Новая тема   Ответить

 Serha
вчера досили мой сж, ситуация была такая чтоисходящий траффик был 21Mb\s сервер не выдержал как я понял из-за того что было запущено оч много апачей, как с этим бороться?
и еще, если я кому то чего то не так сделал и это мне мстят, стукнись плз, все выясним, но вроде ничего такого не припоминаю, да и в бизе я не давно чтоб успеть чего нить сделать этакого...
в обшем топик сводится к 3 вопросам
1) как бороться с дос-атаками
2) как узнать кто меня досит
3) забыл чего, как вспомню напишу..
????

 Alexus
1. ни как (с учетом твоих возможностей)
2. ни как.
3. вспоминай.

З. Ы.
Может это и не ддос. Ддосы денег стоят, кому ты на... сдался?

 Sortunity
только банить подсетки.
единственное спасение от ддос.

 kit
...на роутерах у хостера.

 jurar1
а у меня попутный вопрос -
себестоимость ддоса уменьшилась в разы что ли?
раз так активно всех досят...

+ и я че то раньше не слыхал про энти досы -
а тут на адалт как напасть - е***ь ее

 Alexus
sortunity писал:

объясняю. ддос это распределенная атака при которой на хост сыпятся ЛЕВЫЕ пакетики с разных хостов.
Левые это значит что эти пакетики генерируются искуственно и обратный ип в них может быть любой и определить по нему откуда пришел пакет невозможно. так что если банить, то банить весь интернет.

цена действительно упала. в первую очередь в связи с тем что многие дрочи стали ходить через адсл. достаточно впарить ему трояна через какую ни будь дыру в ИЕ и ....

2 jurar1
ты бы проверил хост на предмет троянов. может просто спамеры у тебя релей соорудили? у меня за последние четыре месяца два раза такое было...

Последний раз редактировалось: Alexus (01/07/03 в 20:20), всего редактировалось 1 раз

 Sortunity
Очень редко атаки идут больше, чем с одной сетки класса А.
За всю мою практику я видел только один подобный случай.
Но это стоило ребятам очень дорого.

 Alexus
sortunity писал:

сам подумай. пакеты генерируются ЛЕВЫЕ, ОБРАТНЫЙ ИП в них можно поставить ЛЮБОЙ...

к тому же затроянить можно любой не пропатченый комп у дроча. они же не все в одной подсетке?

Последний раз редактировалось: Alexus (01/07/03 в 20:23), всего редактировалось 1 раз

 Sortunity
Alexus писал:
с этого момента поподробнее, плиз ;)

Alexus писал:
А вот насчет пропатченья, да, есть подобная тенденция.
Раньше бомбили только с серваков, сейчас начинают бомбить и с SL каналов.

 Alexus
подробнее о чем?

 Sortunity
о подмене входящего/исходящего IP

 Alexus
[removed. ссылка ниже явно более в тему]

Последний раз редактировалось: Alexus (01/07/03 в 21:11), всего редактировалось 3 раз(а)

 Sortunity
Alexus:
Вот как оказалось.
Мои данные немного устарели ;)
Я говорил про TCP атаку, где подмена IP невозможна из-за обязательного диалога.
А, оказывается, есть еще и други виды атак, в том числе и IP спуфинг.

Интересненько... Спасибо за поправку.

 Sortunity
А ликбез по DDoS читаем тут: http://web-support.ru/net-security/sec_18.shtml

 Serha
входящий траф дошел до 27мб\с...карраул..че делать то

 Vad
досить можно и без троянов, если есть свой траф. причем так, что рефа никакого не будет и вычислить откуда атакуют невозможно.
подробностей не будет конечно

 Alexus
Serha писал:

ты разберись сначала. Входящий или ИСходящий.

 Alexus
Vad писал:

ну ну. великий секрет. хотлинк на яваскрипте. но это досом с натяжкой можно назвать.

 Vad
без ява-скрипта

 Alexus
талант!

