LINUX.ORG.RU

DDoS атака SYN флудом со спуффингом


3

5

Добрый день, сижу в всем известном OVH, арендую там сервер а Anti-DDos Pro, которым обещают 100% защищать от атак. Мало того, что фильтра их не видят обычный лоик, для чего пришлось писать скрипты и грамотно настроить NGINX, чтобы не ложили HTTP флудом, так еще и пролетает син флуд со спуфом, как нож по маслу.

Никаких атак ОВХ не замечает, все пропускает под 0. Сервер грузится до 100%, полностью все начинает висеть. Перепробовал все мануалы, что есть в интернете.. Настраивал син куки, iptables, ничего не помогает.

В один момент даже закрыл абсолютно все порты и подключения из вне к серверу, все равно ддос продолжался. Команда: netstat -apn | grep SYN | wc -l Выдавала стабильно число от 150 до 250. Так это еще человек досил только с 1го компьютера. По идее, если он пробивал закрытые порты, значит канал у него серьезнее? Хотя у меня машина с каналом 1гбит.

Что в таком случае делать? ОВХ поддержка молчит. Некоторые люди из-за этого и ушли с ОВХ. Но на сколько я знаю, нет такой проблемы, которую нельзя было бы решить?

Ответ на: комментарий от andrew667

Кстати правило не помогло, по идее если бы оно банило - оно бы записывало в iptables -L --line-numbers новый бан..

Но сейчас проверил - пусто, только правила. То бишь баны ему не давало.

Machine88 ()
Ответ на: комментарий от Machine88

Убери правило, которое ищет подстроку нафиг. Это полный зашквар.

Олсо iptables умеет считать сколько пакетов/байт «прошло» через каждое правило, таким образом можно примерно понять, какое правило «хавает» мусорный трафик.

После удаления первого правила очищаешь счетчики:

iptables -Z

Ждешь дудоса и смотришь правила снова, но на этот раз с отображением счетчиков:

iptables -vnL
edigaryev ★★★★★ ()
Ответ на: комментарий от Machine88

Сервер стал нагружаться на 70-80%, но не так как раньше на 100.

Что грузит сервер?

edigaryev ★★★★★ ()
Ответ на: комментарий от edigaryev

Скоро будет еще один дудос, дождусь его, посмотрю -vnL сделаю вам скриншот. Так же выложу новый tcpdump его нового вида атаки.

Machine88 ()
Ответ на: комментарий от edigaryev

Атака и грузит. При выполнении: netstat -apn | grep SYN | wc -l

Вижу число от 150 до 250.

Machine88 ()
Ответ на: комментарий от Machine88

по идее если бы оно банило - оно бы записывало в iptables -L --line-numbers

Бан есть. В трафике пропало черное. А эта команда показывает правила, а не число пакетов, которое попало под определенную строчку. Смотри

 iptables -vnL

andrew667 ★★★★★ ()
Последнее исправление: andrew667 (всего исправлений: 1)
Ответ на: комментарий от Machine88

Атака и грузит. При выполнении: netstat -apn | grep SYN | wc -l

Используй top.

edigaryev ★★★★★ ()

Заодно спрошу: syn куки тут не помогут?

xtraeft ★★☆☆ ()
Ответ на: комментарий от edigaryev

Убери правило, которое ищет подстроку нафиг. Это полный зашквар.

Среверы жуют много таких строк и не давятся, а специализированные очень много, и стоят в них xeon L. Про DPI слышал?

andrew667 ★★★★★ ()
Ответ на: комментарий от andrew667

Среверы жуют много таких строк и не давятся, а специализированные очень много, и стоят в них xeon L. Про DPI слышал?

Пруфы, тесты? Хотя впринципе мне хватило «Бан есть. В трафике пропало черное».

edigaryev ★★★★★ ()
Ответ на: комментарий от edigaryev

Так, вот только что была еще одна атака, это я уже сам этого человека попросил.

