под DDOSом ...

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

под DDOSом ...

Непрочитанное сообщение risk94 » 2010-06-15 20:56:17

ICMP, UDP трафф ~ до 80 мегабит ....
Че делать?
Последний раз редактировалось f_andrey 2010-06-16 7:14:32, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения. оформляйте сообщен е по человечески, приводите полную диагностику, больше логов больше вероятности ответа, а не флуда

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: под DDOSом ...

Непрочитанное сообщение LMik » 2010-06-15 21:21:32

Блочить у провайдера.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: под DDOSом ...

Непрочитанное сообщение risk94 » 2010-06-16 1:12:56

LMik писал(а):Блочить у провайдера.
пока закрыл фаером. посморим че дальше ...

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: под DDOSом ...

Непрочитанное сообщение Burner » 2010-06-16 5:43:09

чего тогда спрашивать было..

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: под DDOSом ...

Непрочитанное сообщение risk94 » 2010-06-16 9:18:24

Burner писал(а):чего тогда спрашивать было..
для того чтобы послушать мысли умных людей, изент ит?

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: под DDOSом ...

Непрочитанное сообщение Burner » 2010-06-17 7:15:07

а чего тут слушать. UDP и ICMP только дропать. Если ресурсов хватает - дропать на сервере, если нет - до сервера.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: под DDOSом ...

Непрочитанное сообщение hizel » 2010-06-17 9:07:56

если трафик пришел то он пришел, смысл его дропать на сервере?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: под DDOSом ...

Непрочитанное сообщение gonzo111 » 2010-06-17 9:39:06

навскидку
#Превращаем сервер в черную дыру. Так ядро не будет слать ответные пакеты при попытке подключиться
# к незанятым портам (снижает нагрузку на машину во время DDoS'а на случайные порты):
net.inet.tcp.blackhole=2 #0
net.inet.udp.blackhole=1 #0
#Ограничиваем число ответов на ICMP-сообщения 50-ю в секунду (защита от ICMP-флуда):
net.inet.icmp.icmplim=50
#Увеличиваем максимальное количество подключений к серверу (защита от всех видов DDoS):
kern.ipc.somaxconn=1024 #128

Код: Выделить всё

${fwcmd} add 11 allow udp from any to me 1,2,3,53.... limit src-addr 10 in recv ${oif}
как то так :Search:
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: под DDOSом ...

Непрочитанное сообщение Burner » 2010-06-17 10:16:44

hizel писал(а):если трафик пришел то он пришел, смысл его дропать на сервере?
чтоб сервер не напрягать ответами

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: под DDOSом ...

Непрочитанное сообщение hizel » 2010-06-17 10:44:48

канал все равно забивается
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: под DDOSом ...

Непрочитанное сообщение Burner » 2010-06-17 12:08:37

это никак не отменяет ресурсы сервера

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: под DDOSом ...

Непрочитанное сообщение risk94 » 2010-06-18 17:48:39

согласен, сначала позвонил прову, мол досят - обламали ждать до утра. Закрыл фаером. Регаю кучу попыток- и облом! :)

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: под DDOSом ...

Непрочитанное сообщение risk94 » 2010-06-21 20:03:30

такс, походу новая волна. дос идет тупо на шттп. по топу вижу кучи перловых процессов напроч сжирающих цпу. как раскопать что так грузит проц? какой-то корявый скрипт?

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: под DDOSом ...

Непрочитанное сообщение risk94 » 2010-06-21 20:17:36

Хотя это может и мой кривой /dev/hands Подскажите в какую сторону хоть смотреть.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: под DDOSом ...

Непрочитанное сообщение hizel » 2010-06-21 20:35:57

В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: под DDOSом ...

Непрочитанное сообщение risk94 » 2010-06-22 16:21:43

В логах апача обнаружилось огромное кличество вот таких запросов:

Код: Выделить всё

[client 92.39.76.138] Invalid URI in request \x13BitTorrent protocol

и вот такого

Код: Выделить всё

\\xb1
\\x07\\x1a\\x0co\\xc8\\xb7\\xdd*\\xac\\xbc\\xdd\\x88\\x89\\x8bT\\x18r\\xb5#\\xff*/G/\\x1e\\x0e\\x90h\\xa4\\xc2+\\xa3\\xf6!\
\x99\\x01\\xe9\\xda\\xd1\\xe1*\\x10E\\"\\xb3a\\xf5<[\\xd4]\\x07\\x1d\\x05xHq\\x98\\xd6\\xde\\xcb\\x95D\\xbc\\x97\\x8e\\xfb\
\xcb\\xe2\\xb4\\xc1b\\xa2\\xa1\\b\\xac|\\xe4\\xe5\\xd2`\\xbf\\xeaY\\x82\\b\\x8fY\\x1c\\xb8\\xc3^\\x84\\xd4Q\\x03,\\x7f\\xc4
\\xf1\\xe0I\\x8e\\xbbt\\xb2\\x1d>\\xccM\\xcb\\xee\\xdd\\x9f\\x8c6/\\xa52\\xc4w,\\x913\\x86.\\x14\\x15\\xfaR\\xbb/\\xb1\\xb6
\\x9f\\x8bH\\x9f;\\x15\\x894\\\\\\xc5BZ+\\x97\\xe6\\xaa\\xc0n\\x99\\vo&\\xcb\\x03\\xf7\\xbc\\xd9 -n\\x87<1\\xe4\\x87\\x80\\
xf9\\xea8RT\\xbfpt\\x04\\xc6\\xc6\\x9b\\x1au\\xfb\\xa0>\\x93\\xb3r\\x9b\\xc2s\\xc9\\"\\x06\\xfc`\\xf5\\x17\\x89YTm7\\xc1\\x
a3\\x02\\xc3\\x1b\\x94\\xb8\\xaa\\x8b[
че это такое? :oops: