LINUX.ORG.RU
решено ФорумAdmin

Можно ли заддосить недоступный сервер?


0

2

С помощью iptables сервер блокирует все входящие пакеты со всех ип, кроме моего. Можно ли каким-то способом заддосить мой сервер извне, чтобы я не смог к нему подключиться удаленно?



Последнее исправление: Xenonaut (всего исправлений: 1)

заддосить косвенно. инфраструктуру хостера, например. роутеры-свичи

Deleted
()

Можно. Пошли на него поток, больше чем входной канал. Как вариант, банальный ping-flood с более быстрого соединения.

andrewzvn
()

Досю покупаешь, упаковку на 10 литров воды, и доссишь! Ляжет 100%

comp00 ★★★★
()

Если только инфроструктуру. Если в сети ip кривые, то достаточно просто пропинговать как-то так:

ping -s 1000 -f x.x.x.x
ne-vlezay ★★★★★
()
Ответ на: комментарий от anonymous

Вырубить «тупым досом» недоступный извне сервак, хостящийся в дц со скоростью порта подключения 1гб/с, возможно вообще? Во сколько примерно обойдется заказчику такая додося?

Xenonaut
() автор топика

Все возможно. Но ты успокойся, ддос уже проведен... ментальный, ты сам заблокировал все и всех :)

gh0stwizard ★★★★★
()

какая разница, что там блокирует твой iptables, если допустим пустить туда огромную волну udp-трафика, которая уложит канал? к примеру несколько десятков гигабит в секунду. обойдется это недёшево, и для этого нужен мощный ботнет. первый линк из гугла http://goo.gl/Wl1RIk

Komintern ★★★★★
()
Последнее исправление: Komintern (всего исправлений: 2)

iptables обрабатывает пакеты уже на сервере (вот это неожиданность!). Следовательно что-бы он дропнул пакет он должен его принять, так-что можно просто исчерпать пропускную способность канала (в этом смысле не так-уж важно отбросил сервер пакет или принял). Нагонять трафик сейчас можно весьма лихо, смотри например DNS Amplification и NTP Amplification.
Кроме того даже просто дроп пакета операция не бесплатная. В некоторых случаях сервер может встать колом ещё до исчерпания пропускной способности канала.

MrClon ★★★★★
()
Ответ на: комментарий от Xenonaut

А если весь icmp дропать? Тоже ляжет?

А куда он денется, пакет дошел и свою задачу выполнил.

Вырубить «тупым досом» недоступный извне сервак, хостящийся в дц со скоростью порта подключения 1гб/с, возможно вообще? Во сколько примерно обойдется заказчику такая додося?

В рунете нередки атаки мощностю в десяток гб/с, хватит на десяток серверов как у тебя, в мире же самая тяжелая была под 300 гб/с. Сколько стоит - не знаю, не хакир.

andrewzvn
()
Ответ на: комментарий от Xenonaut

flood-пинг не ждет ответа, пакет УЖЕ пришел на сервер. Ты его задропал - но полосу он тебе забил. Тут без спец. систем защиты от DDoS-а - никак

Pinkbyte ★★★★★
()
Ответ на: комментарий от andrewzvn

в мире же самая тяжелая была под 300 гб/с.

Текущий рекорд вроде 400 гбит/с, NTP amplification, февраль этого года.

MrClon ★★★★★
()
Ответ на: комментарий от Pinkbyte

Можно переложить фильтрацию на своего провайдера.

MrClon ★★★★★
()
Ответ на: комментарий от Xenonaut

линук еще ноет что ядро раздуто. еще бы, одних firewall'ов две штуки.

crowbar
()
Ответ на: комментарий от Xenonaut

Настройками очередей. Чтобы даже при очень сильном флуде ты мог пройти «с мигалкой» мимо всех пакетов и законнектиться к своему серваку. Защита от доса это совсем не закрытие портов, если вернуться к сабжу твоего поста.

PS: ip в пакетах можно и подделать — будут как бы твои.

soomrack ★★★★
()
Последнее исправление: soomrack (всего исправлений: 1)
Ответ на: комментарий от soomrack

В iptables всё так просто и понятно, а тут в tc ужас какой-то. Что-ж, придется читать, спасибо за совет.

Xenonaut
() автор топика

Чтобы именно ты не подключился - практически нереально, но затруднить или усложнить тебе жизнь - вполне. Зависит от хостера. Если это рашкин-хостеры, то 1 Гбит ддоса они вряд-ли выдержат. Если у тебя серьёзный дедик, в крутом датацентре Ирландии - до 10/20 Гбит он вытянет (с трудом) при наличии порта 10-50 Гбит (что редкость). Сумма такого оборудования в месяц около 30-60 штук деревянных в европе в месяц. Вряд-ли именно ты потянешь такое.

menangen ★★★★★
()

Чтобы тебя не ддосили, открой только ipV6 и нигде не пали его :-)

menangen ★★★★★
()

Можно ли каким-то способом заддосить мой сервер извне, чтобы я не смог к нему подключиться удаленно?

Ответами провайдерского DNS твоему серверу.

e000xf000h
()

Усложним задачу. Есть два сервера. С помощью iptables сервера блокируют все входящие пакеты со всех ип, кроме одного. На одном сервере используется REJECT, а на другом DROP, сервера одинаковые из находятся в одной AS. Какой из них ляжет быстрей. И какова вероятность вычислить тот один разблокированный ipv4 адрес, если известно что ТС живет в Москве и у него NAT. И что быстрей произойдет, сервер отключат в ДЦ или ляжет ДЦ или клиенту начнут предлагать перейти на план с DDoS protection.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

REJECT всегда отвечает анричибл, а DROP ничего не отвечает. Если входящий канал шире, чем исходящий, то, скорее всего, первый сервер ляжет быстрее.

Xenonaut
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.