Skocz do zawartości
t4t4v4

Logowanie adresów IP atakujących maszyn

Przez t4t4v4, w Linux

Polecane posty

blazej.miga    6

blazej.miga
Napisano

hej

 

Aby zbierać informacje o DDoSie to potrzeba:

- skonfigurować zrzutkę flow'ów na routerach

- zainstalować kolektor netflow'ów np. http://nfdump.sourceforge.net/

i jakis programik do obróbki danych np. http://nfsen.sourceforge.net/

 

przy zbieraniu danych tcpdump'em nie nadążysz w dokładaniu dysków, aby zebrać dane z ataku :P

 

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

t4t4v4    3

t4t4v4
Napisano (edytowany)

Błażej, dzięki za naprowadzenie na konkretniejsze metody :)

Aktualnie testuję rozwiązanie ze zbieraniem danych tcpdumpem z maks. 1 000 000 pakietów (plik zrzutu nie zajmuje dużo, a mam większość adresów). Dodatkowo zrzucam tylko pakiety UDP, które idą w stronę mojego serwera.

Edytowano przez Avatat (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

theONE    526

theONE
Napisano

Ale w pakietach UDP masz małą pewność że adresy źródłowe są prawdziwe...

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

t4t4v4    3

t4t4v4
Napisano

Wiem to, ale czy masz lepszy sposób na logowanie adresów, które takimi pakietami wysycają łącze?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

theONE    526

theONE
Napisano

no ale to bez sensu, ta informacja ma zerowa wartosc zarowno z punktu widzenia obrony jak i ustalenia sprawcow

 

masz kasze losowych adresow IP i co dalej?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

t4t4v4    3

t4t4v4
Napisano (edytowany)

Mogę odrzucać te adresy na zewnętrznym firewallu i dodatkowo spróbować zgłosić nadużycie u danego operatora. Chyba, że to zły sposób na walkę z prymitywnymi atakującymi..

Edytowano przez Avatat (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

chmuri    89

chmuri
Napisano

To może od razu wytnij sobie cały internet bo takie wycinanie jest bezsensu.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

blazej.miga    6

blazej.miga
Napisano (edytowany)

Ale w pakietach UDP masz małą pewność że adresy źródłowe są prawdziwe...

 

Przy SYNFlood'zie adresy źródłowe są tyle samo warte co przy atakach UDP :)

 

Jeśli masz kumatego/chętnego do współpracy operatora wycinaj ruch UDP na jego urządzeniach.

 

Pozbędziesz się połowy problemów z DDoS'ami ;).

 

 

Edytowano przez blazej.miga (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

HaPe    242

HaPe
Napisano

W obecnych czasach cięcie po AS rzadko coś daje. Czekamy na ataki po IPv6 :)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

zoxovsky    9

zoxovsky
Napisano

W obecnych czasach cięcie po AS rzadko coś daje. Czekamy na ataki po IPv6 :)

 

Tak wgl. to kiedy ma wejść w życie internet z adresacją IPv6 ?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

theONE    526

theONE
Napisano

W TCP jest większy cień szansy że źródłowe istnieją bo wieksza ilość dostawców sprawdza czy adresy z których cokolwiek wychodzi są poprawne. Wycinanie ataków powyżej 50 Mbit/s musi robić już operator na serwerze możbna próbować coś logować.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość patrys   

Gość patrys
Napisano

Ale tylko cień, bo gdy dostaje się rozproszone synfloody to nie jest lekko, a wbrew pozorom 50Mb/s takiego ataku dla zwykłego serwera/pojedynczej karty sieciowej to dużo.

Ostatnio najczęstszym atakiem jest SYN flood/GET flood i filtrować to można jedynie przed serwerem, a nawet ciężko logować na serwerze.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Przejdź do listy tematów Linux
×