Вчера началась и сегодня продолжается ddos атака на немецкий сервер хостинга фирмы томас.
Максимальные неудобства у пользователей (задержки) были вчера между 14:00 и 17:00 часами. В этот период были приняты активные действия в результате которых сервер продолжает нормальное функционирование. Сейчас все службы на сервере работают нормально, несмотря на непрекращающуюся активность ddos атаки.
Зарегистрировано участников атаки около 2,5 тысяч айпи адресов.
Из знакомой подсетки (195.158.x.x) засветились:
195.158.28.186
195.158.28.122
195.158.25.6
195.158.23.118
195.158.1.42
195.158.19.154
Один из этих адресов часто засвечивается здесь (http://stopddos.ru/current/).

В этот период были приняты активные действия в результате которых сервер продолжает нормальное функционирование. Сейчас все службы на сервере работают нормально, несмотря на непрекращающуюся активность ddos атаки.
Если не секрет, что за "активные действия"?

В этот период были приняты активные действия

Какие именно действия? А вообще что надо делать если идет ддос атака?

А вообще что надо делать если идет ддос атака?
Писать скрипт блокирующий ИП адрес атакующего хоста, но по моему сначала должны идти превентивные методы (FireWall ->DMZ->FireWall->Hosts... распознание спуффинга и тд). Когда кончатся ИПшники можно перейти на блокировку по маске (шутка) ;)

Последовательность действий.

1. Определили на что направлена.
Выяснилось на веб-сервис.
2. Посмотрели что именно за запросы так часто приходят
tcpdump -n -s 2048 -w - port 80 | strings | egrep -i "^(get|host|post)"
По результатц выяснили на какой хостинг направлена атака и какая строка запроса к апачу.
3. Сканировали каждые 5 минут access_log на наличие айпи адресов запрашивающих именно этот url очень активно (потом более ограничили, запрашивающих за интервал только этот урл).
Получали список адресов за последние 5 минут.
4. Полученный список адресов заносили в файервол.
После пяти циклов пунктов 3 и 4 нагрузка резко снизилась. Дальше сканировали в 10 минутном интервале. В течении первого часа обнаружили около половины адресов. Дальше запустили скрипты, которые выполняли действия автоматом. Через пять часов, добавление шло по одному двум адресам.

За первые два часа действий апач перестал ругаться на нехватку ресурсов.

Количество пакетов и трафик естественно скаканули.
Если обычно за сутки делалось 1,22 Гб входящих и 6,81 исходящих, то на день атаки было 4,6 Гб входящих и 9,3 Гб исходящих.
А по коливу пакетов просто полёт. Графики прилагаются.

А вообще что надо делать если идет ддос атака?
Писать скрипт блокирующий ИП адрес атакующего хоста, но по моему сначала должны идти превентивные методы (FireWall ->DMZ->FireWall->Hosts... распознание спуффинга и тд). Когда кончатся ИПшники можно перейти на блокировку по маске (шутка) ;)
Эркин, до атакованного сервера стоит киска на ней IDS, управление с другого сервера.
Там уже давно выcтавлены правила по каким сервисам не пропускать пороговые значения пакетов в секунду.
Этот IDS посчитал, что атака незначительная :)
На самом деле всё зависит от настроек, а у меня до них доступа нет. Эту систему обслуживает датакомовский персонал.

А как правильно строить хостинг площадку я догадываюсь. :)

А как правильно строить хостинг площадку я догадываюсь.
А я и не тебе отвечал :) Я знаю что ты догадываешься :)
Этот IDS посчитал, что атака незначительная
Спасибо что напомнил. Пойду гляну логи у себя :)

1. Определили на что направлена.
Выяснилось на веб-сервис.
Забыл привести один из вариантов определения

netstat -an | grep '192.168.0.1:' | awk '{print $1, $4}' | sort | uniq -c

где вместо 192.168.0.1 должен стоять внешний ip адрес сервера

Наконец-то пропарсил засветившиеся айпи адреса из узбекистана

Один непонятный адрес... Т.е. адрес понятен но у меня два различных результате принадлжности к AS. Кто нибудь знает какие из двух приведенных актуальны?
91.188.141.166
вариант1 AS42017 CHILANZAR-5 29 700000 TASHKENT Uzbekistan
вариант2 AS41334 mnt-by:MANCHE-TELECOM LDCOM Networks France Groupe N9uf Cegetel

AS8193
National Data Network Company "UzPAK" 8,8-fl., Druzhba Narodov Street Tashkent, Republic of Uzbekistan, 700043
195.158.1.42
195.158.19.154
195.158.23.118
195.158.25.6
195.158.28.122
195.158.28.186

AS-? mnt-routes: AS8193-MNT
National Data Network Company National Data Network Company "UzPAK" 8,8-fl., Druzhba Narodov Prospekt, Tashkent, Republic of Uzbekistan, 700043
213.230.64.74
213.230.72.229
213.230.72.232
213.230.72.86
213.230.86.130

AS31203
Sharq Telecom Zarkajnar str., 39-41 Tashkent, Uzbekistan
217.29.121.126
217.29.122.184
217.29.126.87
83.221.168.189
83.221.169.152
83.221.170.21
83.221.171.86
83.221.174.177
83.221.174.46
83.221.175.9

AS34718
TEXNOPROSISTEM Ltd Afrosiab, 28/14 Tashkent, 700031 Uzbekistan
80.80.208.139
80.80.217.106
80.80.221.198
89.236.193.178
89.236.198.226
89.236.210.136
89.236.211.255
89.236.243.58
89.236.255.156

AS12365
Sarkor-Telecom Company 7 Shakhrizabskaya Str., Tashkent 700000, Uzbekistan
81.95.238.92
89.146.69.194
89.146.70.214
89.146.77.206

AS34250
Uzbektelekom Joint-Stock Company
84.54.67.97
84.54.71.189
84.54.78.215

AS39032
East Telecom A TEMUR STREET 24 Tashkent, Uzbekistan
87.237.233.2

Узбекистанские адреса вряд ли о чем-то скажут.
ДДОС-атака вообще очень часто ведется с зараженных компьютеров, когда сами пользователи даже не в курсе того, что их ПК заражен

Один непонятный адрес... Т.е. адрес понятен но у меня два различных результате принадлжности к AS. Кто нибудь знает какие из двух приведенных актуальны?
91.188.141.166
вариант1 AS42017 CHILANZAR-5 29 700000 TASHKENT Uzbekistan
вариант2 AS41334 mnt-by:MANCHE-TELECOM LDCOM Networks France Groupe N9uf Cegetel

Выяснилось что Вариант1 (Ars Inform)

Узбекистанские адреса вряд ли о чем-то скажут.
ДДОС-атака вообще очень часто ведется с зараженных компьютеров, когда сами пользователи даже не в курсе того, что их ПК заражен
С этим никто и не спорит.
Узбекские адреса выложена не в качестве жалоб или претензий. Но в назидание и в качестве рекоммендации пользователям почистить свой компьютер от троянов.

В момент когда троян активизируется, трафик может и небольшой, но кол-во пакетов может оказаться большим и переполнять очередь адсл модема подключенного на малой скорости и уж тем более будут проблемы с дайлап.

Один непонятный адрес... Т.е. адрес понятен но у меня два различных результате принадлжности к AS. Кто нибудь знает какие из двух приведенных актуальны?
91.188.141.166
вариант1 AS42017 CHILANZAR-5 29 700000 TASHKENT Uzbekistan
вариант2 AS41334 mnt-by:MANCHE-TELECOM LDCOM Networks France Groupe N9uf Cegetel
Выяснилось что Вариант1 (Ars Inform)
Перепроверил. Информация сейчас с трех whois серверов отдается одинаковая - ARS-INFORM. В четверг и пятницу 3 whois сервера давали два варианта ответа.

C 3 ноября 17 часов (по Ташкенту) по 4 ноября 17 часов была очередная масштабная ддос атака на хостинг Томаса. Количество пакетов в среднем было 5 тысяч в секунду и около 3 часов суммарно доходило до 9,5 тысяч в секунду.
Ботнет достаточно широкий. Отмечу, что если ранее один хост представлялся одинаковым браузером, то в последний раз от одного хоста постоянно приходили разные представления браузеров. Что вкупе с количеством запросов и послужило одним из основных критериев различия между обычной рабочей станцией и атакающим компом.

C 3 ноября 17 часов (по Ташкенту) по 4 ноября 17 часов была очередная масштабная ддос атака на хостинг Томаса. Количество пакетов в среднем было 5 тысяч в секунду и около 3 часов суммарно доходило до 9,5 тысяч в секунду.
Ботнет достаточно широкий. Отмечу, что если ранее один хост представлялся одинаковым браузером, то в последний раз от одного хоста постоянно приходили разные представления браузеров. Что вкупе с количеством запросов и послужило одним из основных критериев различия между обычной рабочей станцией и атакающим компом.
кто ж так не взлюбил томас ?

