Skocz do zawartości

xnn

Użytkownicy
 Wyświetl profil  Zobacz jego aktywność

  • Zawartość

    51

  • Rejestracja

  • Ostatnio

Posty napisane przez xnn

  4. Napisano · Raportuj odpowiedź

    Syn Cookies wlaczone mam. Co do zorientowania sie, wlasnie pokladam wszystkie sily od rana w tym by dowiedziec sie co dokladnie sie dzieje. O tyle utrudnione jest to iz ataki sa bardzo nieregularne, trwaja kilka-kilkanascie sekund a podczas ich trwania nawiazanych jest ok 600 normalnych polaczen TCP. Czy znacie jakis program/skrypt, ktorym udaloby mi sie wychwicic adresy IP (oraz typ ataku) ktore w przeciagu kilku sek nawiazaly najwieksza ilosc polaczen, wyslaly najwieksza ilosc pakietow do serwera? Moge logowac wszystkie polaczenia tcpdump'em tylko.. Ile Giga logi zajma i jak to pozniej przetworzyc :P

     

    Myslalem o limitowaniu, niestety kernel nie obsluguje LKM i brakuje mu niektorych modulow do obslugi limitowania (iplimit, ipconnlimit).. Czeka mnie najprawdopodobniej niedlugo rekompilacja ktorej tak naprawde jeszcze nie robilem i sie dosyc boje ;)

  5. Napisano · Raportuj odpowiedź

    Witam,

     

    Od pewnego czasu serwer gry, którym administruje, jest co chwile atakowany metodą, którą mógłbym nazwać "krótkimi floodami". Mianowicie polega ona na wystrzeleniu ogromnej ilości pakietów w kierunku serwera ( ok 30 MB ), ktore na kilka sek sieja spustoszenie na serwerze. ksoftirqd oraz syslogd skacza w tym momencie do 100%. Komunikacja z serwerem jest mocno utrudniona, polaczenie z graczami zostaje zerwane. Atak jest na tyle krotki iz bandwidthd nie jest w stanie go zanotowac u siebie. Podejrzewam jakis krotki syn-flood?

    Jak sie bronic i wykrywac tego typu atak? Czy znacie moze jakies narzedzia do mierzenia oraz zapisywania peakow ilosci pakietow na sek na adres IP?

     

    Pozdrawiam

  6. Napisano · Raportuj odpowiedź

    E? Z Twojego drugiego tematu wynika coś innego :)

     

    Ten DDoS na http nie przekraczal 20mbitow także nie byl glowna przyczyna zjedzenia całej 100mbitowej rurki ( a oprogramowanie serwera bardzo dobrze sobie radzi z atakami na http). Jednak pierwszy strzał ( UDP Flood ) okazał sie jak najbardziej sluszny :) Tak jak mowilem, skakalem wtedy z kwiatka na kwiatek szukajac wlasciwego punktu zaczepienia (wczesniej nie mialem do czynienia z Floodem na UDP).

  7. Napisano · Raportuj odpowiedź

    Przeczytałeś chociaż post xnn'a ze zrozumieniem? Chyba nie, bo wypisujesz straszne głupoty...

     

    Zauważ tylko, że w Europie nie ma DC, które podejmie się ochrony przed DDoS'em (przynajmniej nie w takim przedziale cenowym).

     

    Jasne że nie ma i myśle że wszyscy zdajemy sobie z tego doskonale sprawę. Tutaj jednak nie chodzi o atak DDoS. Hosteurope nie ochroni klienta przed zwykłym atakiem DoS z pojedynczej maszyny. Przed zwykłym "wyjadaniem bandwidthu" (na skalę 100mbit/s bo gigowych portów hosteurope nie oferuje). Jedyne co w takim przypadku możemy zrobić to pisać abuse'a do serwerowni z której wychodzi atak i wierzyć, że w miarę szybko odpowiedzą bo jak widać na moim przykładzie, zablokowanie atakujących serwerów gdzie oczywiście dostarczyłem pełną listę z adresami IP oraz metodę ataku zajęło im 4dni! Wyobraźcie sobie, że Wasz serwer nie odpowiada na pakiety przez całe 4 dni. O tym w moich postach jest mowa. Hosteurope nie nadaje się do profesjonalnych rozwiązań z takim supportem i brakiem jakiejkolwiek ochrony...

