45:14 Атака уже прекратилась, "когда-то где-то слышал", что можно написать какой-то скрипт, какой будет мониторить входящий трафик и если будет с какого-то айпи идти подозрительное, то сразу банить. Кто-то может помочь, конечно не бесплатно. Ссылка на сообщение Поделиться на других сайтах
supportod 1 Опубликовано: 2017-03-24 15:09:19 Share Опубликовано: 2017-03-24 15:09:19 Это и есть fastnetmon. Ссылка на сообщение Поделиться на других сайтах
zulu_Radist 856 Опубликовано: 2017-03-24 16:39:58 Share Опубликовано: 2017-03-24 16:39:58 у вас внешний канал один? физика десятка? толку от бана, если досить будут удп, завалят вам внешку к епукам. проходил такое и не один раз. спасет только блэкхол и широкий внешний канал. Ссылка на сообщение Поделиться на других сайтах
Prihod 21 Опубликовано: 2017-03-24 18:00:51 Share Опубликовано: 2017-03-24 18:00:51 у вас внешний канал один? физика десятка? толку от бана, если досить будут удп, завалят вам внешку к епукам. проходил такое и не один раз. спасет только блэкхол и широкий внешний канал. А если у аплинка нет блэкхола чего делать? Ссылка на сообщение Поделиться на других сайтах
BARVIT 113 Опубликовано: 2017-03-24 18:07:15 Share Опубликовано: 2017-03-24 18:07:15 Терпеть... Ссылка на сообщение Поделиться на других сайтах
artyom_bv 0 Опубликовано: 2017-03-24 18:09:53 Share Опубликовано: 2017-03-24 18:09:53 менять аплинка... либо - не расстраиваться... Ссылка на сообщение Поделиться на других сайтах
BARVIT 113 Опубликовано: 2017-03-24 18:26:24 Share Опубликовано: 2017-03-24 18:26:24 (изменено) Поэтому лучше открыть ларек пивной Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим... Изменено 2017-03-24 18:50:22 пользователем BARVIT Ссылка на сообщение Поделиться на других сайтах
a_n_h 600 Опубликовано: 2017-03-24 18:27:10 Автор Share Опубликовано: 2017-03-24 18:27:10 толку от бана, если досить будут удп, завалят вам внешку к епукам. хоть не большой толк - доступность сервера для анализа во время атаки. Ссылка на сообщение Поделиться на других сайтах
zulu_Radist 856 Опубликовано: 2017-03-24 18:42:00 Share Опубликовано: 2017-03-24 18:42:00 толку от бана, если досить будут удп, завалят вам внешку к епукам. хоть не большой толк - доступность сервера для анализа во время атаки. Ха! это счастье если вы находитесь как говориться в локальной сети с бордером и не дай бог вам такое гавно выхватить когда вы за границей и вас долбят диким досом, физика в полке, потери 99% и доступа на железо НОЛЬ это... это БОЛЬ проходили, знаем Ссылка на сообщение Поделиться на других сайтах
LV10 282 Опубликовано: 2017-03-24 22:41:20 Share Опубликовано: 2017-03-24 22:41:20 толку от бана, если досить будут удп, завалят вам внешку к епукам. хоть не большой толк - доступность сервера для анализа во время атаки. Ха! это счастье если вы находитесь как говориться в локальной сети с бордером и не дай бог вам такое гавно выхватить когда вы за границей и вас долбят диким досом, физика в полке, потери 99% и доступа на железо НОЛЬ это... это БОЛЬ проходили, знаем свисток с dyndns + консольный шнурок и никакой боли для особых эникейщиков - добавить микротик по вкусу Ссылка на сообщение Поделиться на других сайтах
wantmore 30 Опубликовано: 2017-03-24 22:53:44 Share Опубликовано: 2017-03-24 22:53:44 (изменено) Покажите вывод "ipfw nat show config". Изменено 2017-03-24 22:54:47 пользователем wantmore Ссылка на сообщение Поделиться на других сайтах
a_n_h 600 Опубликовано: 2017-03-25 00:57:38 Автор Share Опубликовано: 2017-03-25 00:57:38 Покажите вывод "ipfw nat show config". ipfw nat show config ipfw nat 3 config ip XXX.XXX.XXX.20 log deny_in same_ports unreg_only reset ipfw nat 2 config ip XXX.XXX.XXX.19 log same_ports reset redirect_port tcp 172.25.1.34:YYYYY-YYYYY YYYYY-YYYYY ipfw nat 1 config ip XXX.XXX.XXX.18 log same_ports reset redirect_port tcp 172.25.0.17:YYYYY-YYYYY YYYYY-YYYYY Ссылка на сообщение Поделиться на других сайтах
LENS 105 Опубликовано: 2017-03-25 06:39:41 Share Опубликовано: 2017-03-25 06:39:41 Поэтому лучше открыть ларек пивной Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим... Начинать со 100 мегабит - это роскошно) видимо недавно начинали. Мы начинали со Скайстар входа и диалап исхода начинали. Это было почти 20 лет назад. Но то такое...Насчёт ддос - нужно к нему готовится. Должен быть удобный и понятный для вас алгоритм мониторинга. Нашли кто и откуда, и добавляете этот адрес в блекхоул. Если у вашего апстрима нет блекхоул, то пусть эти коммунити транслирует выше (выше должны быть). Если не может и транслировать - то мозги ему парьте чтоб сделал. Защита от ддос при помощи портов 10г тоже несколько поможет, но цена и гарантии защиты нет. Ддос атака из точек обмена может легко прийти over 10g. P.S. Бизнес небольшого интернет провайдинга (до 2000 клиентов) после повышения курса и цен в целом стал нервным хобби, чем заработком. Чтобы заработать 30к грн чистыми себе в карман, нужно бороться с кражами и вандализмом, платить налоги и поднимать зп, покупать инет и Оборудование, делать развитие и ещё бороться с ддос и этим идти в ногу со временем. Если у вас действительно руки откуда надо - найдите работу в крупных компаниях, если будут знания английского - вообще хорошо. Или ждать пока остальные мелкие провайдеры передохнут, а крупные начнут приводить цены к уровню 10 евро в месяц. Ссылка на сообщение Поделиться на других сайтах
