Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > Информационная безопасность
Знаете ли Вы, что ...
...до того как открыть новую тему, стоит использовать поиск: такая тема уже может существовать.
<< Предыдущий совет - Случайный совет - Следующий совет >>

Информационная безопасность Вопросы по защите информации и данных в сетях телекоммуникаций


Ответить

 
Опции темы Опции просмотра
Старый 04.07.2008 10:26   #1  
Open ID Group
Аватар для Rustam Khamidov
Оффлайн
ИП Уздунробита
специалист
Сообщений: 610
+ 454  435/216
– 1  1/1

Uzbekistan
Information DDoS атака на хостинг Томаса

Вчера началась и сегодня продолжается ddos атака на немецкий сервер хостинга фирмы томас.
Максимальные неудобства у пользователей (задержки) были вчера между 14:00 и 17:00 часами. В этот период были приняты активные действия в результате которых сервер продолжает нормальное функционирование. Сейчас все службы на сервере работают нормально, несмотря на непрекращающуюся активность ddos атаки.
Зарегистрировано участников атаки около 2,5 тысяч айпи адресов.
Из знакомой подсетки (195.158.x.x) засветились:
195.158.28.186
195.158.28.122
195.158.25.6
195.158.23.118
195.158.1.42
195.158.19.154
Один из этих адресов часто засвечивается здесь.
Ответить 
"+" от:
Старый 04.07.2008 10:43   #2  
Аватар для Eldar Ishimbaev
Оффлайн
Сообщений: 4,884
+ 433  2,393/1,396
– 12  37/21

Uzbekistan
Цитата:
Сообщение от Rustam Khamidov Посмотреть сообщение
В этот период были приняты активные действия в результате которых сервер продолжает нормальное функционирование. Сейчас все службы на сервере работают нормально, несмотря на непрекращающуюся активность ddos атаки.
Если не секрет, что за "активные действия"?
Ответить 
Старый 04.07.2008 11:10   #3  
Real ID Group uParty Member
Аватар для Behzod Saidov
Оффлайн
Сообщений: 1,088
+ 739  628/355
– 11  3/3

UzbekistanОтправить сообщение для Behzod Saidov с помощью Skype™Аккаунт на Twitter
Цитата:
Сообщение от Rustam Khamidov Посмотреть сообщение
В этот период были приняты активные действия
Какие именно действия? А вообще что надо делать если идет ддос атака?
Ответить 
Старый 04.07.2008 11:20   #4  
Real ID Group uParty Member
Аватар для Erkin Kuchkarov
Оффлайн
Временно безработный
Сообщений: 19,979
+ 1,053  10,220/4,871
– 6  573/377

UzbekistanОтправить сообщение для Erkin Kuchkarov с помощью Yahoo
Цитата:
Сообщение от Behzod Saidov Посмотреть сообщение
А вообще что надо делать если идет ддос атака?
Писать скрипт блокирующий ИП адрес атакующего хоста, но по моему сначала должны идти превентивные методы (FireWall ->DMZ->FireWall->Hosts... распознание спуффинга и тд). Когда кончатся ИПшники можно перейти на блокировку по маске (шутка)
Ответить 
2 "+" от:
Старый 04.07.2008 11:22   #5  
Open ID Group
Аватар для Rustam Khamidov
Оффлайн
ИП Уздунробита
специалист
Сообщений: 610
+ 454  435/216
– 1  1/1

Uzbekistan
Последовательность действий.

1. Определили на что направлена.
Выяснилось на веб-сервис.
2. Посмотрели что именно за запросы так часто приходят
Код:
tcpdump -n -s 2048 -w - port 80 | strings | egrep -i "^(get|host|post)"
По результатц выяснили на какой хостинг направлена атака и какая строка запроса к апачу.
3. Сканировали каждые 5 минут access_log на наличие айпи адресов запрашивающих именно этот url очень активно (потом более ограничили, запрашивающих за интервал только этот урл).
Получали список адресов за последние 5 минут.
4. Полученный список адресов заносили в файервол.
После пяти циклов пунктов 3 и 4 нагрузка резко снизилась. Дальше сканировали в 10 минутном интервале. В течении первого часа обнаружили около половины адресов. Дальше запустили скрипты, которые выполняли действия автоматом. Через пять часов, добавление шло по одному двум адресам.

За первые два часа действий апач перестал ругаться на нехватку ресурсов.
Ответить 
Старый 04.07.2008 12:05   #6  
Open ID Group
Аватар для Rustam Khamidov
Оффлайн
ИП Уздунробита
специалист
Сообщений: 610
+ 454  435/216
– 1  1/1

Uzbekistan
Количество пакетов и трафик естественно скаканули.
Если обычно за сутки делалось 1,22 Гб входящих и 6,81 исходящих, то на день атаки было 4,6 Гб входящих и 9,3 Гб исходящих.
А по коливу пакетов просто полёт. Графики прилагаются.
Изображения
Тип файла: jpg traffic-7-days.jpg (44.2 Кб, 31 просмотров)
Тип файла: jpg packets-7-day.jpg (40.6 Кб, 26 просмотров)
Ответить 
"+" от:
Старый 04.07.2008 12:12   #7  
Open ID Group
Аватар для Rustam Khamidov
Оффлайн
ИП Уздунробита
специалист
Сообщений: 610
+ 454  435/216
– 1  1/1

