DDOS атака c моего белого Ip

0

1

Привет ЛОР, звонит сотрудник техподдержки провайдера и говорит мол с моего ip адреса идет ddos атака на немецкие сервера (правда не уточнил какие)

Какие логи почекать? в логах сквида пусто(нет инфы по атаке), в логах доступа тоже.

Доступ по ssh только по ключу(и пароль на ключе)

Порты закрыты на микротике

2 серва основных и на них:

1)Apache

2)Nginx

3)Squid

4)Gitlab

5)youtrack

6)mysql

7)bacula

Ну и небольшой парк на виндовых компах, я прост сейчас далеко от офиса и немогу уточнить, что да как там на пользовательских пк.

Ссылка

←	VPN-сервер не присваивает статичный IP виндовому клиенту. Линуксовому - присваивает

Вопрос по классификации IP-адреса

→

А сам микротик проверял? У них были уязвимости в ОС, может с него ддосят.

Проверяй так 111 и 137 порты и 53 (DNS Amplification)

Запроси инфу у провайдера, чтоб выдали с каких портов и куда ддосишь

BaBL ★★★★★
(23.10.18 22:11:51 MSK)
Последнее исправление: BaBL 23.10.18 22:12:12 MSK (всего исправлений: 1)

звонит сотрудник техподдержки провайдера и говорит мол с моего ip адреса идет ddos атака

и это все? типа уголовное преступление!

amd_amd ★★★★★
(23.10.18 22:20:21 MSK)

Ссылка

Ответ на: комментарий от BaBL 23.10.18 22:11:51 MSK

завтра ток смогу проверить, ну с внешки нет доступа к микротику никакого, только в локалке

sanekmihailow
(23.10.18 22:28:03 MSK) автор топика

Ссылка

Ответ на: комментарий от BaBL 23.10.18 22:11:51 MSK

а если с микротика досили оперативка должна была скакнуть?, смотрю в заббиксе ровная линия никаких скачков

sanekmihailow
(23.10.18 22:34:28 MSK) автор топика

Ответ на: комментарий от sanekmihailow 23.10.18 22:34:28 MSK

если изнутри - контрек должен забиться.

anonymous
(23.10.18 23:17:57 MSK)

Ответ на: комментарий от anonymous 23.10.18 23:17:57 MSK

спасибо анон, но атаку уже прекратили, она была судя по графику трафика в 14:20-14:25 и в 14:55 - 15:03

откопал уязвимость сквида, только не понял это меня через нее досят или через меня досят других

CVE-2018-1172

sanekmihailow
(23.10.18 23:24:57 MSK) автор топика

Ответ на: комментарий от sanekmihailow 23.10.18 23:24:57 MSK

Это просто положить сквид через открытый клиентский порт типа 2138. это не ремот

anonymous
(23.10.18 23:34:00 MSK)

Ответ на: комментарий от anonymous 23.10.18 23:34:00 MSK

3128 -)

anonymous
(23.10.18 23:34:59 MSK)

Ссылка

с моего ip адреса идет ddos

т.е. от вас, кто это делает в вашей локалке и надо выяснять.

Ну и небольшой парк на виндовых компах

которые скорее всего это и делают.
Самое простое это tcpdump, при малом кол-ве даже визуально увидите кто виноват.
А в целом на будущее старый добрый flow, на который вы видимо забили. Очень удобно «разгребать» «последствия».

anc ★★★★★
(24.10.18 04:34:19 MSK)

Ответ на: комментарий от anc 24.10.18 04:34:19 MSK

срасибо, flow заюзаю, после анализа провайдер сказал, тип не с моего ip адреса (facepalm)

sanekmihailow
(24.10.18 12:58:02 MSK) автор топика

Ответ на: комментарий от sanekmihailow 24.10.18 12:58:02 MSK

после анализа провайдер сказал, тип не с моего ip адреса (facepalm)

Адрес отправителя в IP-пакете можно указать любой, для атак, не требующих ответа инициатору, это вполне подходит.

bormant ★★★★★
(24.10.18 13:04:37 MSK)

Ответ на: комментарий от bormant 24.10.18 13:04:37 MSK

даже белый ip адрес ?

sanekmihailow
(24.10.18 13:14:47 MSK) автор топика

Ответ на: комментарий от sanekmihailow 24.10.18 13:14:47 MSK

Да хоть зеленый...

bormant ★★★★★
(24.10.18 14:05:38 MSK)

Ссылка

Ответ на: комментарий от sanekmihailow 24.10.18 13:14:47 MSK

Ну и с терминологией как-то не очень: первая D — это distributed, т.е. распределенная — атака со множества случайных источников.
Даже если посчитали как одного из атакующих, все равно речь только о DoS.

bormant ★★★★★
(24.10.18 14:09:26 MSK)
Последнее исправление: bormant 24.10.18 14:10:10 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	VPN-сервер не присваивает статичный IP виндовому клиенту. Линуксовому - присваивает

Admin

Вопрос по классификации IP-адреса

→

Похожие темы