Уникално силна DDoS атака!

[kokaracha]

С тия блок правила само си товарите излишно сапунрките

 

*Hint

 

/ip route add dst-address=net/mask type=blackhole

[muonplex]

Ако идеята е защита... то тази тема нямаше да съществува.

В случая дали само ще те напрягат за логване или ще ти задръстят

канала е все тая. С микротик-а само усложняваш постановката и

печелиш една трудно обяснима безмислица. Вероятно е забавно

да се залага кое ще падне първо или пък в каква последователност,

но полза не виждам.

 

Сега относно "нормализирането".. ми то е два часа нощеска

Изчакай утре до към 6-7 вечерта и пак пиши как е. Никой няма да те

флуди, когато смисъла клони към нула.

 

Тази вечер в 18:27ч. пак се опитаха да задръстят нещата. За момента се нормализира положението отново.. ще видим до кога.

Тези address list-ове, които са написани уж против тия неща в wiki-то на mikrotik, бяха претрупани преди малко, като ги погледнах.

 

Всичко това е умишлено на 100% от конкуренция, защото точно на тази машина стоят някои доста известни портали.

 

@kokaracha, би ли обяснил, какво ще върши това, което си ми дал

Редактирано 17 Март, 2015 от muonplex

[Mile]

ще върши още по-добра работа това, което ти е написал ако се случи при твоя доставчик.

В случая без него няма да минеш. Не става като Мюнхаузен да се изтеглиш за косите

[kokaracha]

Не мога да ти обясня защото не мога да обяснявам,обикновенно когато започна да обяснявам никой не ме разбира

Мога да ти диагностицирам проблема обаче.

Обикновенно малки/средни доставчиците не се занимават със решаване не клиентски проблеми от тоя сорт по обектовни причини.

[muonplex]

Не мога да ти обясня защото не мога да обяснявам,обикновенно когато започна да обяснявам никой не ме разбира

Мога да ти диагностицирам проблема обаче.

Обикновенно малки/средни доставчиците не се занимават със решаване не клиентски проблеми от тоя сорт по обектовни причини.

Това е ясно за доставчиците, обаче аз не съм на това дередже, за което се радвам де. Ще видя какво ще се случи до 2/3 дни и ще се обърна към хора, които ще оправят нещата

[kokaracha]

Абе какви/за какви 2/3 дни говориш, в хостинг бранша се говори за минути ... тия  "известни портали" от сега ги виждам как са си сменили местостоянката

Редактирано 17 Март, 2015 от kokaracha

[emc1000]

C:Documents and SettingsAdministrator>tracert 183.136.216.6

Tracing route to 183.136.216.6 over a maximum of 30 hops

  1    ...............
  2   ...............
  3     ..............
  4    16 ms    17 ms    16 ms  212.39.69.209
  5    17 ms    17 ms    17 ms  83.217.227.21
  6   210 ms   209 ms   210 ms  ae-7.r02.frnkge04.de.bb.gin.ntt.net [129.250.3.2
4]
  7    47 ms    47 ms    67 ms  ae-3.r20.frnkge04.de.bb.gin.ntt.net [129.250.3.9
3]
  8   134 ms   137 ms   141 ms  ae-7.r22.asbnva02.us.bb.gin.ntt.net [129.250.3.2
0]
  9   204 ms     *        *     et-1-1-0.r21.lsanca03.us.bb.gin.ntt.net [129.250
.3.189]
 10   200 ms   198 ms   204 ms  ae-2.r04.lsanca03.us.bb.gin.ntt.net [129.250.5.7
0]
 11   203 ms   204 ms   207 ms  218.30.53.69
 12     *        *        *     Request timed out.
 13   401 ms   407 ms   410 ms  202.97.51.29
 14     *        *        *     Request timed out.
 15   337 ms   323 ms   316 ms  202.97.50.249
 16   494 ms   508 ms   492 ms  202.97.34.218
 17   354 ms   364 ms   379 ms  220.187.248.150
 18     *        *        *     Request timed out.
 19   347 ms   340 ms   340 ms  122.224.7.142
 20   388 ms   348 ms   362 ms  183.136.216.6

Trace complete.