ua.feldsher 6 Опубликовано: 2017-03-25 06:44:27 Share Опубликовано: 2017-03-25 06:44:27 Поэтому лучше открыть ларек пивной Когда начинаешь, та 100мбит пока хватит.... денег ерунду нужно.... потом незаметно приходит полка... абоны растут... нужно докупать канал, а ты натишь.... аплинк ипов ведь не насыпал, тут начинается приколы с гуглами.... яндексами, чтоб при каждом чихе ты подтвердил что ты ссука не верблюд..... наступает момент когда абоны уже затрахали до икоты..... и ты понимаешь что дальше так нельзя.... и берешь в аренду блок ипов, заебись, но нужно что-то делать.... денег нет, и нужно купить старушку кошку, на новую никуя не заработал. Отлично, жизнь налаживается, бабла подвыкинул и начинаешь его за аренду выкидывать каждый месяц (у меня так кто-то на год берет), но зато с теми ддосами что были у нас - можно на сисе в блекхол загонять ипы. Ну хрен с ним, вроде все стало путем, яндекс и гугл заткнулись и выполняют свою работу... и бл@#ь тут ссука по сценарию какого-то ебаного режисера появляются медные ситхи, и у тебя начинает канал падать по 5-6 раз в месяц часов по 8....... А ты только расслабил булки.... И вот опять, нужно изголяться и делать резерв за который ссука ты опять платишь денюжку...... Может я такой не фартовый, но с такими тарифами на инет, хотелками РЭСов, и прочие платежи, курс писец какой ядерный.... проще снять кабеля и ссука из них смотать вигвам и торговать пивком... Если нет атаманского запаса - можно начинать, работать, и даже что-то зарабатывать, но это все не то, это п@зд#ц сколько нервов, непредвиденных расходов, долги... Вообщем лучше заниматься чем-то другим... Наче думки прочитали. Жизнєно. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубликовано: 2017-03-25 06:48:57 Share Опубликовано: 2017-03-25 06:48:57 NAS FreeBSD. Очередная атака..... сервер полностью "умирает" ни на что не реагирует пока не отключишь аплинк. Кто реально может помочь с защитой от напасти? Пишите в ЛС. Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубликовано: 2017-03-25 06:53:24 Share Опубликовано: 2017-03-25 06:53:24 Поэтому лучше открыть ларек пивной ... Вообщем лучше заниматься чем-то другим... Сколько у вас пивных ларьков ? Ссылка на сообщение Поделиться на других сайтах
BARVIT 113 Опубликовано: 2017-03-25 08:33:59 Share Опубликовано: 2017-03-25 08:33:59 Поэтому лучше открыть ларек пивной ... Вообщем лучше заниматься чем-то другим... Сколько у вас пивных ларьков ? Пока нет Но мысли о них спать не дают Ссылка на сообщение Поделиться на других сайтах
sanyadnepr 305 Опубликовано: 2017-03-25 09:10:54 Share Опубликовано: 2017-03-25 09:10:54 (изменено) Поэтому лучше открыть ларек пивной ... Вообщем лучше заниматься чем-то другим... Сколько у вас пивных ларьков ? Пока нет Но мысли о них спать не дают Что мешает взять в аренду или купить ларек и организовать торговлю пивом ? Чтоб потом написать тот же текст, написанный выше ?! Жалуясь, пивом торгуют все кому не лень. Вспоминая попутно тяготы "торгашной" жизни. Изменено 2017-03-25 09:13:01 пользователем sanyadnepr Ссылка на сообщение Поделиться на других сайтах
karyon 48 Опубликовано: 2017-03-25 09:16:14 Share Опубликовано: 2017-03-25 09:16:14 Ставьте fastnetmon на соседнюю машину, коммутатором зеркалируйте внешний траф на нее. Потом настраивайте триггеры на сработку, банить через BGP black hole, если есть BGP или через firewall на сервере. Но, ДДоСы обычно больше 1Гб и могут сразу идти на всю сеть /24. BGP black hole, это только если на 1 адрес ддосят, да и то если ддосят на нат адрес - не сильно весело его выключать Ссылка на сообщение Поделиться на других сайтах
bit 58 Опубликовано: 2017-03-25 09:31:25 Share Опубликовано: 2017-03-25 09:31:25 Интересуюсь тоже подобной темой. Нужен специалист, который сможет сделать автоматический анализ потоков. Скорее всего, это должен быть разбор какого-то х.flow и запуск определенных скриптов. Потоки нужно разбирать с 4х Джунов. БГП сессий до 10тка. Если есть желающие, прошу писать в личку. В идеале, конечно, чтобы еще и графики всякие рисовались. Ссылка на сообщение Поделиться на других сайтах
hailnora 128 Опубликовано: 2017-03-25 15:10:33 Share Опубликовано: 2017-03-25 15:10:33 (изменено) / Изменено 2017-03-25 15:11:06 пользователем hailnora Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас