Skocz do zawartości
t4t4v4

Logowanie adresów IP atakujących maszyn

Polecane posty

hej

 

Aby zbierać informacje o DDoSie to potrzeba:

- skonfigurować zrzutkę flow'ów na routerach

- zainstalować kolektor netflow'ów np. http://nfdump.sourceforge.net/

i jakis programik do obróbki danych np. http://nfsen.sourceforge.net/

 

przy zbieraniu danych tcpdump'em nie nadążysz w dokładaniu dysków, aby zebrać dane z ataku :P

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Błażej, dzięki za naprowadzenie na konkretniejsze metody :)

Aktualnie testuję rozwiązanie ze zbieraniem danych tcpdumpem z maks. 1 000 000 pakietów (plik zrzutu nie zajmuje dużo, a mam większość adresów). Dodatkowo zrzucam tylko pakiety UDP, które idą w stronę mojego serwera.

Edytowano przez Avatat (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale w pakietach UDP masz małą pewność że adresy źródłowe są prawdziwe...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wiem to, ale czy masz lepszy sposób na logowanie adresów, które takimi pakietami wysycają łącze?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

no ale to bez sensu, ta informacja ma zerowa wartosc zarowno z punktu widzenia obrony jak i ustalenia sprawcow

 

masz kasze losowych adresow IP i co dalej?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mogę odrzucać te adresy na zewnętrznym firewallu i dodatkowo spróbować zgłosić nadużycie u danego operatora. Chyba, że to zły sposób na walkę z prymitywnymi atakującymi..

Edytowano przez Avatat (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To może od razu wytnij sobie cały internet bo takie wycinanie jest bezsensu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale w pakietach UDP masz małą pewność że adresy źródłowe są prawdziwe...

 

Przy SYNFlood'zie adresy źródłowe są tyle samo warte co przy atakach UDP :)

 

Jeśli masz kumatego/chętnego do współpracy operatora wycinaj ruch UDP na jego urządzeniach.

 

Pozbędziesz się połowy problemów z DDoS'ami ;).

 

 

Edytowano przez blazej.miga (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W obecnych czasach cięcie po AS rzadko coś daje. Czekamy na ataki po IPv6 :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W obecnych czasach cięcie po AS rzadko coś daje. Czekamy na ataki po IPv6 :)

 

Tak wgl. to kiedy ma wejść w życie internet z adresacją IPv6 ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W TCP jest większy cień szansy że źródłowe istnieją bo wieksza ilość dostawców sprawdza czy adresy z których cokolwiek wychodzi są poprawne. Wycinanie ataków powyżej 50 Mbit/s musi robić już operator na serwerze możbna próbować coś logować.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Ale tylko cień, bo gdy dostaje się rozproszone synfloody to nie jest lekko, a wbrew pozorom 50Mb/s takiego ataku dla zwykłego serwera/pojedynczej karty sieciowej to dużo.

Ostatnio najczęstszym atakiem jest SYN flood/GET flood i filtrować to można jedynie przed serwerem, a nawet ciężko logować na serwerze.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×