talibana Публикувано 26 Юни, 2012 Доклад Сподели Публикувано 26 Юни, 2012 (Редактирано) Здравейте на всички от много време не бях влизал,и ето ме отново съм тук защото проблемите при мен са винаги на лице,та да започвам, от известно време наблюдавам udp атаки към машината на която хоствам вече от 4 години цс сървъри, добавил съм правила всичко на линукс платформата,но просто ми запълват канала ето и снимка от миналата седмица (доставчик Мегалан) пробвах,по стринг да добавя в защитната стена да падне поне част от атаката,но всичко увисва iptables -I FORWARD -p udp -m udp -m string --algo bm --hex-string "|697d 6987 001d 0000 ffff ffff 7126 9e2a 0c30 3030 3030 3030 3330 3030 00|" -d 89.190.213.199 -i eth0 -j DROP iptables -I INPUT -p udp -m udp -m string --algo bm --hex-string "|697d 6987 001d 0000 ffff ffff 7126 9e2a 0c30 3030 3030 3030 3330 3030 00|" -j DROP или ме флоодват със много голям трафик към мене нещо от рода на снимката или нещо такова с много пакети може би щом увисва всичко пак. Просто незнам какво да направя и да сложа рутер отпред пред машината сигурно пак ще пада всичко! Ако някой може да помогне да се разбере от къде идва шибаната атака ще съм му много благодарен,но ако е някой ботнет няма оправия сигурно.Защото гледам и други хора се оплакват,но гледам някой вече са си решили проблема или просто са спряли да ги атакуват вече. tcpdump - стринг 23:21:34.664597 IP 64.116.96.39.27005 > 89.190.213.199.27015: UDP, length 21 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0031 4b2d 4000 1211 4cee 4074 6027 59be .1K-@...L.@t`'Y. 0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q& 0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00 .*.00000003000. 23:21:34.664951 IP 94.77.120.66.27005 > 89.190.213.199.27015: UDP, length 21 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0031 4b2d 4000 1211 16fa 5e4d 7842 59be .1K-@.....^MxBY. 0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q& 0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00 .*.00000003000. 23:21:34.664964 IP 3.181.2.110.27005 > 89.190.213.199.27015: UDP, length 21 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0031 4b2d 4000 1211 e766 03b5 026e 59be .1K-@....f...nY. 0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q& 0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00 .*.00000003000. 23:21:34.664974 IP 189.24.185.182.27005 > 89.190.213.199.27015: UDP, length 21 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0031 4b2d 4000 1211 76ba bd18 b9b6 59be .1K-@...v.....Y. 0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q& 0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00 .*.00000003000. 23:21:34.664983 IP 150.192.199.5.27005 > 89.190.213.199.27015: UDP, length 21 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0031 4b2d 4000 1211 8fc3 96c0 c705 59be .1K-@.........Y. 0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q& 0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00 .*.00000003000. 23:21:34.664993 IP 197.26.169.68.27005 > 89.190.213.199.27015: UDP, length 21 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0031 4b2d 4000 1211 7f2a c51a a944 59be .1K-@....*...DY. 0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q& 0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00 .*.00000003000. 23:21:34.665002 IP 140.187.21.85.27005 > 89.190.213.199.27015: UDP, length 21 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0031 4b2d 4000 1211 4b79 8cbb 1555 59be .1K-@...Ky...UY. 0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q& 0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00 .*.00000003000. 23:21:34.665012 IP 145.165.12.169.27005 > 89.190.213.199.27015: UDP, length 21 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0031 4b2d 4000 1211 4f3b 91a5 0ca9 59be .1K-@...O;....Y. 0x0020: d5c7 697d 6987 001d 0000 ffff ffff 7126 ..i}i.........q& 0x0030: 9e2a 0c30 3030 3030 3030 3330 3030 00 .*.00000003000. 23:21:34.665021 IP 107.36.128.127.27005 > 89.190.213.199.27015: UDP, length 21 00:35:40.681050 IP 97.149.70.108.27005 > 89.190.213.199.27015: UDP, length 7 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0025 4b2d 4000 1211 4594 6195 466c 59be .%K-@...E.a.FlY. 0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0 0x0030: 3230 3500 0000 0000 0000 0000 205......... 00:35:40.681072 IP 74.185.42.159.27005 > 89.190.213.199.27015: UDP, length 7 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0025 4b2d 4000 1211 783d 4ab9 2a9f 59be .%K-@...x=J.