     

    Z drugiej strony, przed chwilą dzwoniłem do OVH w sprawie ich oferty i pytając o możliwość zablokowania trafficu zanim ten wpadnie do 100mbitowego portu, miła Pani odpowiedziała mi, że "tak jest taka możliwość, do tegu celu służy iptables na serwerze". Podziękowałem za rozmowę i stwierdziłem, że jednak lepiej będzie skontaktować się z technikiem w tej sprawie :)

  8. Napisano · Raportuj odpowiedź

    Wow. To nie koniec historii! Wykwalifikowany technik blokując ostatecznie adresy IP na ich routerku zablokowal mi również protokół UDP na porcie 53 uniemożliwiając tym samym komunikację z serwerami DNS. Załamuje w tym momencie ręce, tym bardziej że jest to kluczowa dla mnie funkcjonalność.

     

    I na koniec cytat...

    the sticking point is, that there is no effective counter measure to avoid incoming DoS-Attacks

     

    Żegnaj hosteurope. Jeszcze raz nie polecam.

  9. Napisano · Raportuj odpowiedź

    Może i support HE to nie jest amerykański standard odpisywania po godzinie w tonie "już załatwione / właśnie to załatwiamy" i po kolejnej godzinie zrobione, no ale tak jak Paweł napisał... HE raczej sprzedaje niż administratuje... tam jakieś opcje Monitoringu itd. są - nie wiem jakie usługi masz xnn i za co dokładnie płacisz, no ale... nie wiem, czy masz tam takie SLA zagwarantowane w swoich cenach, jakiego oczekujesz...

     

    Jedyna pomoc jakiej oczekuje od HostEurope to ta zwiazana z ingerencja w ich infrastrukture/lacza/sprzet (czyli tam gdzie nie mam dostepu) takze takie wrzucanie ludzi do jednego worka Pawle mozesz sobie zaoszczedzic. Pozwole zacytowac sobie support (laskawie w koncu odpisali):

     

    Please notice, that customer initiated firewalling at core level is none of our

    products or services (yet). We applied this filter only as a gesture of

    goodwill and (...)

     

    To ja w takim wypadku mam w nosie ich dobra wole skoro nie potrafia zapewnic mi podstawowej ochrony przed floodem i w dodatku musze upraszac sie przez kilka dni o zablokowanie adresow IP. Tak, jak najbardziej dalej podtrzymuje opinie firma-krzak, uciekajcie. Wystarczy 1 komputer z porzadnym laczem by wywrócić o 180 stopni Wasz serwer.

  10. Napisano · Raportuj odpowiedź

    Stanowczo odradzam. Na chwile obecna mam tutaj 8 serwerów i jezeli moj problem nie zostanie dzisiaj rozwiazany wynosze sie jeszcze w tym tygodniu. Wszystko cacy chodzi, support miły jezeli chodzi o dokupywanie sprzetu, zalatwianie puli adresow IP itd... ale... do czasu az coś złego zacznie się dziać z serwerem. Wtedy nagle support ( jaki support? ) jest nieosiagalny. Na maile nie odpisuja mi od soboty. Czasami mam wrazenie ze caly ten support sklada sie z 4 osob ktore maja blade pojecie na temat administracji plus jednego technika, ktory zjawia sie czasami w firmie i wykonuje trudniejsze do wykonania rzeczy.

     

    Zadzwonilem trzykrotnie do supportu, ktory de facto wladal angielskim na poziomie gimnazjum ( wogole jak mozna kogos takiego wpuszczac na International Support? ). Sprawa banalnie prosta - zapytanie o podpiecie firewalla cisco ( czas instalacji oraz sposob podpiecia go do serwera, przed 100mbitowa rura czy tez po niej) oraz zablokowanie na ich routerze adresow IP, ktore w tym momencie mnie flooduja tak by nie zzerali calej 100mbitowej rury. Odpowiedz supportu z wczoraj: 1) nie wiem, 2) prosze zadzwonic jutro rano. Z dzisiaj 3) tak pytal Pan o to w mailach i odpowiemy listownie za kilka godzin ( czytaj nie mam bladego pojecia o czym mowisz a technika nie ma w firmie ).

     

    Za kilka godzin? Za kilka godzin to ich support mailowy pójdzie do domu ( pracuja o ile dobrze pamietam od 9 do 17 ).

     

    Dodatkowo radze zwracac uwage na umowy z nimi. Po wygasnieciu rocznej badz dwuletniej umowy na serwer nie jest ona odnawiana na czas nieokreslony, tak jak byc powinno, ale ponownie zawiazywania na okres roku czy tez dwoch lat. Zerwanie umowy wiaze się z dodatkowymi kosztami.

     

    Dopiero teraz zauwazam jakim krzakiem jest ta firma. Nie dajcie sie omamic firmowymi serwerkami Della bo jezeli pojawi sie jakis wiekszy problem lub ktos bedzie chcial po prostu zniszczyc Wasz biznes ddosujac badz tez floodujac maszyne - zrobi to bez mrugniecia okiem z przekonaniem ze Wasz support nic na to nie poradzi.

