UDP флоод

[talibana]

from tcpdump

http://cs-reload.org/flood/flood.txt

и пак върви 500mbits... и флод нямаше 3-4 дни и се започна пак явно искат да ме откажат на 100%... ; )

Редактирано 8 Юли, 2012 от talibana

[111111]

да ти изредя малко недостатъци в сайта надявам се после да ти увре че смяната на ип е най добро решение

1, http://cs-reload.org/lgsl/ не съдържа robots.txt който да забранява индексиране .

2, Същата страница има текстов линк, съдържащ адреса вместо снимка на същия същото се отнася и за имената на картите.

3, няма външна статистика на сайта (може би ползваш и вътрешна като Webalizer или AWStats)

4. всички услуги на 1 ИП (най-недомисленото от пред изброените)

научи се да ползваш Google Url Shortener за редирект на вътрешните линкове в самата страница затруднява паяците

Общо взето не я играя тая игра, и не знам какви са ти познанията към нея.

Но познанията относно web защита в страницата са под всякаква критика,

а наличието на флууд го доказва.

[computer]

колега 111111, не мисля че човека го флудят защото не му харесват сайта, нито защото случайно им е попадно неговото ип случайно, нито пък мисля че засягането на темата с уеб сайта има нещо общо с удп флуда

talibana, единствения начин да се отървеш от проблема е да се свържеш с интернет доставчика си и той да ти съдейства бързо и без въпроси и така докато удп флуда не спре завинаги, като се свърже с лицата (доставчиците нагоре по веригата). Ако доставчика ти не го интересува твоя проблем, просто го смени

[waxman]

Тези мегалан, нали са длъжни да ни осигуряват интернет и при евентуален проблем да съдействат за разрешаването... към кого трябва да се обърнем за да не си затварят очите.. а момчето примеерно ако е на договор и има още половин година..какво да направи да плати 200 лева и да смени доставчика..трябва някой да се сръчка за да се стегнат малко..

[hgd]

Waxman - при такива случи доставчиците помагат, защото и те са потърпевши.

А за договора - зависи какъв е. Ако е на промоция, сори, но ако не е - по новите изменения - 30 дневно предизвестие и чао.

Не, че това ще стресне Мегалан да помогне.

P.S. Комисията за защита на потребителя и КРС малко трудно могат да помогнат, защото няма в закона точка, че "Интернет доставчика трябва да предпазва абоната си от външни атаки, вируси и т.н.". Всъщност такава точка вече се намесва в цензурата - за някой трафика е полезен, за други не е и т.н.

[kostov]

Здравейте колеги,

Следя тази тема от както колегата @talibana ми я беше дал линк. Той вчера си реши проблема, като след хилядите опити успя да убеди доставчика му, тоест Megalan да спре международния.

Пиша във връзка със това, че днес получих същата аката към мой машини и понеже работя като системен администратор в корпоративна хостинг фирма, моите машини са колокирани в сървърното на фирмата, със това имам в предвид, че ресурса ми е доста по-голям от на колегата @talibana и успях да локализирам атаката или поне така смятам.

Флууда беше насочен на UDP порт 27005, след което огромния флууд успя да ми запълни международния канал и трябваше да работя съвместно с нашия доставчик, след като ги помолих да блокират 27005 порт при тях, тогава започнаха да излизат при мен точно 4 адреса, 3 от тях Руски и един Гръцки, които не правеха трафик или голям брой пакети, просто да го наречем "слухтяха" крайната точка, тоест адреса от моята мрежа. След блокирането на тези адреси в рутиращата машина, тоест Gateway-а флууда изчезна тотално.

Защо го пиша това в тази тема. Видях, че специално тази тема е индексирана най-добре в Google и сметнах за добре да дам малко повече информация на тези които тепърва ще се борят с този проблем.

Адресите които засякох са следните:

83.222.109.4 -- Руски

83.222.109.35 -- Руски

95.31.24.57 -- Руски

84.254.41.173 -- Гръцки

[Semoff]

Аз лично съм си направил BlackList като засека подобни атаки просто добавям IP-тата в тази листа и ги блокирам от бордера.

Не е перфектно решение, но за мен работи.

Естествено ботнета няма начин за филтрация, освен с лимит на заявки в минута/секунда по услуги

[computer]

конкретно на ниво BGP4 има варианти да се спре анонса на ресурса към определена дестинация, така доставчика спира конкретно този проблем, без да продължава да губи ресурса

Без значение какъв е договора, доставчика трябва да съдейства за разрешаване на проблема, едва ли 500мбит/с интл. са домашна тарифа.