Uzbekistan
Цитата:
Сообщение от Erkin Kuchkarov Посмотреть сообщение
Цитата:
Сообщение от Behzod Saidov Посмотреть сообщение
А вообще что надо делать если идет ддос атака?
Писать скрипт блокирующий ИП адрес атакующего хоста, но по моему сначала должны идти превентивные методы (FireWall ->DMZ->FireWall->Hosts... распознание спуффинга и тд). Когда кончатся ИПшники можно перейти на блокировку по маске (шутка)
Эркин, до атакованного сервера стоит киска на ней IDS, управление с другого сервера.
Там уже давно выcтавлены правила по каким сервисам не пропускать пороговые значения пакетов в секунду.
Этот IDS посчитал, что атака незначительная
На самом деле всё зависит от настроек, а у меня до них доступа нет. Эту систему обслуживает датакомовский персонал.
Оффтоп:

А как правильно строить хостинг площадку я догадываюсь.
Ответить 
Реклама и уведомления
Старый 04.07.2008 12:20   #8  
Real ID Group uParty Member
Аватар для Erkin Kuchkarov
Оффлайн
Временно безработный
Сообщений: 19,979
+ 1,053  10,220/4,871
– 6  573/377

UzbekistanОтправить сообщение для Erkin Kuchkarov с помощью Yahoo
Оффтоп:
Цитата:
Сообщение от Rustam Khamidov Посмотреть сообщение
А как правильно строить хостинг площадку я догадываюсь.
А я и не тебе отвечал Я знаю что ты догадываешься
Цитата:
Сообщение от Rustam Khamidov Посмотреть сообщение
Этот IDS посчитал, что атака незначительная
Спасибо что напомнил. Пойду гляну логи у себя

Последний раз редактировалось Erkin Kuchkarov; 04.07.2008 в 12:25.
Ответить 
Старый 05.07.2008 15:55   #9  
Open ID Group
Аватар для Rustam Khamidov
Оффлайн
ИП Уздунробита
специалист
Сообщений: 610
+ 454  435/216
– 1  1/1

Uzbekistan
Цитата:
Сообщение от Rustam Khamidov Посмотреть сообщение
1. Определили на что направлена.
Выяснилось на веб-сервис.
Забыл привести один из вариантов определения
Код:
netstat -an | grep '192.168.0.1:' | awk '{print $1, $4}' | sort | uniq -c
где вместо 192.168.0.1 должен стоять внешний ip адрес сервера
Ответить 
Старый 05.07.2008 18:28   #10  
Open ID Group
Аватар для Rustam Khamidov
Оффлайн
ИП Уздунробита
специалист
Сообщений: 610
+ 454  435/216
– 1  1/1

Uzbekistan
Оффтоп:

Наконец-то пропарсил засветившиеся айпи адреса из узбекистана

Один непонятный адрес... Т.е. адрес понятен но у меня два различных результате принадлжности к AS. Кто нибудь знает какие из двух приведенных актуальны?
91.188.141.166
вариант1 AS42017 CHILANZAR-5 29 700000 TASHKENT Uzbekistan
вариант2 AS41334 mnt-by:MANCHE-TELECOM LDCOM Networks France Groupe N9uf Cegetel

AS8193
National Data Network Company "UzPAK" 8,8-fl., Druzhba Narodov Street Tashkent, Republic of Uzbekistan, 700043
195.158.1.42
195.158.19.154
195.158.23.118
195.158.25.6
195.158.28.122
195.158.28.186

AS-? mnt-routes: AS8193-MNT
National Data Network Company National Data Network Company "UzPAK" 8,8-fl., Druzhba Narodov Prospekt, Tashkent, Republic of Uzbekistan, 700043
213.230.64.74
213.230.72.229
213.230.72.232
213.230.72.86
213.230.86.130

AS31203
Sharq Telecom Zarkajnar str., 39-41 Tashkent, Uzbekistan
217.29.121.126
217.29.122.184
217.29.126.87
83.221.168.189
83.221.169.152
83.221.170.21
83.221.171.86
83.221.174.177
83.221.174.46
83.221.175.9

AS34718
TEXNOPROSISTEM Ltd Afrosiab, 28/14 Tashkent, 700031 Uzbekistan
80.80.208.139
80.80.217.106
80.80.221.198
89.236.193.178
89.236.198.226
89.236.210.136
89.236.211.255
89.236.243.58
89.236.255.156

AS12365
Sarkor-Telecom Company 7 Shakhrizabskaya Str., Tashkent 700000, Uzbekistan
81.95.238.92
89.146.69.194
89.146.70.214
89.146.77.206

AS34250
Uzbektelekom Joint-Stock Company
84.54.67.97
84.54.71.189
84.54.78.215

AS39032
East Telecom A TEMUR STREET 24 Tashkent, Uzbekistan
87.237.233.2

Ответить 
Ответить
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх