|
DDoS атака на хостинг Томаса
Вчера началась и сегодня продолжается ddos атака на немецкий сервер хостинга фирмы томас.
Максимальные неудобства у пользователей (задержки) были вчера между 14:00 и 17:00 часами. В этот период были приняты активные действия в результате которых сервер продолжает нормальное функционирование. Сейчас все службы на сервере работают нормально, несмотря на непрекращающуюся активность ddos атаки. Зарегистрировано участников атаки около 2,5 тысяч айпи адресов. Из знакомой подсетки (195.158.x.x) засветились: 195.158.28.186 195.158.28.122 195.158.25.6 195.158.23.118 195.158.1.42 195.158.19.154 Один из этих адресов часто засвечивается здесь. |
Цитата:
|
Цитата:
|
Цитата:
|
Последовательность действий.
1. Определили на что направлена. Выяснилось на веб-сервис. 2. Посмотрели что именно за запросы так часто приходят Код:
tcpdump -n -s 2048 -w - port 80 | strings | egrep -i "^(get|host|post)"3. Сканировали каждые 5 минут access_log на наличие айпи адресов запрашивающих именно этот url очень активно (потом более ограничили, запрашивающих за интервал только этот урл). Получали список адресов за последние 5 минут. 4. Полученный список адресов заносили в файервол. После пяти циклов пунктов 3 и 4 нагрузка резко снизилась. Дальше сканировали в 10 минутном интервале. В течении первого часа обнаружили около половины адресов. Дальше запустили скрипты, которые выполняли действия автоматом. Через пять часов, добавление шло по одному двум адресам. За первые два часа действий апач перестал ругаться на нехватку ресурсов. |
Вложений: 2
Количество пакетов и трафик естественно скаканули.
Если обычно за сутки делалось 1,22 Гб входящих и 6,81 исходящих, то на день атаки было 4,6 Гб входящих и 9,3 Гб исходящих. А по коливу пакетов просто полёт. Графики прилагаются. |
Цитата:
Там уже давно выcтавлены правила по каким сервисам не пропускать пороговые значения пакетов в секунду. Этот IDS посчитал, что атака незначительная :) На самом деле всё зависит от настроек, а у меня до них доступа нет. Эту систему обслуживает датакомовский персонал. Оффтоп: А как правильно строить хостинг площадку я догадываюсь. :) |
Оффтоп: Цитата:
Цитата:
|
Цитата:
Код:
netstat -an | grep '192.168.0.1:' | awk '{print $1, $4}' | sort | uniq -c |
Оффтоп: Наконец-то пропарсил засветившиеся айпи адреса из узбекистана Один непонятный адрес... Т.е. адрес понятен но у меня два различных результате принадлжности к AS. Кто нибудь знает какие из двух приведенных актуальны? 91.188.141.166 вариант1 AS42017 CHILANZAR-5 29 700000 TASHKENT Uzbekistan вариант2 AS41334 mnt-by:MANCHE-TELECOM LDCOM Networks France Groupe N9uf Cegetel AS8193 National Data Network Company "UzPAK" 8,8-fl., Druzhba Narodov Street Tashkent, Republic of Uzbekistan, 700043 195.158.1.42 195.158.19.154 195.158.23.118 195.158.25.6 195.158.28.122 195.158.28.186 AS-? mnt-routes: AS8193-MNT National Data Network Company National Data Network Company "UzPAK" 8,8-fl., Druzhba Narodov Prospekt, Tashkent, Republic of Uzbekistan, 700043 213.230.64.74 213.230.72.229 213.230.72.232 213.230.72.86 213.230.86.130 AS31203 Sharq Telecom Zarkajnar str., 39-41 Tashkent, Uzbekistan 217.29.121.126 217.29.122.184 217.29.126.87 83.221.168.189 83.221.169.152 83.221.170.21 83.221.171.86 83.221.174.177 83.221.174.46 83.221.175.9 AS34718 TEXNOPROSISTEM Ltd Afrosiab, 28/14 Tashkent, 700031 Uzbekistan 80.80.208.139 80.80.217.106 80.80.221.198 89.236.193.178 89.236.198.226 89.236.210.136 89.236.211.255 89.236.243.58 89.236.255.156 AS12365 Sarkor-Telecom Company 7 Shakhrizabskaya Str., Tashkent 700000, Uzbekistan 81.95.238.92 89.146.69.194 89.146.70.214 89.146.77.206 AS34250 Uzbektelekom Joint-Stock Company 84.54.67.97 84.54.71.189 84.54.78.215 AS39032 East Telecom A TEMUR STREET 24 Tashkent, Uzbekistan 87.237.233.2 |
| Текущее время: 04:07. Часовой пояс GMT +5. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. Перевод:
OOO «Единый интегратор UZINFOCOM»