Ma megint nem jött össze neki, szóval rám talált. Bár nagyon hízelgő, de "sajnos" nem a saját fajtámhoz vonzódom...
Történet a következő. Észrevettem, hogy így hajnal 4 felé szokatlanul nagy a csomag szám a szerveremen, hát benéztem, hogy mi a tényállás. Látom halomba áll a SYN_RECV egy rakás IP-n. Szokásos körök megfutása az iptablessel, majd kíváncsiság, hogy ezúttal honnan jött. Erre bukkantam az egyik IP whois nézegetésekor:
route: 195.211.221.1/32
descr: Ddos Zashita Ltd.
origin: AS50098
mnt-by: DZ-MNT
source: RIPE # Filtered
Szóval ez kimondottan DDoS-ra nyitott boltot. ejj, valamit biztos jól csinálok...
Kéne nézni valamit ami automatice berámolja az ilyet iptables megfelelő pontjába. Ha van ötlet, senki ne tartsa magába, bár nem létfontosságú egy kérdéshez...
- lajos22 blogja
- A hozzászóláshoz be kell jelentkezni
- 1320 megtekintés
Hozzászólások
Én nem használom, de szerintem fail2ban al meg lehet ilyet oldani.
- A hozzászóláshoz be kell jelentkezni
DDos védelem Layer7-ben egy elég kockázastos vállalkozas.
- A hozzászóláshoz be kell jelentkezni
Nekem is ez volt az első tippem, de lemondtam róla. Nem logol sehova IP-t a gép ilyenkor, és a f2b nem tudja honnan kiolvasni. bár netstat kimenetet talán tudna olvasni, de annyira nem vágom a lelkivilágát, hogy tudjam hogy erre hogy lehet rávenni.
--
openSUSE 12.2 x86_64
- A hozzászóláshoz be kell jelentkezni
1. iptables tud logolni max syslogban kicsit meg kellene formázni
2. utána megdosolnak ns/átjáró/saját ipdről és volt egy géped (nyilván ha ezeket alapból engeded akkor is tudnak olyan címről dosolni ami neked fáj), továbbra is synproxy
3. ha kis támadásról van szó akkor iptablesben megfoghatod simán csak egy ratelimit + egy set kell ahova gyűjtöd az ipket (ezt is iptables töltené fel) ezt követően pedig a set tartalmára drop
- A hozzászóláshoz be kell jelentkezni
1, arra még nem jöttem rá, hogy logol addig az iptables, amíg nincs az IP ről DROP-ba külön szabály?
2, értem. igaz, a saját címes dologra nem gondoltam. Majd megismerkedem közelebbről a synproxyval.
3, ok, ránézek erre is.
--
openSUSE 12.2 x86_64
- A hozzászóláshoz be kell jelentkezni
milyen portokra jon a tamadas?
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
Egyszerűbb lenne felsorolni azt amire nem :) Főként 80, 443, de jócskán akadt 53, 25, 993 stb...
--
openSUSE 12.2 x86_64
- A hozzászóláshoz be kell jelentkezni
Az új kernel már tud synproxyt és 4-5 napja az iptables master branchbe is bekerült.
Íme:
http://lwn.net/Articles/563151/
http://lwn.net/Articles/564824/
https://git.netfilter.org/iptables/?h=master
Azóta elvileg elkészült a 1.4.21 merge is. Első probálkozások alapján sokkal jobb, mint a régi bsd-s megfelelője.
Viszont amíg egy iptables megfogja neked addig az még nem nevezhető komoly tamadásnak:)
- A hozzászóláshoz be kell jelentkezni
Kéne nézni valamit ami automatice berámolja az ilyet iptables megfelelő pontjába.
na akkor lovod meg magad extran tokon...
--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)
- A hozzászóláshoz be kell jelentkezni
Miért? Amikor kézzel beszórtam az adott IP-ket drop-ra, akkor néhány 10 másodperc múlva el is állt az addig órák óta zajló "támadás".
A címben is azért szerepel a bénázás, mert igazából megse kottyant a gépnek, pedig úgy nyomták az áldást, mint a templomba... Mindig így van, tiltok pár címet, akkor félévre megint leszáll. Egyszer gondoltam, leszarom, majd megunja. De 2 nap múlva már csak kiraktam, mert elcseszte a szép grafikonjaim :D
--
openSUSE 12.2 x86_64
- A hozzászóláshoz be kell jelentkezni
arra gondoltam, hogy ha valaki IP-cimet hamisit, akkor olyan site-oktol is elvaghat teged, amitol nem akaranad, pl. a szolgaltatod dns szervere, google, stb. Egy automatikus blokkolas csak akkor ved meg az on tokon lovestol, ha eleg IQ-t pakoltak bele. Mondjuk egy jo 15 eve divatos syn flood jo esellyel script kolyok komolytalan toketlenkedese...
--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)
- A hozzászóláshoz be kell jelentkezni
> Szóval ez kimondottan DDoS-ra nyitott boltot. ejj, valamit biztos jól csinálok...
zashita -> защита -> védelem
Nem jó reklám. :)
- A hozzászóláshoz be kell jelentkezni
A gugli fordító nem ismerte fel miez a szó. Gondoltam valami név.
--
openSUSE 12.2 x86_64
- A hozzászóláshoz be kell jelentkezni