     

    OMIJAJ SZEROKIM ŁUKIEM JEŻELI PROWADZISZ DOCHODOWY BIZNES - ktos moze go w latwy sposob zniszczyc, a tego raczej nie chcesz

  11. Napisano · Raportuj odpowiedź

    Sprawa zakonczona.. Dla tych ktorzy kiedys beda przegladac ten temat w poszukiwaniu rady...

     

    Jak sie okazalo byl to UDP Flood polaczony z DDosem na http. Pierwsze wylapalem dzieki programowi BandwidthD, spam na http okazal sie mizerna próbą wykorzystania wszystkich mozliwych polaczen z serwerem http. Na szczescie to w latwy sposob mozna bylo wylapac za pomoca netstata i paru narzedzi linuxowych ( odsylam do: http://www.mydigitallife.info/2007/12/13/h...ns-to-a-server/ ).

     

    W przypadku UDP Floodu zdani jestesmy jedynie na pisanie abusow do serwerowni z ktorych przeprowadzony jest atak ewentualnie o napisanie listu do supportu w celu zablokowania ipokw w szkielecie ktory wykorzystujemy ( ciekawe kto szybciej w moim przypadku zareaguje.. ).

     

    Pozdrawiam

  12. Napisano · Raportuj odpowiedź

    Jest dokładnie tak jak napisałeś.

     

    Jeżeli się przez chwilę zastanowisz to sam sobie odpowiesz na to pytanie :)

     

    wiesz, z jednej strony moga dac dostep do takiego panelu limitujac go tylko i wylacznie do Twoich maszyn.. z drugiej strony nigdy sie z tym nie spotkalem i nie wiem czy jest oprogramowanie jakies do tego ( mozna powiedziec ze obecnie plywam po glebokiej wodzie i uzupelniam wiedze :) ).

     

    Btw, atakujacy rozpoczyna swoje dzialania zawsze chwile po odpaleniu serwera www... konczy nastomiast chwile po jego wylaczeniu.. widac, ze oszczedza traffic botnetu :)

  13. Napisano · Raportuj odpowiedź

    czy w przypadku DDoSu gdzie atakujacy zabiera mi cale lacze ( 100mbitow ) do serwera, blokowanie jakichkolwiek IPkow na serwerze cos da? nawet gdy zablokuje IPki to i tak beda one zabierac lacze czyli w ten sposob ataku nie powstrzymam (chyba ze gdzies cos pomylilem). w takim wypadku pozostaje blokowanie parszywych IPkow na routerze serwerowni... Ciekawi mnie jedna sprawa, czy Wasze serwerownie daja Wam bezposrednia mozliwosc blokowania IPkow (dostep do panelu, routera), czy odbywa sie to wylacznie przez support?

     

    No to czas na antyreklame hosteurope... Support nie odpowiada w weekendy w przypadku ddosu trzeba czekac do poniedzialku, heh...

     

    Czy znacie moze jakis skrypt pokazujacy w czasie rzeczywistym wykorzystanie lacza przez poszczegolne IPki? Mozliwe ze w ten sposob uda sie cokolwiek znalezc.

  14. Napisano · Raportuj odpowiedź

    tak robi.

     

    Blokowanie na poziomie serwera wystarczy, sprzętowe "zabawki" są stosunkowo drogie i raczej nie potrzebne.

     

    obawiam sie ze w tym przypadku nie wystarczy.. a administratorow w hosteurope w weekendy ciezko jest zastac...

     

    Skoro ten Flood UDP w tym momencie blokuje, to pozostaje jeszcze ddos na http ktory w tym momencie leci z ok 600 komputerow.. bardzo prawdopodobne ze ich liczba jest wieksza...

    W jaki sposob wylapujecie ddosujace IP w przypadku takiego ataku? Teoretycznie boty zachowuja sie jak zwykli uzytkownicy ale wiem ze musi byc jakis sposob na wylapanie ich. Wchodza na strone glowna, nastepnie na kolejne podstrony, sciagaja grafike ( z ref'em ).

     

    Czy macie moze jakis skrypt/program ktory wyswietla/banuje IPki, ktore nawiazaly okreslona ilosc polaczen do serwera przez okreslony czas? Wydaje mi sie ze to oraz jakies hmm... filtrowanie na zasadzie pojedynczych pakietow TCP/ip ( zapewne te ddosujace pakiety maja jakis znak szczegolny :) ) to jedyny sposób na pozbycie sie plugastwa...

