Ddos védelem?! Avagy mi a megoldás ellene?

Ubuntu Linux

Sziasztok!

Megint hozzátok fordulok segítségül. Ma hajnal tájt négy dallasi (usa) szerver vette cél alá a gépünket Budapesten. Hogy miért pont mi, nem tudjuk, természetesen proxy is lehet a dolog mögött, ezt sem tudjuk. Folyamatos bejövő kapcsolattal elérhetetlenné tette a gépünket. A kérdés hogyan lehet védekezni ellene? Ip táblába hozzáadtuk a tiltást, ufw enabled, hozzáadtuk az ip tiltást, és ennek ellenére a kapcsolat nem került kitiltásra. Próbálkoztam a service networking stop-al, elvégre mégis csak onnan jön, nem ment végbe a folyamat. Végül a leállítás mellett döntöttünk. Szégyen a futás de hasznos.

Segítsetek, tűzfal specialista rendel :)

köszi
Márk

  • 14580 megtekintés

( PunishR v | 2011. 08. 28., v – 12:25 )

ddos elég tág fogalom, de pl vannak helyzetek mikor csak az ISP tud valamit tenni, jellemzően akkor mikor a géped felé levő link a szűk keresztmetszet.

Tény. Az adatállományban kár nem keletkezett, vagyis "nem hatoltak be". Viszont olyan szintű adatmennyiséget generáltak, hogy elfogyott a sávszélesség a gépről, méghozzá annyira, hogy ping sem volt kifele. Több órán keresztül. A szolgáltatónak be lett jelentve, az amerikai szolgáltatónak is.

( Kayapo | 2011. 08. 28., v – 12:26 )

Jó volna látni a jelenlegít (hogy azt jól megköpködhessük ;) ), aztán ahhoz képest tudnánk javaslatokat tenni. Illetve olvasd el ezt: http://molnaristvan.eu/2011/01/16/az-en-tuzfal-scriptem/ azt a scriptet és a szabályokat tanulmányozva könnyű lesz előre lépni.

Azonban gyanítom az miatt ált elő a probléma, mert a tűzfal kifelé nem korlátoz ami öreg hiba. Illetve gondolom még a DROP előtt lehet egy RELATED, ESTABLISHED -j ACCEPT típusú sor.

A blackilst típusú sorokat érdemes a tűzfal legelejére tenni és DROP -ot használni

----
올드보이
http://molnaristvan.eu/

jnettop -al listáztam ki az eth0 forgalmát, ő pedig kiírta hogy a bejövő kapcsolatnál nincs port meghatározva, se udp se tcp protokoll, egyszerűen IP volt kiírva.

szerkesztve:
illetőleg így hirtelen eszembejutott msot hogy egyszer láttam egy UDP kapcsolatot is, 50XXX port volt. Sajnos nem jegyeztem fel. De az ip címeket igen.
74.63.240.163
69.162.110.131
63.65.143.15 (itt még mindig egy kedves üzi jön be) :)

szerkesztve:
illetőleg minden kiszolgáló progit leállítottam. SSH, apache2, mysql5, php, pearl, bind. és a dolog nem szűnt meg.

Ezekről az IP-kről minden forgalmat tegyél DROP-ra, de ez csak a TCP-n tud bármit is lassítani. Ha akkor krafttal küldik rád a csomagokat, akkor bármit tehetsz maga a drót tele lesz. Igazából az ISP-d tudná úgy ezeket az IP-ket, hogy az ő első routerén megálljanak.

( eax | 2011. 08. 28., v – 13:01 )

Ez valami webszerver?
Akkor a cloudflare.com segithet.

--
"You're NOT paranoid, we really are out to get you!"

A whois és a dns kiszolgálók szerint megvan a host. limestonenetworks.com
Bejelentést tettünk az alábbi ip címek ellen, 48 óra múlva lesz eredmény az email szerint. Ha ér valamit egyáltalán...

69 es ipn is volt egy webszerver hajnalig. a whois szerint 3:32 óta ninsc "jel" rajta. Azon egy kedves GameOver kép volt, és javascript írta ki a srác email címét, és a nevét "kamikaze hacker", és amúgy egy win32 es LAMP a cucc. És szólt az x akták zenéje is. tök cuki volt :D

( zitev v | 2011. 08. 28., v – 14:32 )

én kikapcsolnám a tűzfalat, ennél jobb módszer nem lehet ellene ;)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( denke v | 2011. 08. 28., v – 18:30 )

Szia!

abbol amit mondtal, en ugy latom hogy ez nem ddos hanem sima dos (mivel 1 vagy nehany geprol jon csak a tamadas)

ddos ellen baromi nehez vedekezni, de a te eseted ennel remelhetoleg valamivel egyszerubb.

valami progival (iptraf) nezd meg hogy mennyi savszelesseget foglal el kifele es befele a tamadas. Ha ez eleri a gep netkapcsolatanak savszelesseget, akkor csak a szolgaltato segithet, vagy ha tudod hogy konkretan valamelyik domaint tamadjak, akkor van eselyed azzal hogy a dns ben a domainhoz tartozo ip cimeket atirod 127.0.0.1 re.

ha a tamadas nem eri el a savszelesseged csucsat (es a csomag szam se haladja meg a te geped es az elotted levo routerek kepessegeit) akkor tudsz csak vedekezni iptablessel, vagy valami routerrel a gep elott.

Ha meg tudod mondani hogy melyik a helyzet ezek kozul, akkor tudok / tudnak a szakik a hup on tovabbi tanacsokat adni.

Denke.

Annó az IRC-s korszakban - a Sulinet program okán - betörtek a script-kiddie tömegek, és az első apró sérelemre előkaptak valami ping-of-death vagy másik - éppen akkor futó hasonló - script-et, amit ugye el tudtak indítani, és vadul követelték az IP címem... na, ekkor írtam vissza, hogy 127.0.0.1, majd a sikeres öngyilkosság okán általában le is szakadtak a skacok, de nem értették igazán az összefüggést... :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

( Kayapo | 2011. 08. 31., sze – 21:30 )

Összefoglalásként leírhatnád a támadás lefolyását, illetve, hogyan sikerült mitigálni a problémát!

----
올드보이
http://molnaristvan.eu/

Beszéltünk az isp-vel. Elismerték hogy eddig ők sem tettek semmit az ügy érdekében. A támadás lefolyása nem egy nagy vasziszdasz volt. Valamivel egy óra után, megnövekedett a beérkező csomagoknak a száma, ám először csak lassulást értek el vele. Ezután több ip cím kapcsolódott a géphez, összesen négy cím volt. Fokozatosan kapcsolódtak, majd elfogyott a sávszélesség.

( athila v | 2011. 08. 31., sze – 23:30 )

Ez csak sima DoS, ez ellen se sok ISP fog neked ACL-ezni az MPLS routerein.
DDoS ellen meg a legjobb védelem a korrekt üzleti/netes magatartás. Ha a csúnya zombihálózatok bérlői igazán
megharagszanak valakire, akkor nem csak a célszervereket tudják leültetni, hanem akár egy teljes ISP-t is. Totálisan.
60-80 gbps, vagy még ennél is több forgalmat is rád tudnak küldeni, a több tízezer forrás IP-t nem lehet kiblackhole-ozni, csak a támadott hálózat IP címeit lehet kiirtani a BGP hirdetések közül.

"DDoS ellen meg a legjobb védelem a korrekt üzleti/netes magatartás. "
Nálam van egy hobby-oldal, amit 2-3 éve folyamatosan ddosolnak. Csak .hu-ról engedek már hozzáférést, és emailen lehet kérni külföldi hozzáférést, olyankor az adott IP szolgáltatójának a teljes tartományát engedélyezem.

Az említett technológiát vajon hány ISP tudja azonnal, fejlesztések nélkül alkalmazni az összes core/MPLS routerén?
Ha új hardvert kell vásárolni hozzá, vajon hányszor tízmillió Ft.-ba kerülnek darabonkét az ezeket a feature-öket hardverből és nem CPU-ból lekezelő, megfelelő performanciával rendelkező eszközök?
Az esetleges cserékkel járó leállások hány hónapnyi munkát feltételez és vajon hány ezer user fog más szolgáltatót változtatni amiatt, hogy ez a rohadt ISP már megint, minden héten leállít valamit?
Ne is csodálkozz, hogy a legelső dolog ilyenkor, hogy az ISP kiblackhole-ozza a usert, lecsapja a teljes internetvonaladat és szélsőséges esetben még a szerződésedet is felmondja, boldogíts mást.

( tbs v | 2011. 09. 03., szo – 14:57 )

Nálam egy HAProxy a frontend, mindenki mögötte lakik. Elég jól lehet paraméterezni - és pl. a request-eket (mondjuk a túl gyakoriakat) korlátozni a backend-ek felé... Egész nagy listákkal elboldogul borzasztó gyorsan.

Naja, ebben a konkrét esetben a hálózat volt eltömítve, UDP-vel, ilyenkor teljesen irreleváns, hogy válaszol-e a szervered, vagy nem, már az ISP utolsó routerének az előfizetői linkje el lett dugítva.
Ha lehúzod a hálózatról a szervered, még akkor is tele lesz a drót, szóval halott dolog bármilyen csomagszűréssel vag tarpit targettel bohóckodni.

a tarpit eredetileg:
The program answers connection attempts in such a way that the machine at the other end gets "stuck", sometimes for a very long time.

erről lehet szó:

A conntrack és a TARPIT azonos rendszeren való használata erõsen ellenjavallt, ugyanis minden beragadt kapcsolat fogyasztja a conntrack erõforrásait

Asszem valami ilyesminek a nagytestvérét mi is próbáltuk a hálózatban, kifejezetten DDoS ellen.
Nagyon profi a dolog, bele kell integrálni a BGP hálózatodba és automatikusan felismeri az illegális forgalmat, és ha úgy konfigolod, akkor magára rántja azt a /32-t, amit támadnak, a rosszindulatú csomagokat lenyeli, a többit meg továbbdobja a támadott célszervernek. Vagyis nem hullik el a megtámadott szerver/link, de az ISP-hez bejövő akárhány giga forgalom ezen a cuccon landol. Csak addig jó ez is, amíg az ISP nemzetközi uplinkjei nincsenek eldugítva.
Baszott jó és baszott drága.

Láncos kutyának híttuk a cégnél, terheléses tesztekhez volt rendszeresítve... csak levettük róla a pórázt, rámutattunk egy szerverre, hogy "Bodri, öl!", és a szerver meg is feküdt pillanatok alatt, de igazából Layer7 alatt volt csak ereje... egy checkbox volt a szimulált DDoS támadás indítása... :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

( pepelopez | 2011. 09. 03., szo – 20:55 )

Lehet valaki torrent klienst futtat a szervereden. :)