[Проблема] DDoS-атака и выявленные атакующие

[alisherk]

Цитата:

Сообщение от Rustam Gaptulin

Вот график, во сколько у меня увеличился трафик по показаниям персонального кабинета
http://rascal.xnet.uz/test/tmp6BD7.tmp.png

это входящий или исходящий трафик?

[Rustam Gaptulin]

Цитата:

Сообщение от alisherk

это входящий или исходящий трафик?

Входящий конечно. Оба графика - входящий трафик. Один по показаниям кабинета, второй по локальному подсчёту

[iDead]

Цитата:

Сообщение от Rustam Gaptulin

Можно сказать домашний сервер, на котором работают некоторые сервисы критичные как для меня лично, так и для компании где я работаю.

Домашний сервер... А на этот сервер можно было зайти извне? Т.е. был ли на нем сайт или какая-нибудь другая услуга, которая позволяла удаленному пользователю посещать ваш сайт или что-нибудь другое на вашем сервере? (И какая ОС там стояла. )

[Rustam Gaptulin]

Цитата:

Сообщение от iDead

А на этот сервер можно было зайти извне?

Какая разница? Это ни как не влияет на выполнение DOS атаки, так же и какая ОС на нем стоит. До Компьютера пакеты вообще не дошли, так как дропались роутером. В данном случае, даже если бы компьютер был выключен, но роутер включен (сессия поднимается на нем) этого уже было бы достаточно для совершения на меня атаки.

[iDead]

Цитата:

Сообщение от Rustam Gaptulin

Какая разница? Это ни как не влияет на выполнение DOS атаки, так же и какая ОС на нем стоит. До Компьютера пакеты вообще не дошли, так как дропались роутером.

Дело в том, что если там стоял сайт, то DoS атака могла получится неумышленной. Хотя в вашем случае - навряд ли, так как уже скрипт нашли и все пакеты шли именно через один IP. Кстати что за скрипт там был? Если прокси, а у вас комп-вебсервер с сайтом, то теоретически могло зайти много пользователей через один и тот же IP. Но это, так чисто теоретически. Если за пару часов вам накрутили 4 Гбайта, то следовательно, мощность испытанной вами DoS атаки составляет 4Гбайт/(2часа) = 4.55 Мбит/сек. На мой взгляд, не такая уж маленькая атака - эквивалентно атаке ~35 пользователей, если верить википедии.

[Rustam Gaptulin]

Цитата:

Сообщение от iDead

Кстати что за скрипт там был?

Что за скрипт хостер не сказал, но не прокси скрипт. Вебсервера не держу. какой смысл создавать Веб прокси на php чтобы зайти на ресурс в Узбекистане ? Когда в нете их куча.

[Nestik]

Цитата:

Сообщение от iDead

а у вас комп-вебсервер с сайтом, то теоретически могло зайти много пользователей через один и тот же IP

Ага учитывая что атака на smtp порт и mysql, и какбы веб тут нипричём оказывается.

Мне вот другого не понятно если ваш роутер режектил пакеты, то это вам 4 гб режектов
насчитало за пару часов?

[Rustam Gaptulin]

Цитата:

Сообщение от Nestik

Мне вот другого не понятно если ваш роутер режектил пакеты,

То что он их не пропускает, не означает что они не проходят через билинг

[Nestik]

Цитата:

Сообщение от Rustam Gaptulin

То что он их не пропускает, не означает что они не проходят через билинг

Вы знаете как устанавливается соединение по протоколу ТСП/ИП? Первым идёт SYN пакет, он небольшой данных в нём нет. Что-то вы темните батенька.

Вы точно уверены что разобрались с характером атаки?

[Rustam Gaptulin]

Цитата:

Сообщение от Nestik

Вы знаете как устанавливается соединение по протоколу ТСП/ИП? Первым идёт SYN пакет, он небольшой данных в нём нет. Что-то вы темните батенька.

Узнайте как работает билинг сначала. протокол может быть не только TCP/IP во первых, досят обычно UPD пакетами. Билинг считает IP трафик, TCP идет поверх IP