Skocz do zawartości

xnn

Użytkownicy
  • Zawartość

    51
  • Rejestracja

  • Ostatnio

Wszystko napisane przez xnn

  1. Weryfikacja Ip

    mam podobny problem.. czy wlaczenie rb_filter na wszystkich interfejsach rozwiąże problem? w zasadzie nie zależy mi na spoofnietych pakietach także z duza chęcią zablokowałbym wsyzstkie z nich... czy w ip_conntrack zapisywane sa rowniez polaczenia zablokowane przez firewall? pozdrawiam
  2. Witam, Od pewnego czasu serwer gry, którym administruje, jest co chwile atakowany metodą, którą mógłbym nazwać "krótkimi floodami". Mianowicie polega ona na wystrzeleniu ogromnej ilości pakietów w kierunku serwera ( ok 30 MB ), ktore na kilka sek sieja spustoszenie na serwerze. ksoftirqd oraz syslogd skacza w tym momencie do 100%. Komunikacja z serwerem jest mocno utrudniona, polaczenie z graczami zostaje zerwane. Atak jest na tyle krotki iz bandwidthd nie jest w stanie go zanotowac u siebie. Podejrzewam jakis krotki syn-flood? Jak sie bronic i wykrywac tego typu atak? Czy znacie moze jakies narzedzia do mierzenia oraz zapisywania peakow ilosci pakietow na sek na adres IP? Pozdrawiam
  3. A powod? Niby skopiowane zywcem z jakiegos manuala na stronie To teraz pytanie o okrężną droge Czy jest jakas mozliwosc limitowania polaczen bez uzycia modulow iplimit/connlimit (ktorych niestety na tej maszynie nie ma a KLM nie sa wkompilowane w jadro )
  4. Jedno pytanko. Czy ktos moze potwierdzic, ze podana nizej regula dziala i zachowuje sie jak nalezy? (akceptacja 2 nowych polaczen z danego adresu IP na 5 minut, reszte odrzuca). iptables -I INPUT -p tcp --dport JAKIS_PORT -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 -j DROP
  5. Syn Cookies wlaczone mam. Co do zorientowania sie, wlasnie pokladam wszystkie sily od rana w tym by dowiedziec sie co dokladnie sie dzieje. O tyle utrudnione jest to iz ataki sa bardzo nieregularne, trwaja kilka-kilkanascie sekund a podczas ich trwania nawiazanych jest ok 600 normalnych polaczen TCP. Czy znacie jakis program/skrypt, ktorym udaloby mi sie wychwicic adresy IP (oraz typ ataku) ktore w przeciagu kilku sek nawiazaly najwieksza ilosc polaczen, wyslaly najwieksza ilosc pakietow do serwera? Moge logowac wszystkie polaczenia tcpdump'em tylko.. Ile Giga logi zajma i jak to pozniej przetworzyc Myslalem o limitowaniu, niestety kernel nie obsluguje LKM i brakuje mu niektorych modulow do obslugi limitowania (iplimit, ipconnlimit).. Czeka mnie najprawdopodobniej niedlugo rekompilacja ktorej tak naprawde jeszcze nie robilem i sie dosyc boje
  6. UDP Flood?

    Dzisiaj jedna z moich maszyn mocno zwolnila. Praktycznie niemozliwa stala sie komunikacja z nia. Udalo mi sie zalogowac uzywajac DRACa i zaczalem szukac przyczyn zaistnialej sytuacji... Liczba polaczen wykazywanych netstat'em byla standardowa ( ok 4000 ) wiekszosc natomiast miala flagi FIN_WAIT1/TIME_WAIT ( na porcie 80 ) Co innego przykulo natomiast moja uwage ( nie wiem czy szlusznie ), jeden z adresow IP nagminnie nawiazuje polaczenia UDP z serwerem, kilkadziesiat/set na sekunde ( ciezko mi stwierdzic ). Zablokowalem adresik IP maszyny atakujacej (?) uzywajac APF ale... Czy to rozwiąże problem? Przeciez pakiety i tak beda obijac sie ( chociaz tym razem o sciany maszyny ). Czy w tej sytuacji jedynym rozwiazaniem jest zewnetrzny firewall? Inna sprawa, pomimo zablokowania IPka apf'em dalej widze na snifferze ( tcpdump ) wchodzace pakiety. ICMP_echo rowniez wylaczylem i.. koncza mi sie pomysly... zewnetrzny firewall jak dobrze pojdzie serwerownia zamontuje dopiero po weekendzie a mi zalezy na jak najszybszym rozwiazaniu problemu. ifconfig wskazuje ogromna ilosc danych wchodzacych jak i pakietow odrzucanych ( chociaz nie jestem pewien czy RX packets dobrze interpretuje )... UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:12721368 errors:0 dropped:0 overruns:0 frame:0 TX packets:1118120 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:4198718950 (3.9 GiB) TX bytes:635534661 (606.0 MiB) Interrupt:169 Memory:f8000000-f8012100 Co mogles przeoczyc i co moze byc przyczyna takiego spowolnienia serwera, czy jedna maszyna floodujaca na UDP jest w stanie tak ograniczyc prace serwera? Dodam na koniec ze load serwera jest w normie ( 0.4~ )...
  7. Ten DDoS na http nie przekraczal 20mbitow także nie byl glowna przyczyna zjedzenia całej 100mbitowej rurki ( a oprogramowanie serwera bardzo dobrze sobie radzi z atakami na http). Jednak pierwszy strzał ( UDP Flood ) okazał sie jak najbardziej sluszny Tak jak mowilem, skakalem wtedy z kwiatka na kwiatek szukajac wlasciwego punktu zaczepienia (wczesniej nie mialem do czynienia z Floodem na UDP).
  8. Jasne że nie ma i myśle że wszyscy zdajemy sobie z tego doskonale sprawę. Tutaj jednak nie chodzi o atak DDoS. Hosteurope nie ochroni klienta przed zwykłym atakiem DoS z pojedynczej maszyny. Przed zwykłym "wyjadaniem bandwidthu" (na skalę 100mbit/s bo gigowych portów hosteurope nie oferuje). Jedyne co w takim przypadku możemy zrobić to pisać abuse'a do serwerowni z której wychodzi atak i wierzyć, że w miarę szybko odpowiedzą bo jak widać na moim przykładzie, zablokowanie atakujących serwerów gdzie oczywiście dostarczyłem pełną listę z adresami IP oraz metodę ataku zajęło im 4dni! Wyobraźcie sobie, że Wasz serwer nie odpowiada na pakiety przez całe 4 dni. O tym w moich postach jest mowa. Hosteurope nie nadaje się do profesjonalnych rozwiązań z takim supportem i brakiem jakiejkolwiek ochrony... Z drugiej strony, przed chwilą dzwoniłem do OVH w sprawie ich oferty i pytając o możliwość zablokowania trafficu zanim ten wpadnie do 100mbitowego portu, miła Pani odpowiedziała mi, że "tak jest taka możliwość, do tegu celu służy iptables na serwerze". Podziękowałem za rozmowę i stwierdziłem, że jednak lepiej będzie skontaktować się z technikiem w tej sprawie
  9. Wow. To nie koniec historii! Wykwalifikowany technik blokując ostatecznie adresy IP na ich routerku zablokowal mi również protokół UDP na porcie 53 uniemożliwiając tym samym komunikację z serwerami DNS. Załamuje w tym momencie ręce, tym bardziej że jest to kluczowa dla mnie funkcjonalność. I na koniec cytat... Żegnaj hosteurope. Jeszcze raz nie polecam.
  10. Jedyna pomoc jakiej oczekuje od HostEurope to ta zwiazana z ingerencja w ich infrastrukture/lacza/sprzet (czyli tam gdzie nie mam dostepu) takze takie wrzucanie ludzi do jednego worka Pawle mozesz sobie zaoszczedzic. Pozwole zacytowac sobie support (laskawie w koncu odpisali): To ja w takim wypadku mam w nosie ich dobra wole skoro nie potrafia zapewnic mi podstawowej ochrony przed floodem i w dodatku musze upraszac sie przez kilka dni o zablokowanie adresow IP. Tak, jak najbardziej dalej podtrzymuje opinie firma-krzak, uciekajcie. Wystarczy 1 komputer z porzadnym laczem by wywrócić o 180 stopni Wasz serwer.
  11. Stanowczo odradzam. Na chwile obecna mam tutaj 8 serwerów i jezeli moj problem nie zostanie dzisiaj rozwiazany wynosze sie jeszcze w tym tygodniu. Wszystko cacy chodzi, support miły jezeli chodzi o dokupywanie sprzetu, zalatwianie puli adresow IP itd... ale... do czasu az coś złego zacznie się dziać z serwerem. Wtedy nagle support ( jaki support? ) jest nieosiagalny. Na maile nie odpisuja mi od soboty. Czasami mam wrazenie ze caly ten support sklada sie z 4 osob ktore maja blade pojecie na temat administracji plus jednego technika, ktory zjawia sie czasami w firmie i wykonuje trudniejsze do wykonania rzeczy. Zadzwonilem trzykrotnie do supportu, ktory de facto wladal angielskim na poziomie gimnazjum ( wogole jak mozna kogos takiego wpuszczac na International Support? ). Sprawa banalnie prosta - zapytanie o podpiecie firewalla cisco ( czas instalacji oraz sposob podpiecia go do serwera, przed 100mbitowa rura czy tez po niej) oraz zablokowanie na ich routerze adresow IP, ktore w tym momencie mnie flooduja tak by nie zzerali calej 100mbitowej rury. Odpowiedz supportu z wczoraj: 1) nie wiem, 2) prosze zadzwonic jutro rano. Z dzisiaj 3) tak pytal Pan o to w mailach i odpowiemy listownie za kilka godzin ( czytaj nie mam bladego pojecia o czym mowisz a technika nie ma w firmie ). Za kilka godzin? Za kilka godzin to ich support mailowy pójdzie do domu ( pracuja o ile dobrze pamietam od 9 do 17 ). Dodatkowo radze zwracac uwage na umowy z nimi. Po wygasnieciu rocznej badz dwuletniej umowy na serwer nie jest ona odnawiana na czas nieokreslony, tak jak byc powinno, ale ponownie zawiazywania na okres roku czy tez dwoch lat. Zerwanie umowy wiaze się z dodatkowymi kosztami. Dopiero teraz zauwazam jakim krzakiem jest ta firma. Nie dajcie sie omamic firmowymi serwerkami Della bo jezeli pojawi sie jakis wiekszy problem lub ktos bedzie chcial po prostu zniszczyc Wasz biznes ddosujac badz tez floodujac maszyne - zrobi to bez mrugniecia okiem z przekonaniem ze Wasz support nic na to nie poradzi. OMIJAJ SZEROKIM ŁUKIEM JEŻELI PROWADZISZ DOCHODOWY BIZNES - ktos moze go w latwy sposob zniszczyc, a tego raczej nie chcesz
  12. UDP Flood?

    Sprawa zakonczona.. Dla tych ktorzy kiedys beda przegladac ten temat w poszukiwaniu rady... Jak sie okazalo byl to UDP Flood polaczony z DDosem na http. Pierwsze wylapalem dzieki programowi BandwidthD, spam na http okazal sie mizerna próbą wykorzystania wszystkich mozliwych polaczen z serwerem http. Na szczescie to w latwy sposob mozna bylo wylapac za pomoca netstata i paru narzedzi linuxowych ( odsylam do: http://www.mydigitallife.info/2007/12/13/h...ns-to-a-server/ ). W przypadku UDP Floodu zdani jestesmy jedynie na pisanie abusow do serwerowni z ktorych przeprowadzony jest atak ewentualnie o napisanie listu do supportu w celu zablokowania ipokw w szkielecie ktory wykorzystujemy ( ciekawe kto szybciej w moim przypadku zareaguje.. ). Pozdrawiam
  13. UDP Flood?

    wiesz, z jednej strony moga dac dostep do takiego panelu limitujac go tylko i wylacznie do Twoich maszyn.. z drugiej strony nigdy sie z tym nie spotkalem i nie wiem czy jest oprogramowanie jakies do tego ( mozna powiedziec ze obecnie plywam po glebokiej wodzie i uzupelniam wiedze ). Btw, atakujacy rozpoczyna swoje dzialania zawsze chwile po odpaleniu serwera www... konczy nastomiast chwile po jego wylaczeniu.. widac, ze oszczedza traffic botnetu
  14. UDP Flood?

    czy w przypadku DDoSu gdzie atakujacy zabiera mi cale lacze ( 100mbitow ) do serwera, blokowanie jakichkolwiek IPkow na serwerze cos da? nawet gdy zablokuje IPki to i tak beda one zabierac lacze czyli w ten sposob ataku nie powstrzymam (chyba ze gdzies cos pomylilem). w takim wypadku pozostaje blokowanie parszywych IPkow na routerze serwerowni... Ciekawi mnie jedna sprawa, czy Wasze serwerownie daja Wam bezposrednia mozliwosc blokowania IPkow (dostep do panelu, routera), czy odbywa sie to wylacznie przez support? No to czas na antyreklame hosteurope... Support nie odpowiada w weekendy w przypadku ddosu trzeba czekac do poniedzialku, heh... Czy znacie moze jakis skrypt pokazujacy w czasie rzeczywistym wykorzystanie lacza przez poszczegolne IPki? Mozliwe ze w ten sposob uda sie cokolwiek znalezc.
  15. UDP Flood?

    obawiam sie ze w tym przypadku nie wystarczy.. a administratorow w hosteurope w weekendy ciezko jest zastac... Skoro ten Flood UDP w tym momencie blokuje, to pozostaje jeszcze ddos na http ktory w tym momencie leci z ok 600 komputerow.. bardzo prawdopodobne ze ich liczba jest wieksza... W jaki sposob wylapujecie ddosujace IP w przypadku takiego ataku? Teoretycznie boty zachowuja sie jak zwykli uzytkownicy ale wiem ze musi byc jakis sposob na wylapanie ich. Wchodza na strone glowna, nastepnie na kolejne podstrony, sciagaja grafike ( z ref'em ). Czy macie moze jakis skrypt/program ktory wyswietla/banuje IPki, ktore nawiazaly okreslona ilosc polaczen do serwera przez okreslony czas? Wydaje mi sie ze to oraz jakies hmm... filtrowanie na zasadzie pojedynczych pakietow TCP/ip ( zapewne te ddosujace pakiety maja jakis znak szczegolny ) to jedyny sposób na pozbycie sie plugastwa... A tak na marginesie, cisco asa 5505 w hosteurope to wydatek 25E/miesiecznie Jeszcze jedno pytanie. Czy netstat dziala tak jak tcpdump, zanim pakiety spotkaja sie z firewallem? Pewne IPki mam zablokowane na firewallu ale mimo wszystko dalej sie pokazuja w "netstacie" gdy sprawdzam ilosc polaczen ustanowionych... Jeszcze jedna rzecz wzbudza moje podejrzenie, az 15 polaczen z jednego z dnsow uslugi OpenDNS (208.67.222.222) do serwera gdzie hostowana jest wylacznie jedna strona ( czyli zapytanie idzie o jedna domene + ewentualnie subdomeny). Czy mam sie obawiac jakiegos hmm... ataku na usluge DNS? W zasadzie zdziwiony jestem taka iloscia polaczen bo tego typu dane powinny byc cachowane przez DNS ( dodam na marginesie ze domena nie ma ustawionego zadnego wildcarda, oprocz domeny glownej ustawionych jest ok 10 subdomen - rekordy A, expire 3600 )... Ostatnie pytanie. Jakies pomysly na przesledzenie co powoduje tak dlugie odpalenie sie apfu? w /var/log/apf_log nic uzytecznego nie ma...
  16. UDP Flood?

