DOS & DDOS атаки

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kozak
сержант
Сообщения: 240
Зарегистрирован: 2007-07-20 15:22:54
Откуда: Запорізька Січ

DOS & DDOS атаки

Непрочитанное сообщение kozak » 2009-04-08 13:03:04

Тут на днях неприятная штука случилась... Наши партнеры анонсировали запуск нового веб-проекта, параллельно запустив рекламу по сети на немалую сумму. Конкуренты не стали загоняться и... наняли хакера(ов), который уже неделю DDOS атаками вешает серверы.

Они там что-то вроде уже предпринимают, вроде как СБУ подключили, но пока хакер деньги не отработает, это вряд ли прекратится.

В отличае от "разрушителей" я, как и большинство "создателей", хочу заранее позаботиться о безопасности своих систем в которые пол жизни вложено! :ROFL:

Предлагаю обсудить методы защиты для предотвращения подобных действий злоумышленников.
Діла добрих оновляться, Діла злих згинуть. Т. Г. Шевченко.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение Shuba » 2009-04-08 15:49:55

По-моему самым простым решением будет сделать скрипт, который смотрит, откуда ддосят и закрывает доступ с данного адреса фаером.
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: DOS & DDOS атаки

Непрочитанное сообщение Laa » 2009-04-08 16:25:38

Плохая идея закрывать "фаером".
Потому что DoS-атака забьет сперва полосу в XXXmbit/s или в ZZZ packets per second, а затем будет резаться на fbsd "фаером". То есть сервис уже "не жилец" в такой ситуации.

Это очень сложный вопрос на самом деле.
Для этого akamai.com и другие мега-хостеры имеют несколько датацентров в разных странах с полным зеркалированием всего, с резервированием ДНС и реагированием на атаки. Типа в ДНС записи живут не долго, в случае атаки на одну группу адресов записи в ДНС меняются на другую группу, атака заканчивается и все восстанавливается.

Возможно, если у провайдера толстый и мощный канал, который известно что не за-ДОС-ят, то можно поставить какой-нить CARP-сервер, который будет раскидывать запросы на несколько серверов внутри. Но я такого не делал, только слышал.

Важно понимать, что атака приходит к провайдеру практически на всю полосу его входящего линка, а потом упирается в полосу входящего линка клиента. :(
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение ProFTP » 2009-04-08 16:38:54

от больщих атак слышал что сиськи провайдера защищают

а что досят вер сервер?

если веб сервер, то бери айпи, определяей подсеть и бани нах в ipfw
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: DOS & DDOS атаки

Непрочитанное сообщение Laa » 2009-04-08 16:54:01

Когда досят веб-сервер, то поток идет с X-тыщ ip-адресов. За логами не то что уследить, даже моргнуть не успеешь при таком потоке, а еще нужно попытаться понять, кто из этого потока нормальный, а кто дос-ер. :( А пока понял, этот список уже поменялся. И рубить таки это надо все не после того как оно пришло в локальную сетевушку, а "до", так как когда пришел весь этот ДОС -- рубить уже поздно, 100mbit/1gbit уже схаваны будут. :cz2:

Провайдеры сейчас имеют потоки в несколько гбит, и ставить циску для анализа ТАКОГО потока не каждый позволит себе. Если и позволит, то выполнять защиту от ДОС начнут думаю не быстро и скорее всего за деньги...
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение Alex Keda » 2009-04-08 17:51:09

редко так ддосят.
я видел - максимум - 15000 хостов примерно.
машина уходила в себя мгновенно.
просил в датацентре выдернуть шнурок, перезагрузить, ввести

Код: Выделить всё

ipfw add 1 deny tcp from any to me 80
потом воткнуть шнурок.
далее анализ логов, внесение в таблицу всех хостов что удалось поймать - разрешение соединений по 80 порту с лимитом 1 сессия на рыло - в бэкгроунд

Код: Выделить всё

sleep 3 && ipfw add 1 deny tcp from any to me 80 &
снова анализ логов.
за час управился.
дальше уже проще - скриптом новые потихоньку докидывались и всё.
три дня трафф входящий был больше исходящего =))
несколько сотен пакетов в секунду... если мне память не изменяет...
потом сообразил что они резольвят хост через DNS этой же машины - прописал для хостов из таблицы отдавать IP яндекса =))
дальше уже были проблемы яндекса =)))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: DOS & DDOS атаки

Непрочитанное сообщение Laa » 2009-04-08 18:14:26

Надо было в ДНС отдавать им 127.0.0.1, во забава бы была... :-D :-D :-D
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение Alex Keda » 2009-04-08 18:43:41

а толку?
там виндовые тачки. у них нет вебсервера на локалхосте...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
helloworld
ст. сержант
Сообщения: 368
Зарегистрирован: 2007-10-03 8:06:37
Откуда: Northern Colorado

Re: DOS & DDOS атаки

Непрочитанное сообщение helloworld » 2009-04-08 19:17:56

lissyara писал(а):редко так ддосят.
прописал для хостов из таблицы отдавать IP яндекса =))
дальше уже были проблемы яндекса =)))
валяюсь :-D :ROFL: :ROFL: :ROFL:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение Alex Keda » 2009-04-08 19:29:34

где-то в /dev/null тема должна валяться - про то как два бинда поднять на одном хосте с разными конфигами...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: DOS & DDOS атаки

Непрочитанное сообщение Laa » 2009-04-08 21:52:27

lissyara писал(а):а толку?
там виндовые тачки. у них нет вебсервера на локалхосте...
Та дерьмо бы это не расползалось бы за пределы зараженного компа...
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: DOS & DDOS атаки

Непрочитанное сообщение reLax » 2009-04-11 20:15:21

Ну DDOS как правило сложно (почти нереально) убить. DDOS - это ботнет, как правило, при правильно поставленной "атаке" тот же самый банальный SSH брутфорс будет у тебя капать раз в 0.03 секунды с разных адресов со всего мира :) А уж HTTP завалить GET'ом...как 2 пальца обоссать (с ботнетом).

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение ProFTP » 2009-04-11 21:15:43

ну там в принципе по хитрому можно попробовать

поставить кнопку JS скрипт

бот как правило не компилирует у себя Ява скрипт, (это можно сделать) если зашел айпи и если кнопка не сработала, значит это не браузер, то банить его надо сразу ipfw, не знаю на сколкьо эффективно будет!!
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение Alex Keda » 2009-04-11 22:45:23

reLax писал(а):Ну DDOS как правило сложно (почти нереально) убить. DDOS - это ботнет, как правило, при правильно поставленной "атаке" тот же самый банальный SSH брутфорс будет у тебя капать раз в 0.03 секунды с разных адресов со всего мира :) А уж HTTP завалить GET'ом...как 2 пальца обоссать (с ботнетом).
я тебе привёл пример что можно сделать и как.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение f_andrey » 2009-04-11 23:00:19

А вот тут показано как с этой напастью борятся взрослые дядьки :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
kozak
сержант
Сообщения: 240
Зарегистрирован: 2007-07-20 15:22:54
Откуда: Запорізька Січ

Re: DOS & DDOS атаки

Непрочитанное сообщение kozak » 2009-04-14 13:55:23

f_andrey писал(а):А вот тут показано как с этой напастью борятся взрослые дядьки :)
Вот именно что взрослые дядьки....
Для того чтобы "повесить" такой дата-центр нужно как минимум атомную бомбу :smile: !

А если серьезно, то понятно что все дело в деньгах! Чем их больше тем каналы больше и толще, тем тачки сильнее.
Но... речь идет о защите того что имеем, да и время сейчас не совсем то чтоб строить второй дата-центр в Техасе :smile: .

Суть вопроса в том, есть ли сейчас универсальный способ защиты от DDOS атак, проводя минимум времени в папке "/var/log" ??? :pardon:
Діла добрих оновляться, Діла злих згинуть. Т. Г. Шевченко.

hanko
рядовой
Сообщения: 36
Зарегистрирован: 2008-12-04 13:44:18

Re: DOS & DDOS атаки

Непрочитанное сообщение hanko » 2009-04-14 16:05:03

В целом защита от DDOS это задача хостера или провайдера если ты сам таковым не являешься, самый лучший функционал по защите от данных атак есть у CISCO, там у них спец тачилы есть для этого

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение zingel » 2009-04-14 16:22:21

Ну чтобы повесить такой ДЦ, нужна полоса больше 2 Gbps, тоесть около 200 тысячь хостов и этот ДЦ ляжет, это первое.
Суть вопроса в том, есть ли сейчас универсальный способ защиты от DDOS атак
Нет и не будет.
Надо было в ДНС отдавать им 127.0.0.1, во забава бы была... :-D :-D :-D
И слёг бы DNS под нагрузкой.
я видел - максимум - 15000 хостов примерно.
Видел в своей жизни полосу в 850Mbit/sec.
просил в датацентре выдернуть шнурок, перезагрузить, ввести
Просить нужно фильтровать на апстриме.

Код: Выделить всё

ipfw add 1 deny tcp from any to me 80
не спасёт не от чего.
Провайдеры сейчас имеют потоки в несколько гбит, и ставить циску для анализа ТАКОГО потока не каждый позволит себе. Если и позволит, то выполнять защиту от ДОС начнут думаю не быстро и скорее всего за деньги...
Нет, имея защиту от DDoS/Malware для своих клиентов провайдер автоматом получает бонус и больше клиентов, нужна всего 1 кошка на апстриме, это CISCO Guard XT 5650, стоит она от 60 000 $ поверь мне, это окупится быстро.
Возможно, если у провайдера толстый и мощный канал, который известно что не за-ДОС-ят, то можно поставить какой-нить CARP-сервер, который будет раскидывать запросы на несколько серверов внутри. Но я такого не делал, только слышал.
Достаточно иметь своих людей или пиринг с региональными MAN-операторами.
Важно понимать, что атака приходит к провайдеру практически на всю полосу его входящего линка, а потом упирается в полосу входящего линка клиента. :(
Это плохой провайдер потому, что у хорошего есть резерв такой же толщины или 2.



Код: Выделить всё

методы защиты
Я могу предложить экономные варианты, например

а)Зеркала в других компаниях не имеющих прямых связей между своими AS или хотя бы на расстоянии больше 6-8 хопов, чем больше зеркал тем лучше
б)Смена адресов стартапа или динамизирование адресного пространства с распараллеливанием ptr-записей
в)Контакты с NOC Вашего провайдера с просьбой закрыть на апстриме то что можно в такой ситуации
г)Перехват ботнета (сложно достаточно).
Z301171463546 - можно пожертвовать мне денег

Sadok123
сержант
Сообщения: 177
Зарегистрирован: 2008-09-04 10:59:32

Re: DOS & DDOS атаки

Непрочитанное сообщение Sadok123 » 2009-04-14 16:57:54

ProFTP писал(а):ну там в принципе по хитрому можно попробовать

поставить кнопку JS скрипт

бот как правило не компилирует у себя Ява скрипт, (это можно сделать) если зашел айпи и если кнопка не сработала, значит это не браузер, то банить его надо сразу ipfw, не знаю на сколкьо эффективно будет!!
ДЗ на выходные: "Назовите минимум 2 браузера, не поддерживающих JavaScript."

А вообще, за такие проверки уеб-умельцев надо сажать на кол.

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение buryanov » 2009-04-14 20:34:10

У CheckPointa есть фичи для мониторинга http трафика, сервера конечно спасёшь, но вот канал :cry:
Меня несколько раз атаковали по ssh. У меня висит скрипт, который раз в 5 минут банит ip, если есть 2 неудачные попытки за этот период, плюс ограничение на колличество соединений с одного ip.
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

none
проходил мимо

Re: DOS & DDOS атаки

Непрочитанное сообщение none » 2009-04-26 18:57:32

Laa писал(а):Надо было в ДНС отдавать им 127.0.0.1, во забава бы была... :-D :-D :-D
и это правильное решение, если по другому не справляешься, такой способ называет: занульроутить.
И слёг бы DNS под нагрузкой.
с чего это вдруг?
потом сообразил что они резольвят хост через DNS этой же машины - прописал для хостов из таблицы отдавать IP яндекса
не стыдно? а должно быть.

Аватара пользователя
kabachok
мл. сержант
Сообщения: 148
Зарегистрирован: 2009-01-20 2:13:18
Откуда: msk.ru
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение kabachok » 2009-04-27 12:54:54

none писал(а):
потом сообразил что они резольвят хост через DNS этой же машины - прописал для хостов из таблицы отдавать IP яндекса
не стыдно? а должно быть.
Надо было на буржуйский правительственный сайт завернуть, ну или на наш, чтобы с ними особые отделы разбирались :D

Ну а вообще, как выше написано, нужно ставить или арендовать (Caravan) GUARD
Последний раз редактировалось kabachok 2009-04-29 11:40:13, всего редактировалось 1 раз.
Мы стены ломаем силой ума. © Кирпичи.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: DOS & DDOS атаки

Непрочитанное сообщение Morty » 2009-04-27 15:04:19

из решений которые более - менее доступны
вот это http://dreamcatcher.ru/bsd/012_obsd.html наверно лучший выбор

Ocr
проходил мимо

Re: DOS & DDOS атаки

Непрочитанное сообщение Ocr » 2009-04-29 11:37:48

CAPR это реализация отказоустойчивости и балансировки... в защите от DDOS мало как может помочь.
небольшую DDOS атаку на 50к подключений хороший сервер(с грамотным фаером) переживет с толстым каналом. Что то серьезнее, то сервак будет не доступен и кошка может порт положить... много, что может быть, но защита от DDOS в полном понимание этого смысла это задача провайдеров. Клиент никак от нее не защититься.

Максимум что можно сделать, это реализовать защиту, чтобы сервер не ушел в себя:) А это тюнинг.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: DOS & DDOS атаки

Непрочитанное сообщение Alex Keda » 2009-04-29 20:06:49

none писал(а):
потом сообразил что они резольвят хост через DNS этой же машины - прописал для хостов из таблицы отдавать IP яндекса
не стыдно? а должно быть.
ничуть. им не стыдно банить все *.lissyara.su?
а мне должно быть стыдно за то что я их адресок отдал?
не. ребята не могут програмно решить свои проблемы - в итоге банят сайты. пусть у гугла учаться =)
Убей их всех! Бог потом рассортирует...