Jump to content
muonplex

Уникално силна DDoS атака!

Recommended Posts

muonplex

Здравейте от 2 часа насам имаме проблем в мрежата. Пробвано е около 9280 пъти да се пробие SSH паролата на една от машините.. от това ip: 183.136.216.6

Според мен е някакъв бот. Реших, че ако добавя drop правило за това ip нещата ще се оправят, но уви..

 

Атаките са толкова силни, че един от рутерите се рестартира заради CPU на 100%. Наложи се да спрем уебсървър-а, към който се регистрират атаките. След включването му в мрежата, атаките след първата минута са ненормални просто.

 

Има ли някаква оправия или да им пусна атомна бомба на китайците :)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
sairos

Има да - смени порта на ssh и махни правилото за drop.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Има да - смени порта на ssh и махни правилото за drop.

Правилото за drop, към атакуващото ip ли? Също така забелязах в Connection's някакви съобщения: syn sent, syn reserved..

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
sairos

Да, освен да си товариш cpu-то към момента на рутера ти друго не правиш и реално той го отнася. Нали но ти си решаваш, защото явно бордера ти е слаб и не може да понесе трафика.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Mihail Peltekov

:)  Сменяш порта и си слагаш access list за ssh и всички услуги, които смяташ, че не е необходимо друг да ги достъпва. Повече подробности

Моля, влезте или се регистрирайте, за да видите този link.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Ясно, благодаря за отговорите, ще пробвам да сменя порта.

Иначе доста портове са ми отворени, защото машината е уеб сървър.. Има mail, dns, ftp и доста други неща.

 

@Mihail, забелязвам, че това го има вписано..

Моля, влезте или се регистрирайте, за да видите този code.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Микротик и ddos атаки, интересна тема... :)))

Може да не е DDoS не знам какво е но все още оправия няма. :)

Забраних правилата в nat-а за ssh и нещата продължават. Включи ли се машината, която е атакувана в мрежата, за 1 минута става страшно просто..

 

Забравих да кажа, че машината е с най-новата версия на CentOS, 7, което ме навежда на мисълта, че може да е измислена някоя простотия нова, която да го скапва. :)

Редактирано от muonplex

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
SubmitBG

Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт...

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Tsunami

Защо просто не звъннеш на доставчика си да вземе необходимите мерки?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт...

Няма как да проверя, защото докато стигна до статистиката и тя започне да се пълни borda ме disconnect-ва, защото вече се е претоварил от конекциите.

 

@Tsunami направено е това вече, отдавна трябваше да получа обаждане ама като гледам..

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
111111

Ъплоуда ако не ти е зле директно му редиректвай ;)

забрани ICMP протокола глобално

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Mile

заради подобен проблем вече 22 се отваря само с чук-чук на определен порт.

Това отваря към почукващото ип 10 сек прозорец за логване.. и това е.

А какъв е смисъла да имаш микротик пред майл, веб и етк и  да форвардваш

вече е съвсем отделна тема ;)

  • Харесай 1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Извадихме лог, прегледахме го и вече са блокирани няколко ip-ta, като положението за момента е нормализирано. Flood-а определено продължава и се забелязват логовете и в момента, но всичко е добре за сега.

Мисля да обърна доста внимание на този проблем, дори ако се налага и по-голяма инвестиция, защото това е ужас..

 

@111111, как може да се получи това с ICMP протокола?

 

@Mile, не мога да ти дам точен отговор, но например в някои случай, за да не използваш iptables на машината :)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Mile

Ако идеята е защита... то тази тема нямаше да съществува.

В случая дали само ще те напрягат за логване или ще ти задръстят

канала е все тая. С микротик-а само усложняваш постановката и

печелиш една трудно обяснима безмислица. Вероятно е забавно

да се залага кое ще падне първо или пък в каква последователност,

но полза не виждам.

 

Сега относно "нормализирането".. ми то е два часа нощеска ;)

Изчакай утре до към 6-7 вечерта и пак пиши как е. Никой няма да те

флуди, когато смисъла клони към нула.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
kokaracha

С тия блок правила само си товарите излишно сапунрките :)

 

*Hint

 

/ip route add dst-address=net/mask type=blackhole

  • Харесай 1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Ако идеята е защита... то тази тема нямаше да съществува.

В случая дали само ще те напрягат за логване или ще ти задръстят

канала е все тая. С микротик-а само усложняваш постановката и

печелиш една трудно обяснима безмислица. Вероятно е забавно

да се залага кое ще падне първо или пък в каква последователност,

но полза не виждам.

 

Сега относно "нормализирането".. ми то е два часа нощеска ;)

Изчакай утре до към 6-7 вечерта и пак пиши как е. Никой няма да те

флуди, когато смисъла клони към нула.

 

Тази вечер в 18:27ч. пак се опитаха да задръстят нещата. :) За момента се нормализира положението отново.. ще видим до кога.

Тези address list-ове, които са написани уж против тия неща в wiki-то на mikrotik, бяха претрупани преди малко, като ги погледнах.

 

Всичко това е умишлено на 100% от конкуренция, защото точно на тази машина стоят някои доста известни портали. :)

 

@kokaracha, би ли обяснил, какво ще върши това, което си ми дал :)

Редактирано от muonplex

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Mile

ще върши още по-добра работа това, което ти е написал ако се случи при твоя доставчик.

В случая без него няма да минеш. Не става като Мюнхаузен да се изтеглиш за косите ;)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
kokaracha

Не мога да ти обясня защото не мога да обяснявам,обикновенно когато започна да обяснявам никой не ме разбира :)

Мога да ти диагностицирам проблема обаче.

Обикновенно малки/средни доставчиците не се занимават със решаване не клиентски проблеми от тоя сорт по обектовни причини.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Не мога да ти обясня защото не мога да обяснявам,обикновенно когато започна да обяснявам никой не ме разбира :)

Мога да ти диагностицирам проблема обаче.

Обикновенно малки/средни доставчиците не се занимават със решаване не клиентски проблеми от тоя сорт по обектовни причини.

Това е ясно за доставчиците, обаче аз не съм на това дередже, за което се радвам де. Ще видя какво ще се случи до 2/3 дни и ще се обърна към хора, които ще оправят нещата :)

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
kokaracha

Абе какви/за какви 2/3 дни говориш, в хостинг бранша се говори за минути ... тия  "известни портали" от сега ги виждам как са си сменили местостоянката :)

Редактирано от kokaracha

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
emc1000

Моля, влезте или се регистрирайте, за да видите този code.

Моля, влезте или се регистрирайте, за да видите този code.

Колко пък уникално силна?

Това ип е на другия край на земното кълбо. Да не би да бъркаш нещо? ???

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

Абе какви/за какви 2/3 дни говориш, в хостинг бранша се говори за минути ... тия  "известни портали" от сега ги виждам как са си сменили местостоянката :)

Извинявай, но известните портали, не са спирали да работят.  :)

 

@emc1000, зае*и го това ip, защото flood-а се появи от съвсем други ip-та, а от това се появиха опитите за "взлом" в машината през ssh :)

 

edit: След тези 9260 опита горе/долу, имаше и още 56 отново към ssh. :)

Редактирано от muonplex

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
sairos
Колега ама ти не си смени порта и си броиш неуспешните опити, само едно много да кажа еми браво!
Тази бот мрежа ще те помпи докато има интерес. Играй си  колкото искаш с правила на микротиката ти, но това няма да ги спре!
 
 
@kokaracha коя е тази хостинг копания дето ги спира за минути, моля те назовия по име да си пусна един план при тях.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
muonplex

 

Колега ама ти не си смени порта и си броиш неуспешните опити, само едно много да кажа еми браво!
Тази бот мрежа ще те помпи докато има интерес. Играй си  колкото искаш с правила на микротиката ти, но това няма да ги спре!
 
 
@kokaracha коя е тази хостинг копания дето ги спира за минути, моля те назовия по име да си пусна един план при тях.

 

 

Това са опитите, които бяха в самото начало, т.е дори, когато не бях пуснал темата още.

Вече споменах, че нормализирахме нещата, към този момент..

 

Интересното е, че първият път, когато беше най-силно се случи около 18:00.ч вечерта, а вчера се случи отново в този час. :)

 

Edit: Сменяйте портове и каквото искате, а ето Ви резултата:

 

Last failed login: Wed Mar 18 07:00:24 EET 2015 from 115.239.228.35 on ssh:notty

There were 32 failed login attempts since the last successful login.

Last login: Wed Mar 18 06:20:01 2015 from 211.233.8.36

Редактирано от muonplex

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

By using this site, you agree to our Terms of Use.