    Hmm... Czy w przypadku gdy adres IP bedzie zablokowany, pakiety wysylane przez niego dalej beda przetwarzane przez system? Jakos musza do tego apf'a dotrzec i dopiero tam sa niszczone. Tym samym dalej zabieraja cenne lacze, dalej docieraja do maszyny a to zapewne jest przyczyna spowolnienia... Czy w takim przypadku firewall sprzetowy sprawdzi sie? Do firewalla w koncu tez wydaje mi sie ze moga wyczerpac lacze... Jak w takim razie sie bronic? W jaki sposob sprawdzic ilosc danych docierajacych w danym momencie do serwera i ilosc blokowanych danych przez firewall? Dzieki wielkie za rozjasnienie sprawy z tcpdump'em
  17. Proxy DDOS

    Witam, ostatnio walcze z niemilymi osobami ktore nagminnie staraja sie ddosowac moj server. Jest to pewnego rodzaju DDoS, ktory moze jednak zostac przeprowadzony przez jedna osoba. Napastnik sciaga liste proxy - zazwyczaj 400-800pozycji a nastepnie "ddosuje" serwer pobierajac strone z predkoscia powiedzmy 1bajta/sec zapychajac mase slotow i nawiazujac mase polaczen do www. Jak sobie drodzy koledzy z tym radzicie? Obecnie staram sie sciagac codziennie listy proxy i banowac takie IP.. Ustawienia serwera tez sa troszeczek bardziej restrykcyjne: 2 req dynamic files/ip 2 static files/ip 20sec/connection timeout To jednak nie pomaga.. Jakas podpowiedz? Uzywam serwera LiteSpeed ( http://litespeedtech.com ) Pozdrawiam
  18. Proxy DDOS

    Witam, na czym bedzie wtedy ochrona polegac?
  19. Wielkie podziękowania dla Bartka, fajnie że są tacy ludzie, którzy bezinteresownie starają się pomóc ;-) Dzisiaj otrzymałem kubeczek + aniołka, dla tych co nie licytowali - popatrzcie co straciliście: http://i2.tinypic.com/6p6qjpw.png do tego dochodzi inna, jeszcze ważniejsza rzecz - uśmiech dzieciaka Pozdrawiam
  20. Witam, nowy serwer, nowe problemy. Tym razem wybrany zostal Webmin by nie obciazac samego serwera zbednymi dodatkami do panelow ;-) Dzisiaj probowalem wgrac wczesniej utworzona kopie z cPanela i.. Niestety Webmin wypluwa ten nieprzyjemny error: Failed to migrate virtual server : setquota: Quota file not found or has wrong format. setquota: Not all specified. Manualnie tez nie moge utworzyc Virtual Hosta ze wzgledu na ten blad. Probowalem cokolwiek wygoglowac ale.. Nic z tego nie wyszlo ;-) /etc/fstab /etc/mtab ( Centos 5 ) uname -a pozdrawiam
  21. haha jeszcze lepiej ;-) webmin domyslnie ma wlaczone quota.. a tych plikow.. wogole nie bylo.. nie wpadlem na to wystarczylo je utworzyc i odpalic quotacheck pozdrawiam, temat do zamkniecia.
  22. Haha #1 odpuszcze ale.. #2 lub #3 jest moja! ( nie ma to jak sprawic sobie "kubek" w urodziny ;-) )
  23. Wait%

    Witam.. Ostatnio top wskazuje bardzo duze zuzycie cpu przy i/o wait. Ciekawi mnie czy jest mozliwosc sprawdzenia co tak mocno obciaza dyski i ewentualne zoptymalizowanie `czegos tam` by serwerek chodzil lepiej.. Dla przykladu:
  24. Wait%

    Jezeli chodzi o maszyne to uzywam http://www.hosteurope.de/produkt/Server-XL Obecnie load na tej maszynce wacha sie w granicach od 2 ( rano ) do 12 ( godziny szczytu ).. Jezeli chodzi o samo io/wait mysle ze moze to byc problem z exim'em.. nawet po wylaczeniu serwera www/baz danych wa% potrafilo momentami dochodzic do 40%.. No i ta "zapchana" kolejka w eximie budzaca niepokoj.. pudlo ;-)
×