C 3 ноября 17 часов (по Ташкенту) по 4 ноября 17 часов была очередная масштабная ддос атака на хостинг Томаса. Количество пакетов в среднем было 5 тысяч в секунду и около 3 часов суммарно доходило до 9,5 тысяч в секунду.
Ботнет достаточно широкий. Отмечу, что если ранее один хост представлялся одинаковым браузером, то в последний раз от одного хоста постоянно приходили разные представления браузеров. Что вкупе с количеством запросов и послужило одним из основных критериев различия между обычной рабочей станцией и атакающим компом.
кто ж так не взлюбил томас ?
Целью был не томас а один из хостящихся сайтов.

Целью был не томас а один из хостящихся сайтов. Интересно, какой же?

Недоступность ряда госсайтов вчера этим объясняется?

Недоступность ряда госсайтов вчера этим объясняется?

Каких именно?

Недоступность ряда госсайтов вчера этим объясняется?
То что сервер был атакован, еще не говорит о том, что он при этом прекратил работать и предоставлять услуги. :icon_wink:

Недоступность ряда госсайтов вчера этим объясняется?

Каких именно?

Сложно сейчас вспомнить, но вчера ближе к вечеру точно были недоступны сайты Минздрава, Госкомдемонополизации и Минсельводхоза. Я как раз просматривал из один за другим.

Сложно сейчас вспомнить, но вчера ближе к вечеру точно были недоступны сайты Минздрава, Госкомдемонополизации и Минсельводхоза. Я как раз просматривал из один за другим.

На баше было: "быстро поднятое не считается упавшим" :)

Сложно сейчас вспомнить, но вчера ближе к вечеру точно были недоступны сайты Минздрава, Госкомдемонополизации и Минсельводхоза. Я как раз просматривал из один за другим.
Можно всё-таки конкретно домены.

host -a minzdrav.uz 195.158.1.25
Trying "minzdrav.uz"
Using domain server:
Name: 195.158.1.25
Address: 195.158.1.25#53
Aliases:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21417
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;minzdrav.uz. IN ANY

;; AUTHORITY SECTION:
minzdrav.uz. 14400 IN NS ns01.uzsci.net.
minzdrav.uz. 14400 IN NS ns08.uzsci.net.

P.S. а то из Вашего сообщения возникает впечатление, что все перечисленные сайты находится на хостинге у томаса и именно на том сервере где была ддос-атака.

из Вашего сообщения возникает впечатление, что все перечисленные сайты находится на хостинге у томаса и именно на том сервере где была ддос-атака

Я не делал никаких утверждений, а задал вопрос. Из ответов ясно, что проблема с Томасом не связана.

Что-то Томас творит не понятно что, уже ШЕСТОЙ день не могут восстановить сервер, сайт ШЕСТОЙ день недоступен. В самых худших ситуациях за один-два дня восстанавливают, а тут с субботы 26 июня до сих пор в дауне (на 01 июля). У кого-нибудь еще сайты хостятся в Томасе?

Что-то Томас творит не понятно что, уже ШЕСТОЙ день не могут восстановить сервер, сайт ШЕСТОЙ день недоступен. В самых худших ситуациях за один-два дня восстанавливают, а тут с субботы 26 июня до сих пор в дауне (на 01 июля). У кого-нибудь еще сайты хостятся в Томасе?
Сегодня работает уже сайт по крайнее мере наш, то что тоже на хостинге у Томаса...

тоже с субботы не работал?

тоже с субботы не работал?
Да но к сожалению к моменту написания этого поста опять сайт в дауне :)

Сайт недоступен

Network Error (tcp_error)

A communication error occurred: "Operation timed out" The Web Server may be down, too busy, or experiencing other problems preventing it from responding to requests. You may wish to try again at a later time.

Что-то Томас творит не понятно что, уже ШЕСТОЙ день не могут восстановить сервер, сайт ШЕСТОЙ день недоступен. В самых худших ситуациях за один-два дня восстанавливают, а тут с субботы 26 июня до сих пор в дауне (на 01 июля). У кого-нибудь еще сайты хостятся в Томасе?
А мне вот NS номера надо на домене поменять не могу дозвониться на письма реакции нет.
У вас тоже номера заняты?

Я ушел с Томаса к другому хостеру, сегодня утром благополучно поменял NS. Если что, попробуйте 7205930 (ООО Томас). Видимо, сервера у них конкретно слетели и надолго.