     

    A tak na marginesie, cisco asa 5505 w hosteurope to wydatek 25E/miesiecznie

     

    Jeszcze jedno pytanie. Czy netstat dziala tak jak tcpdump, zanim pakiety spotkaja sie z firewallem?

    Pewne IPki mam zablokowane na firewallu ale mimo wszystko dalej sie pokazuja w "netstacie" gdy sprawdzam ilosc polaczen ustanowionych...

     

    Jeszcze jedna rzecz wzbudza moje podejrzenie, az 15 polaczen z jednego z dnsow uslugi OpenDNS (208.67.222.222) do serwera gdzie hostowana jest wylacznie jedna strona ( czyli zapytanie idzie o jedna domene + ewentualnie subdomeny). Czy mam sie obawiac jakiegos hmm... ataku na usluge DNS? W zasadzie zdziwiony jestem taka iloscia polaczen bo tego typu dane powinny byc cachowane przez DNS ( dodam na marginesie ze domena nie ma ustawionego zadnego wildcarda, oprocz domeny glownej ustawionych jest ok 10 subdomen - rekordy A, expire 3600 )...

     

    Ostatnie pytanie. Jakies pomysly na przesledzenie co powoduje tak dlugie odpalenie sie apfu? w /var/log/apf_log nic uzytecznego nie ma...

  15. Napisano · Raportuj odpowiedź

    Hmm... Czy w przypadku gdy adres IP bedzie zablokowany, pakiety wysylane przez niego dalej beda przetwarzane przez system? Jakos musza do tego apf'a dotrzec i dopiero tam sa niszczone. Tym samym dalej zabieraja cenne lacze, dalej docieraja do maszyny a to zapewne jest przyczyna spowolnienia... Czy w takim przypadku firewall sprzetowy sprawdzi sie? Do firewalla w koncu tez wydaje mi sie ze moga wyczerpac lacze...

     

    Jak w takim razie sie bronic? W jaki sposob sprawdzic ilosc danych docierajacych w danym momencie do serwera i ilosc blokowanych danych przez firewall?

     

    Dzieki wielkie za rozjasnienie sprawy z tcpdump'em

  16. Napisano · Raportuj odpowiedź

    Dzisiaj jedna z moich maszyn mocno zwolnila. Praktycznie niemozliwa stala sie komunikacja z nia.

    Udalo mi sie zalogowac uzywajac DRACa i zaczalem szukac przyczyn zaistnialej sytuacji...

     

    Liczba polaczen wykazywanych netstat'em byla standardowa ( ok 4000 ) wiekszosc natomiast miala flagi FIN_WAIT1/TIME_WAIT ( na porcie 80 )

     

    Co innego przykulo natomiast moja uwage ( nie wiem czy szlusznie ), jeden z adresow IP nagminnie nawiazuje polaczenia UDP z serwerem, kilkadziesiat/set na sekunde ( ciezko mi stwierdzic ). Zablokowalem adresik IP maszyny atakujacej (?) uzywajac APF ale... Czy to rozwiąże problem? Przeciez pakiety i tak beda obijac sie ( chociaz tym razem o sciany maszyny ). Czy w tej sytuacji jedynym rozwiazaniem jest zewnetrzny firewall? Inna sprawa, pomimo zablokowania IPka apf'em dalej widze na snifferze ( tcpdump ) wchodzace pakiety.

     

    ICMP_echo rowniez wylaczylem i.. koncza mi sie pomysly... zewnetrzny firewall jak dobrze pojdzie serwerownia zamontuje dopiero po weekendzie a mi zalezy na jak najszybszym rozwiazaniu problemu.

     

    ifconfig wskazuje ogromna ilosc danych wchodzacych jak i pakietow odrzucanych ( chociaz nie jestem pewien czy RX packets dobrze interpretuje )...

     

    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

    RX packets:12721368 errors:0 dropped:0 overruns:0 frame:0

    TX packets:1118120 errors:0 dropped:0 overruns:0 carrier:0

    collisions:0 txqueuelen:1000

    RX bytes:4198718950 (3.9 GiB) TX bytes:635534661 (606.0 MiB)

    Interrupt:169 Memory:f8000000-f8012100

     

    Co mogles przeoczyc i co moze byc przyczyna takiego spowolnienia serwera, czy jedna maszyna floodujaca na UDP jest w stanie tak ograniczyc prace serwera? Dodam na koniec ze load serwera jest w normie ( 0.4~ )...

  18. Napisano · Raportuj odpowiedź

    Witam, ostatnio walcze z niemilymi osobami ktore nagminnie staraja sie ddosowac moj server. Jest to pewnego rodzaju DDoS, ktory moze jednak zostac przeprowadzony przez jedna osoba. Napastnik sciaga liste proxy - zazwyczaj 400-800pozycji a nastepnie "ddosuje" serwer pobierajac strone z predkoscia powiedzmy 1bajta/sec zapychajac mase slotow i nawiazujac mase polaczen do www. Jak sobie drodzy koledzy z tym radzicie? Obecnie staram sie sciagac codziennie listy proxy i banowac takie IP.. Ustawienia serwera tez sa troszeczek bardziej restrykcyjne:

    2 req dynamic files/ip

    2 static files/ip

    20sec/connection timeout

     

    To jednak nie pomaga.. Jakas podpowiedz? Uzywam serwera LiteSpeed ( http://litespeedtech.com )

    Pozdrawiam

  21. Napisano · Raportuj odpowiedź

    Witam, nowy serwer, nowe problemy. Tym razem wybrany zostal Webmin by nie obciazac samego serwera zbednymi dodatkami do panelow ;-)

    Dzisiaj probowalem wgrac wczesniej utworzona kopie z cPanela i.. Niestety Webmin wypluwa ten nieprzyjemny error: Failed to migrate virtual server : setquota: Quota file not found or has wrong format. setquota: Not all specified. Manualnie tez nie moge utworzyc Virtual Hosta ze wzgledu na ten blad. Probowalem cokolwiek wygoglowac ale.. Nic z tego nie wyszlo ;-)

     

    /etc/fstab

    /dev/VolGroup00/LogVol00 / ext3 defaults,usrquota,grpquota 1 1

    LABEL=/boot /boot ext3 defaults 1 2

    devpts /dev/pts devpts gid=5,mode=620 0 0

    tmpfs /dev/shm tmpfs defaults 0 0

    proc /proc proc defaults 0 0

    sysfs /sys sysfs defaults 0 0

    /dev/VolGroup00/LogVol01 swap swap defaults 0 0

     

    /etc/mtab

    /dev/mapper/VolGroup00-LogVol00 / ext3 rw,usrquota,grpquota 0 0

    proc /proc proc rw 0 0

    sysfs /sys sysfs rw 0 0

    devpts /dev/pts devpts rw,gid=5,mode=620 0 0

    /dev/sda1 /boot ext3 rw 0 0

    tmpfs /dev/shm tmpfs rw 0 0

    none /proc/sys/fs/binfmt_misc binfmt_misc rw 0 0

    /proc /var/named/chroot/proc none rw,bind 0 0

    /var/run/dbus /var/named/chroot/var/run/dbus none rw,bind 0 0

    sunrpc /var/lib/nfs/rpc_pipefs rpc_pipefs rw 0 0

     

    ( Centos 5 )

    uname -a

    Linux dsxx-xxx-xx-xx.dedicated.hosteurope.de 2.6.18-8.el5 #1 SMP Thu Mar 15 19:57:35 EDT 2007 i686 i686 i386 GNU/Linux

     

    pozdrawiam

  24. Napisano · Raportuj odpowiedź

    Jezeli chodzi o maszyne to uzywam http://www.hosteurope.de/produkt/Server-XL

     

    Obecnie load na tej maszynce wacha sie w granicach od 2 ( rano ) do 12 ( godziny szczytu ).. Jezeli chodzi o samo io/wait mysle ze moze to byc problem z exim'em.. nawet po wylaczeniu serwera www/baz danych wa% potrafilo momentami dochodzic do 40%.. No i ta "zapchana" kolejka w eximie budzaca niepokoj..

     

    Sprawdź w /var/lock i /var/tmp, czy czasem ktoś Ci tam nie wgrywa warezu.

    pudlo ;-)

  25. Napisano · Raportuj odpowiedź

    Witam.. Ostatnio top wskazuje bardzo duze zuzycie cpu przy i/o wait. Ciekawi mnie czy jest mozliwosc sprawdzenia co tak mocno obciaza dyski i ewentualne zoptymalizowanie `czegos tam` by serwerek chodzil lepiej..

     

    Dla przykladu:

    Cpu(s): 5.4%us, 5.2%sy, 0.0%ni, 29.8%id, 57.9%wa, 0.0%hi, 1.7%si, 0.0%st

     

    Linux 2.6.18-8.el5 12/08/2007

     

    avg-cpu: %user %nice %system %iowait %steal %idle

    9.78 0.38 10.20 54.47 0.00 25.17

     

    Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn

    sda 129.54 205.88 1688.33 4095067 33581156

    dm-0 219.85 205.72 1688.42 4091826 33582920

    dm-1 0.01 0.04 0.01 880 176

×