root@webserver [~]# traceroute 183.136.216.6
traceroute to 183.136.216.6 (183.136.216.6), 30 hops max, 60 byte packets
 1  ................
 2  ................
 3  ................
 4  te-4-2.car1.Sofia1.Level3.net (212.162.46.173)  7.911 ms  7.847 ms  7.948 ms
 5  ae-4-90.edge2.SanJose3.Level3.net (4.69.152.209)  189.551 ms ae-1-60.edge2.SanJose3.Level3.net (4.69.152.17)  189.488 ms *
 6  CHINA-TELEC.edge2.SanJose3.Level3.net (4.53.210.114)  192.241 ms CHINA-TELEC.edge2.SanJose3.Level3.net (4.53.210.210)  190.962 ms CHINA-TELEC.edge2.SanJose3.Level3.net (4.53.210.206)  192.162 ms
 7  * * *
 8  202.97.58.189 (202.97.58.189)  323.291 ms  321.780 ms  322.139 ms
 9  202.97.33.125 (202.97.33.125)  336.288 ms 202.97.34.45 (202.97.34.45)  322.761 ms 202.97.34.101 (202.97.34.101)  341.009 ms
10  202.97.33.25 (202.97.33.25)  334.362 ms 202.97.33.65 (202.97.33.65)  362.287 ms 202.97.50.225 (202.97.50.225)  344.954 ms
11  * 202.97.55.2 (202.97.55.2)  337.882 ms *
12  115.233.166.250 (115.233.166.250)  359.380 ms 115.233.166.142 (115.233.166.142)  340.288 ms 220.187.248.74 (220.187.248.74)  337.067 ms
13  * * *
14  122.224.7.186 (122.224.7.186)  337.244 ms 122.224.7.170 (122.224.7.170)  368.754 ms 122.224.7.142 (122.224.7.142)  337.367 ms
15  183.136.216.6 (183.136.216.6)  337.727 ms  336.940 ms  342.802 ms

Колко пък уникално силна?

Това ип е на другия край на земното кълбо. Да не би да бъркаш нещо?

[muonplex]

Абе какви/за какви 2/3 дни говориш, в хостинг бранша се говори за минути ... тия  "известни портали" от сега ги виждам как са си сменили местостоянката

Извинявай, но известните портали, не са спирали да работят. 

 

@emc1000, зае*и го това ip, защото flood-а се появи от съвсем други ip-та, а от това се появиха опитите за "взлом" в машината през ssh

 

edit: След тези 9260 опита горе/долу, имаше и още 56 отново към ssh.

Редактирано 18 Март, 2015 от muonplex

[vv1]

Колега ама ти не си смени порта и си броиш неуспешните опити, само едно много да кажа еми браво!

Тази бот мрежа ще те помпи докато има интерес. Играй си  колкото искаш с правила на микротиката ти, но това няма да ги спре!

 

 

@kokaracha коя е тази хостинг копания дето ги спира за минути, моля те назовия по име да си пусна един план при тях.

[muonplex]

 

Колега ама ти не си смени порта и си броиш неуспешните опити, само едно много да кажа еми браво!

Тази бот мрежа ще те помпи докато има интерес. Играй си  колкото искаш с правила на микротиката ти, но това няма да ги спре!

 

 

@kokaracha коя е тази хостинг копания дето ги спира за минути, моля те назовия по име да си пусна един план при тях.

 

 

Това са опитите, които бяха в самото начало, т.е дори, когато не бях пуснал темата още.

Вече споменах, че нормализирахме нещата, към този момент..

 

Интересното е, че първият път, когато беше най-силно се случи около 18:00.ч вечерта, а вчера се случи отново в този час.

 

Edit: Сменяйте портове и каквото искате, а ето Ви резултата:

 

Last failed login: Wed Mar 18 07:00:24 EET 2015 from 115.239.228.35 on ssh:notty

There were 32 failed login attempts since the last successful login.

Last login: Wed Mar 18 06:20:01 2015 from 211.233.8.36

Редактирано 18 Март, 2015 от muonplex

[h3ll]

СМЕХ

[emc1000]

 

 

Edit: Сменяйте портове и каквото искате, а ето Ви резултата:

 

Last failed login: Wed Mar 18 07:00:24 EET 2015 from 115.239.228.35 on ssh:notty

There were 32 failed login attempts since the last successful login.

Last login: Wed Mar 18 06:20:01 2015 from 211.233.8.36

 

 

 

Уточни, от какво точно се оплакваш.

Защото аз останах с впечатление, че е от опити за логин на даден порт, което е доста различно от ddos атака.

 

Всекидневни опити има и при мен, даже все по-рядко ги забелязвам, дори съм на 2200 порт.

Редактирано 18 Март, 2015 от emc1000

[Mupo neTkoB]

Всекидневни опити има и при мен, даже все по-рядко ги забелязвам, дори съм на 2200 порт.

Даже вече не логвам заявките дропвани от файеруоу-а

[muonplex]

От атаките се оправихме за момента, но се вижда днес, че дори има успешен вход в ssh от този скапан бот, който е налазил нещата. Спряхме окончателно външния достъп към ssh.

 

@emc1000, основния проблем бяха атаките, а това с ssh го забелязах случайно.

 

Хубав ден на всички.

 

@h3ll, кажи приятел ?

[vv1]

Колега от чисто любопитство с root ли е успял да се логне ?