 Vad
дык

 Serha
Максимально Входящий трафик 27.0 Mb/s В среднем Входящий трафик 2223.9 kb/s Сейчас Входящий трафик 22.2 Mb/s
Максимально Исходящий трафик 9557.2 kb/s В среднем Исходящий трафик 2467.1 kb/s Сейчас Исходящий трафик 937.7 kb/s

 seagate
Serha писал:
1)Зависит от типа атаки. В одних случаях легко и дёшево, в других - тяжело и дорого.
2)См. п. 1.
Рассмотрим пример одной из самых распространённых атак - атака с помощью заражённых компьютеров. Сначала анализируются логи на наличие ip компьютеров с которых идёт атака. Берётся к примеру компьютер 127.0.0.1(для примера, конечно ), определяется тип ОСи. Заодно сканерами ищем в нём уязвимости. Для примера, на 127.0.0.1 оказалась установлена winnt с "дыряым" iis 4.0. Используя дыру необходимо проникнуть на хард компьютера и аналитическими средствами определить гдеже находится троян, который напускает на нас злобный трафик. В идеальном случае програма нашлась, к примеру Exe.exe. Теперь в дело необходимо бросить хороший дизасемблер, ещё возможно и откладчик. Далее нужно найти средсво, через которое этот троян контролируется(e-mail, icq, irc). Как правило, это IRC(а троян выполняет роль бота). С помощью тех же самых откладчиков определяется и адрес сервера irc и irc-канала. Дело за малым - убрать ботов с канала, или же если сервер принадлежит досеру, "убрать" сервер. Средствами демократическими и не очень.
Теперь о том как вычислить досера и сломать ему ноги/руки/рёбра/ жизнь/далее по желанию. На канал необходимо повесить своего бота, который просто запишет whois администратора канала при входе, и будет kick'ать всех остальных ботов.
Пример, конечно, был рассмотрен идеальный. Но иногда досеры используют прокси, а боты запрограмированы на атаку одного сайта... Вариантов много. Ещё раз повторюсь. Всё зависит от типа атаки. В одних случаях легко и дёшево, в других - тяжело и дорого. Но возможно всё.

 Zmey Горыныч
Serha "При пожаре звоните 03", а не звоните друзьям по мобильному с вопросом, что они делают в подобных ситуациях. В твоем случае надо обратится к админу хоста. Кстати может выяснится что это не DoS, а накрутки или глюки скрипта.
На выставке видел маршрутизаторы специальные, говорили что помогает.

 Serha
плюс ко всему токо что проверился на вирусы с обновленной базой нашло вот что
D:\Documents and Settings\sergey\Local Settings\Temporary Internet Files\Content.IE5\81AJSD6J\VerifierBug[1].class Вылечен Exploit.Java.Bytverify
около 30к копий, было бы больше если бы просто темпорари не удалил...а вот что мне мастер-х выдал
http://teens.virgin-paradize.com/serha-xakep.jpg
в обшем охуенный сегодня день....
мот мной явно кто заинтересовался...или че...
ха---прикол...пока писал глянул че пищит авп все равно, оказалось что вот этот файлик авп типа лечит и опять находит и этот процесс циклически повторялся пока вручную снова не удалил файл, дальше вроде пошел проверять комп авп...т.е. был всего 1 файлик...
и вот еще что нашлося...и не могет авп ни вылечить ни удалить..
D:\Program Files\bat\MAIL\tut\Trash\MESSAGES.TBB/[From Sergey<borisfen2001@mail.ru>][Date Mon,23 Jun 2003 19:57:03 PM]/011.zip/DOCUME~1/CLIENT~1/LOCALS~1/Temp/011.exe Инфицирован I-Worm.Lentin.m
так что кто давно не проверлся гляньте...по ходу авм начинают зверствовать или у меня уже паранойа...

Последний раз редактировалось: Serha (01/07/03 в 22:59), всего редактировалось 1 раз