Jump to content

Уникално силна DDoS атака!


muonplex

Recommended Posts

Здравейте от 2 часа насам имаме проблем в мрежата. Пробвано е около 9280 пъти да се пробие SSH паролата на една от машините.. от това ip: 183.136.216.6

Според мен е някакъв бот. Реших, че ако добавя drop правило за това ip нещата ще се оправят, но уви..

 

Атаките са толкова силни, че един от рутерите се рестартира заради CPU на 100%. Наложи се да спрем уебсървър-а, към който се регистрират атаките. След включването му в мрежата, атаките след първата минута са ненормални просто.

 

Има ли някаква оправия или да им пусна атомна бомба на китайците :)

Link to comment
Share on other sites

Има да - смени порта на ssh и махни правилото за drop.

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Link to comment
Share on other sites

Има да - смени порта на ssh и махни правилото за drop.

Правилото за drop, към атакуващото ip ли? Също така забелязах в Connection's някакви съобщения: syn sent, syn reserved..

Link to comment
Share on other sites

Да, освен да си товариш cpu-то към момента на рутера ти друго не правиш и реално той го отнася. Нали но ти си решаваш, защото явно бордера ти е слаб и не може да понесе трафика.

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Link to comment
Share on other sites

:)  Сменяш порта и си слагаш access list за ssh и всички услуги, които смяташ, че не е необходимо друг да ги достъпва. Повече подробности тук

Link to comment
Share on other sites

Ясно, благодаря за отговорите, ще пробвам да сменя порта.

Иначе доста портове са ми отворени, защото машината е уеб сървър.. Има mail, dns, ftp и доста други неща.

 

@Mihail, забелязвам, че това го има вписано..

/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32  
action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d
Link to comment
Share on other sites

Микротик и ddos атаки, интересна тема... :)))

Може да не е DDoS не знам какво е но все още оправия няма. :)

Забраних правилата в nat-а за ssh и нещата продължават. Включи ли се машината, която е атакувана в мрежата, за 1 минута става страшно просто..

 

Забравих да кажа, че машината е с най-новата версия на CentOS, 7, което ме навежда на мисълта, че може да е измислена някоя простотия нова, която да го скапва. :)

Edited by muonplex
Link to comment
Share on other sites

Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт...

Ако е лесно, не е интересно :)

Link to comment
Share on other sites

Защо просто не звъннеш на доставчика си да вземе необходимите мерки?

Link to comment
Share on other sites

Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт...

Няма как да проверя, защото докато стигна до статистиката и тя започне да се пълни borda ме disconnect-ва, защото вече се е претоварил от конекциите.

 

@Tsunami направено е това вече, отдавна трябваше да получа обаждане ама като гледам..

Link to comment
Share on other sites

  • Administrator

Ъплоуда ако не ти е зле директно му редиректвай ;)

забрани ICMP протокола глобално

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

заради подобен проблем вече 22 се отваря само с чук-чук на определен порт.

Това отваря към почукващото ип 10 сек прозорец за логване.. и това е.

А какъв е смисъла да имаш микротик пред майл, веб и етк и  да форвардваш

вече е съвсем отделна тема ;)

  • Like 1
Link to comment
Share on other sites

Извадихме лог, прегледахме го и вече са блокирани няколко ip-ta, като положението за момента е нормализирано. Flood-а определено продължава и се забелязват логовете и в момента, но всичко е добре за сега.

Мисля да обърна доста внимание на този проблем, дори ако се налага и по-голяма инвестиция, защото това е ужас..

 

@111111, как може да се получи това с ICMP протокола?

 

@Mile, не мога да ти дам точен отговор, но например в някои случай, за да не използваш iptables на машината :)

Link to comment
Share on other sites

Ако идеята е защита... то тази тема нямаше да съществува.

В случая дали само ще те напрягат за логване или ще ти задръстят

канала е все тая. С микротик-а само усложняваш постановката и

печелиш една трудно обяснима безмислица. Вероятно е забавно

да се залага кое ще падне първо или пък в каква последователност,

но полза не виждам.

 

Сега относно "нормализирането".. ми то е два часа нощеска ;)

Изчакай утре до към 6-7 вечерта и пак пиши как е. Никой няма да те

флуди, когато смисъла клони към нула.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.