PrecelusMaximus 53 Zgłoś post Napisano Marzec 21, 2016 Witam, Posiadam serwer vps w pewnej firmie w Polsce mającej "antyddos", a przynajmniej tak mówią. Od nowego roku na mój serwer leciały same ddosy, w połowie lutego pochwalili mi się że udało im się wdrożyć ochronę antyddos. Przez 3 tyg. nie było problemu i nagle serwer zablokowany i adnotacja że był atak. Dostałem logi z który wynika że atakują pakietami UDP port 3306. ipv4 2 udp 17 15 src=173.117.220.85 dst=XX.XX.XX.XX sport=3306 dport=3306 [UNREPLIED] src=XX.XX.XX.XX dst=173.117.220.85 sport=3306 dport=3306 mark=0 secmark=0 use=2 ipv4 2 udp 17 13 src=97.5.171.9 dst=XX.XX.XX.XX sport=3306 dport=3306 [UNREPLIED] src=XX.XX.XX.XX dst=97.5.171.9 sport=3306 dport=3306 mark=0 secmark=0 use=2 ipv4 2 udp 17 12 src=129.22.4.251 dst=XX.XX.XX.XX sport=3306 dport=3306 [UNREPLIED] src=XX.XX.XX.XX dst=129.22.4.251 sport=3306 dport=3306 mark=0 secmark=0 use=2 Zdalny dostęp do mysql'a jest wyłączony (a tak przynajmniej mi się zdaje). Nawet dla bezpieczeństwa udostępniłem jedynie dla localhost ten port, reszta ma brak dostępu. Nmap mówi: PORT STATE SERVICE 3306/tcp filtered mysql Nmap done: 1 IP address (1 host up) scanned in 6.13 seconds Jako że nie jestem adminem, prosiłbym o wskazówkę co z tym fantem zrobić? Ciekawi mnie jak oni uderzają w port 3306, skoro jest zamknięty, no chyba że serwer nic nie zwraca a jedynie generuje sztuczny ruch który ich antyddos nie obsługuje. Udostępnij ten post Link to postu Udostępnij na innych stronach
Bartosz Z 236 Zgłoś post Napisano Marzec 21, 2016 No ale co możesz zrobić?Robią z Ciebie frajera, mówiąc, że dysponują fantastyczną ochroną przeciw DDoS, a później blokują VPS'a bez ostrzeżenia.Z floodami UDP nie możesz NIC zrobić po stronie swojej maszyny. To w sieci muszą wycinać taki ruch.Co możesz zrobić? Zmień dostawcę. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Marzec 21, 2016 No ale co możesz zrobić? Robią z Ciebie frajera, mówiąc, że dysponują fantastyczną ochroną przeciw DDoS, a później blokują VPS'a bez ostrzeżenia. Z floodami UDP nie możesz NIC zrobić po stronie swojej maszyny. To w sieci muszą wycinać taki ruch. Co możesz zrobić? Zmień dostawcę. Są różne typy ochrony Blokada albo wyłączenie IP to jedna z nich Udostępnij ten post Link to postu Udostępnij na innych stronach
PrecelusMaximus 53 Zgłoś post Napisano Marzec 21, 2016 No ale co możesz zrobić? Robią z Ciebie frajera, mówiąc, że dysponują fantastyczną ochroną przeciw DDoS, a później blokują VPS'a bez ostrzeżenia. Z floodami UDP nie możesz NIC zrobić po stronie swojej maszyny. To w sieci muszą wycinać taki ruch. Co możesz zrobić? Zmień dostawcę. Śmieszne jest to że ddosy na inne porty są ewidentnie wyłapywane. Wtedy głównie atakowano port 80 przez flood UDP, oraz 9987 (tak to ta zła aplikacja). Przez 3 tyg. ataki przez te 2 porty nie przechodziły - tak wnioskuje. Udostępnij ten post Link to postu Udostępnij na innych stronach
Bartosz Z 236 Zgłoś post Napisano Marzec 21, 2016 Są różne typy ochrony Blokada albo wyłączenie IP to jedna z nich Ochrona: 1. «zabezpieczenie przed czymś niekorzystnym, złym lub niebezpiecznym» Czyli, przed odcięciem łącza dla usługi, bronimy się przez odcięcie łącza? Fuck logic Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Marzec 21, 2016 Ochrona: 1. «zabezpieczenie przed czymś niekorzystnym, złym lub niebezpiecznym» Czyli, przed odcięciem łącza dla usługi, bronimy się przez odcięcie łącza? Fuck logic Nie mówię że to logiczne, ale jednak chronimy innych klientów. Takie polityki są stosowane i oznakowane jako ochrona Udostępnij ten post Link to postu Udostępnij na innych stronach
Bartosz Z 236 Zgłoś post Napisano Marzec 21, 2016 Nie znam żadnej poważnej marki, która stosuje wyłączenie VPS'a jako lek na UDP flood. 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Marzec 23, 2016 BTW, inna sprawa to to że MySQL działa na 3306 TCP, a ty masz atak w 3306 UDP, więc nawet jakby ten port TCP był otwarty to to i tak by nie miało wpływu. Generalnie tym zarządza kernel. Gdybyś miał dedyka można by było kombinować z grseciem i lokalnym blackholingiem, który w moim przypadku zmienił kilka serwerów ze stanu "nic się nie da" na stan "są packet lossy i je czuć, ale można też się do serwera dostać", ale to wciąż wierzchołek góry lodowej, bo takie DDoSy da się wyciąć wyłącznie na poziomie sieci, a nie serwera - na poziomie serwera możesz się tylko upewnić, że mniej oberwie. Udostępnij ten post Link to postu Udostępnij na innych stronach
Bartosz Z 236 Zgłoś post Napisano Marzec 23, 2016 Archi, możesz powiedzieć coś więcej o lokalnym blackhole'ingu? Udostępnij ten post Link to postu Udostępnij na innych stronach
Pan Kot 1535 Zgłoś post Napisano Marzec 23, 2016 Dokumentacja jest - https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#TCP.2FUDP_blackhole_and_LAST_ACK_DoS_prevention 2 Udostępnij ten post Link to postu Udostępnij na innych stronach