*.Y. 0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0 0x0030: 3230 3500 0000 0000 0000 0000 205......... 00:35:40.681090 IP 3.158.174.156.27005 > 89.190.213.199.27015: UDP, length 7 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0025 4b2d 4000 1211 3b5b 039e ae9c 59be .%K-@...;[....Y. 0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0 0x0030: 3230 3500 0000 0000 0000 0000 205......... 00:35:40.681109 IP 187.94.46.36.27005 > 89.190.213.199.27015: UDP, length 7 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0025 4b2d 4000 1211 0413 bb5e 2e24 59be .%K-@......^.$Y. 0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0 0x0030: 3230 3500 0000 0000 0000 0000 205......... 00:35:40.681129 IP 72.159.50.153.27005 > 89.190.213.199.27015: UDP, length 7 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0025 4b2d 4000 1211 725d 489f 3299 59be .%K-@...r]H.2.Y. 0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0 0x0030: 3230 3500 0000 0000 0000 0000 205......... 00:35:40.681272 IP 60.25.8.190.27005 > 89.190.213.199.27015: UDP, length 7 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0025 4b2d 4000 1211 a8be 3c19 08be 59be .%K-@.....<...Y. 0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0 0x0030: 3230 3500 0000 0000 0000 0000 205......... 00:35:40.681448 IP 44.169.137.25.27005 > 89.190.213.199.27015: UDP, length 7 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0025 4b2d 4000 1211 37d3 2ca9 8919 59be .%K-@...7.,...Y. 0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0 0x0030: 3230 3500 0000 0000 0000 0000 205......... 00:35:40.681471 IP 67.95.185.54.27005 > 89.190.213.199.27015: UDP, length 7 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0025 4b2d 4000 1211 f0ff 435f b936 59be .%K-@.....C_.6Y. 0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0 0x0030: 3230 3500 0000 0000 0000 0000 205......... 00:35:40.681489 IP 74.182.33.93.27005 > 89.190.213.199.27015: UDP, length 7 0x0000: 0011 6b98 8629 0030 48d2 a0df 0800 4580 ..k..).0H.....E. 0x0010: 0025 4b2d 4000 1211 8182 4ab6 215d 59be .%K-@.....J.!]Y. 0x0020: d5c7 697d 6987 000f 0000 ffff ffff 5530 ..i}i.........U0 0x0030: 3230 3500 0000 0000 0000 0000 205......... 00:35:40.681507 IP 178.116.85.128.27005 > 89.190.213.199.27015: UDP, length 7 19:26:45.055284 IP 15.109.5.132.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055323 IP 153.38.3.8.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055331 IP 84.170.11.139.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055340 IP 193.171.69.185.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055399 IP 152.49.176.91.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055407 IP 113.140.96.166.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055415 IP 1.177.97.190.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055423 IP 175.68.5.151.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055432 IP 142.64.43.69.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055441 IP 69.107.149.8.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055448 IP 74.167.32.136.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055729 IP 91.140.30.15.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055740 IP 122.136.154.26.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055748 IP 88.0.100.75.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055756 IP 92.158.89.85.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055764 IP 97.67.80.84.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055858 IP 134.164.162.145.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055869 IP 55.2.185.164.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055877 IP 32.43.144.125.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055886 IP 192.93.3.33.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055894 IP 178.1.119.3.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055901 IP 58.72.78.68.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.055998 IP 12.193.120.83.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056008 IP 18.154.59.71.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056016 IP 110.29.180.0.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056024 IP 187.198.25.79.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056032 IP 87.124.141.18.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056271 IP 128.188.90.123.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056281 IP 153.102.190.87.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056289 IP 194.88.163.61.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056297 IP 35.139.125.38.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056374 IP 32.12.173.171.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056397 IP 57.122.182.159.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056406 IP 35.104.23.129.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056413 IP 97.182.183.90.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056422 IP 38.149.6.4.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056674 IP 143.117.54.19.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056685 IP 5.3.53.153.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056692 IP 110.173.168.159.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056701 IP 50.97.141.178.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056710 IP 73.80.54.28.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056716 IP 198.88.193.130.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056771 IP 184.51.91.63.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056973 IP 142.22.198.18.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056983 IP 139.13.24.94.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056991 IP 131.104.138.160.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.056999 IP 66.8.39.131.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.057007 IP 76.186.85.59.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.057015 IP 73.90.102.191.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.057023 IP 35.133.91.181.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.057031 IP 67.124.29.39.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.057038 IP 123.110.195.132.27005 > 89.190.213.199.27015: UDP, length 21 19:26:45.057047 IP 132.150.113.39.27005 > 89.190.213.199.27015: UDP, length 21 Редактирано 7 Юли, 2012 от talibana Адрес на коментара Сподели в други сайтове More sharing options...
Администратор 111111 Отговорено 27 Юни, 2012 Администратор Доклад Сподели Отговорено 27 Юни, 2012 първото правило е FORWARD, NAT ли имаш или прехвърляш на др. порт? От къде идва атаката от клиенти или от неясни места или определени адреси? Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Адрес на коментара Сподели в други сайтове More sharing options...
gbdesign Отговорено 27 Юни, 2012 Доклад Сподели Отговорено 27 Юни, 2012 (Редактирано) Хардуерна стена му е майката. С iptables на хост, няма да постигнеш почти нищо срещу UDP флуд. Ако ти скача CPU утилизацията, може да сложиш и линукс/бсд рутер от пред, с който да орежеш флуда да не стига до сървъра. Ако пък ти грохва мрежовата карта, замени я с по-хубава. Редактирано 27 Юни, 2012 от gbdesign Адрес на коментара Сподели в други сайтове More sharing options...
Networker Отговорено 27 Юни, 2012 Доклад Сподели Отговорено 27 Юни, 2012 Пробвай да си филтрираш пакети с големина 7 и 21, също да намалиш броя пакети в секунда към теб. “...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г. Адрес на коментара Сподели в други сайтове More sharing options...
Администратор 111111 Отговорено 27 Юни, 2012 Администратор Доклад Сподели Отговорено 27 Юни, 2012 http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables http://l7-filter.sourceforge.net/ Nmap най добре почни с това http://www.ntop.org/products/ntop/ и вземи че си инсталирай едно CACTI не да гледаш статистики отвън Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Адрес на коментара Сподели в други сайтове More sharing options...
hgd Отговорено 27 Юни, 2012 Доклад Сподели Отговорено 27 Юни, 2012 talibana, Предприетите от теб действия няма да помогнат. Да знаеш - не си единствения с подобен проблем. Преди месец ме търсиха за помощ точно за такъв проблем. В момента някой разчиства CS сървърите. При това има достъп до големи ресурси. Атаките са от ботнет мрежи - както и ти предполагаш Ти сам си го написал, но е много скрито - "но просто ми запълват канала". За това може да ти помогнат само доставчиците. При случая, когато помагах - атаката беше с повече 1Gbps международен. Тогава ISP-то на колегата беше му спрял международния, но не помогна (препълни международния на доставчика). Тогава доставчика говори със своя доставчик на международен (Telia) и го филтрираха там - по дестинация. Последно колегата разкара международния и остави само пътища до БГ мрежи, доставчика му му спря международния и чат-пат закърпи нещата. Успех ... 1 Адрес на коментара Сподели в други сайтове More sharing options...