TOP: http://i.shotnes.com/a/01/hoocjs4y.lbm_53b1d80b06b2f.png http://i.shotnes.com/a/01/i3dpiuet.1nt_53b1d87e4d2be.png

iptables -vnL: http://i.shotnes.com/a/01/24a3z0kj.obg_53b1d93de9166.png

Сам трафик в nload : http://i.shotnes.com/a/01/ssaw5roq.c10_53b1d88a326c4.png

И напоследок новый дамп, как человек сказал нового метода: http://rghost.ru/private/56665862/a58d801e0355b8338c60c5676d992f7d

Теперь скажу. edigaryev действительно решил проблему по поводу loose. Потому что сам человек удивился, и говорит, странно, траф не доходит. Попробую ка новый метод. Новым методом у меня загрузка цп была 100%, но почему-то трафика не было. Тобишь - как он пропускал - я так и не понял. P.S. правило в iptables от andrew до этого удалил на тест.

Machine88 ()
Ответ на: комментарий от edigaryev

Пруфы, тесты?

Тебе надо ты и ищи. Скажу, что есть бан по url и много чему еще выше уровня IP на дохлом и серьезном сетевом оборудовании от самых разных производителей. iptables имеет аналогичные возможности. Правила для iptables на атаки распространяются в гите (в принципе те же сигнатуры), и в них строк очень много.

andrew667 ★★★★★ ()
Ответ на: комментарий от andrew667

Как я понял:

Это новый вид атаки, который мой сервер не дефает. Хоть и не пропускает трафик, но ядра грузятся на сотню %.

http://i.shotnes.com/a/01/d0tuwdlg.ney_53b1e877a7bb8.png

А вот старый вид атаки, который удалось залочить с помощью INVALID iptables правила и loose:

http://i.shotnes.com/a/01/sa11dwah.yoy_53b1ea66d4983.png Этот тоже трафик не пропускает, но ядра грузятся всего на 20-30%.

Нужно как-то теперь от 1 метода найти выход..

P.S. при второй атаке, которая сейчас никак не влияет на сервер практически - команда netstat -apn | grep SYN | wc -l выдавала 50-250.

А при 1й, от которой сервер падает до сих пор команда netstat -apn | grep SYN | wc -l выдает 0-3.

Machine88 ()
Ответ на: комментарий от Machine88

это я уже сам этого человека попросил

Ага, давай, рассказывай ему всё что ты делаешь, пусть ещё тебя нагнёт

zolden ★★★★★ ()
Ответ на: комментарий от zolden

Я ему ничего не рассказывал, просто попросил долбануть.

А когда он увидел, что не прошло, долбанул вторым методом.

Это плохо? Если не нужно просить - не буду, но так то он меня 100% будет ложить, потому что я не знаю, защитился или нет.

Machine88 ()
Ответ на: комментарий от Machine88

Очевидно ты раскрываешь свои карты, что на руку атакующему. Время играло на тебя, потому что заказчик атаки платит за каждые сутки.
В следующий раз он тебе тупо канал положит, как я понимаю гигабитный ддос стоит не намного дороже

zolden ★★★★★ ()
Ответ на: комментарий от zolden

и его не получится отразить крутя файрволл на самом сервере, да.

Frakhtan-teh ★★ ()
Ответ на: комментарий от Machine88

Вы какой-то чудной. Зачем вы вообще общаетесь с атакующим?

В первом дампе вас атаковали ACK-флудом. Я даже не знаю, как это называется, но, вероятно, просто спуфили src ip на ваш и отправляли рандомным хостам. Странно, вообще, что эта атака оказалась эффективной, там пакеты-то совсем маленькие приходят.

Из второго дампа не очень понятно, что конкретно происходит, вероятно, уже флуд на приложение, которое у вас на 7777 порту, идет.

В любом случае, атака детская (пока). На нее можно легко составить правила u32 и bpf (а bpf можно и через tcpdump сгенерировать).

ValdikSS ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.