Блокирането на ниво firewall върши работа само докато ти имаш повече ресурс от атакуващия

[sftt]

Аз имам няколко въпроса към теб?

1. атаките от колко време продължават . Тоест назад в времето.

2. Сороса за цс сървър от къде е и как е компелиран.

3.Каква машина ползваш ?

4. Как се хоства тя?

Ако можеш да ми отговориш на тези въпроси може и да намерим един кратък път за да ти оганичим проблемите.

П.П.повече информация ще получиш след като ми отговориш на тези въпроси.

Здравейте на всички

Редактирано 9 Юли, 2012 от sftt

[kokaracha]

Ми те отговорите на 2-4 са писани в темата.Интересното е какво общо имат те със защитата от флууд-а обаче.

[sftt]

Има доста поста изписани и никмой не му е дал правилна информация.А доколкото мойте въпроси , искам да си напише наново отговорите. Човека може да е пропуснал нещо.

До kokaracha ами имат щом съм ги написал . Или според теб си чеша пръстите?

Ми те отговорите на 2-4 са писани в темата.Интересното е какво общо имат те със защитата от флууд-а обаче.

Редактирано 9 Юли, 2012 от sftt

[111111]

Това че флуда идва от Русия може да се прочете във всеки трети форум,

гледам цяла Румъния е пропищяла също.

Проблема за мен е че от толкова публичност и реклами,

сте оставили всички търсещи машини да ви индексират адресите на сървърите,

а с елементарни запитвания към търсачите те излизат чинно.

One man army не винаги е най доброто решение

[talibana]

Аз имам няколко въпроса към теб?

1. атаките от колко време продължават . Тоест назад в времето.

2. Сороса за цс сървър от къде е и как е компелиран.

3.Каква машина ползваш ?

4. Как се хоства тя?

Ако можеш да ми отговориш на тези въпроси може и да намерим един кратък път за да ти оганичим проблемите.

П.П.повече информация ще получиш след като ми отговориш на тези въпроси.

1. Атаките продължават вече 2-месец от май почнаха и не са спирали / принципно флода може да е 2-3 дни но-стоп а може да е за 2-4 часа и после да няма!

2. Платформите сам ги свалил от http://www.valvesoftware.com/ и са обновени до последната версия!

3. Машината която ползвам е 4-ядрена с 4GB рам не е някой сървър за 10000лв.но ми върши страхотна работа (linux платформа debian)

4. Хоства в вкъщи, не съм от най-богатите да я колоникирам някъде! Но и доста хора са като мен!

5. Какво повече искаш да ти кажа, като съм полудял психически вече какво ли не пробвах, и нищо не става единственото ми хоби заради което стоя на пц и единствената игра която обичам да играя това е Counter-Strike.Вече друго е,че някой иска да се гаври с мене и си прави кефа като флоодва или има някой познат с ботнет и гледа да си избута сървърите напред,това сме ние българите зависта е голямо нещо!

След като ми спряха международния атаката се промени вече не флоодват порт 27005,а бият тези на които ми слушат сървърите 27015,27016 и така нататък ето и лог и снимка от днес 9 юли! Какво повече да коментирам,те искат да спря тия сървъри и това е,ама няма да стане...

http://cs-reload.org/flood/flood2.txt

флоод към 1 часа сутринта на 10юли порта на който флоодеха 27016 бях го затоврил,но пак биеха на него!

http://cs-reload.org/flood/flood3.txt

Редактирано 10 Юли, 2012 от talibana

[kostov]

Това че флуда идва от Русия може да се прочете във всеки трети форум,

гледам цяла Румъния е пропищяла също.

Проблема за мен е че от толкова публичност и реклами,

сте оставили всички търсещи машини да ви индексират адресите на сървърите,

а с елементарни запитвания към търсачите те излизат чинно.

One man army не винаги е най доброто решение

Гледай сега, колега, дай да спрем да говорим глупости вече. Едва ли си наясно с трафика който генерира един cs сървър, тук нямат нищо общо индексиращите машини това не ти е "email спамър" , Става въпрос за дупка в сигурността на самия Engine, който позволява генерирането на пакети от външни лица, които биват запращани там където е преценил "злосторника" . Моля, нека да се придържаме към решение на проблема (Поне аз вече го намерих или така смятам), и решението не е да се смени адреса. Този който го прави, го прави с цел и е наясно кой атакува.

[111111]

Костов флуда е атака към отворен порт не към услуга

индексните машинки събират данни и ги предоставят на желаещите да ви флудят

като вие самите им предоставяте елементарен начин за откриването ви

всичко останало са съждения, не случайно има доставчици които не позволяват

услуги на определени портове