Networker Отговорено 27 Юни, 2012 Доклад Сподели Отговорено 27 Юни, 2012 Винаги има варианти за превенция. Един извратен вариант е, да ползваш layer7 с iptables. С него си маркираш протокола на играта и всичко останало дропиш (евентуално web и някакъв access към сървъра си запазваш). Важно е когато се работи с layer7 първо да маркираш трафика с някакъв маркер (понеже е необходимо малко време за разпознаване на конкретния вид протокол - в случая halflife) и тогава да приемаш действия с този маркер. Ако го правиш на локалната машина може да работиш с MARK на iptables, ако се разбереш с доставчика да ти го маркира, те могат да ти го маркират с DSCP (MARK-а важи само за локалната машина) - това е по-чистия вариант ако се навият. Самия протокол halflife се маркира коректно - преди време като си правих QoS го ловеше без ядове. Проверката на верния трафик в такова количество трафик ще отнема много ресурс на сървъра! “...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г. Адрес на коментара Сподели в други сайтове More sharing options...
NetworkPro Отговорено 27 Юни, 2012 Доклад Сподели Отговорено 27 Юни, 2012 Networker, няма нужда: ... "но просто ми запълват канала". За това може да ти помогнат само доставчиците. ... - Адрес на коментара Сподели в други сайтове More sharing options...
Тодор Лазаров Отговорено 27 Юни, 2012 Доклад Сподели Отговорено 27 Юни, 2012 (Редактирано) ако спреш dport 27015 iptables -A INPUT -p udp -s port 27005 --dport 27015 -j DROP и ако продължава на вътре: iptables -A FORWARD -p udp -s port 27005 --dport 27015 -j DROP Редактирано 27 Юни, 2012 от Тодор Лазаров Адрес на коментара Сподели в други сайтове More sharing options...
Администратор 111111 Отговорено 27 Юни, 2012 Администратор Доклад Сподели Отговорено 27 Юни, 2012 в такива случаи помага модернизиране на услугата с клиент за сега си смени ИП-то като начална превенция 1 Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Адрес на коментара Сподели в други сайтове More sharing options...
MiPSus Отговорено 27 Юни, 2012 Доклад Сподели Отговорено 27 Юни, 2012 НЯМА КАК ДА СПРЕШ ВХОДЯЩ ТРАФИК !!! Смени си IP-то , друго няма да помогне 1 ... и яз можем, и тате може, ма козата си сака пръч! Адрес на коментара Сподели в други сайтове More sharing options...
Администратор 111111 Отговорено 27 Юни, 2012 Администратор Доклад Сподели Отговорено 27 Юни, 2012 При смяна на ИП-то не пренасочвай DNS запис към новото ИП Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Адрес на коментара Сподели в други сайтове More sharing options...
waxman Отговорено 27 Юни, 2012 Доклад Сподели Отговорено 27 Юни, 2012 А не може ли да се хванат по някакъв начин тези индивиди, да хванем някак реалния адрес.. Адрес на коментара Сподели в други сайтове More sharing options...
Администратор 111111 Отговорено 27 Юни, 2012 Администратор Доклад Сподели Отговорено 27 Юни, 2012 А не може ли да се хванат по някакъв начин тези индивиди, да хванем някак реалния адрес.. ботнет мрежата включва много адреси не един Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Адрес на коментара Сподели в други сайтове More sharing options...
Semoff Отговорено 27 Юни, 2012 Доклад Сподели Отговорено 27 Юни, 2012 Ако хостваш само в BG е лесно. Изкарваш си от BGP-то (ако имаш) или от някъде другаде IP адресите в България и всичко останало дропиш. Ако хостваш за цял свят ... *бало си ма*ата Адрес на коментара Сподели в други сайтове More sharing options...
Recommended Posts
Създайте нов акаунт или се впишете, за да коментирате
За да коментирате, трябва да имате регистрация
Създайте акаунт
Присъединете се към нашата общност. Регистрацията става бързо!
Регистрация на нов акаунтВход
Имате акаунт? Впишете се оттук.
Вписване