Jump to content

Уникално силна DDoS атака!


muonplex

Recommended Posts

Здравейте от 2 часа насам имаме проблем в мрежата. Пробвано е около 9280 пъти да се пробие SSH паролата на една от машините.. от това ip: 183.136.216.6

Според мен е някакъв бот. Реших, че ако добавя drop правило за това ip нещата ще се оправят, но уви..

 

Атаките са толкова силни, че един от рутерите се рестартира заради CPU на 100%. Наложи се да спрем уебсървър-а, към който се регистрират атаките. След включването му в мрежата, атаките след първата минута са ненормални просто.

 

Има ли някаква оправия или да им пусна атомна бомба на китайците :)

Адрес на коментара
Сподели в други сайтове

Има да - смени порта на ssh и махни правилото за drop.

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Адрес на коментара
Сподели в други сайтове

Има да - смени порта на ssh и махни правилото за drop.

Правилото за drop, към атакуващото ip ли? Също така забелязах в Connection's някакви съобщения: syn sent, syn reserved..

Адрес на коментара
Сподели в други сайтове

Да, освен да си товариш cpu-то към момента на рутера ти друго не правиш и реално той го отнася. Нали но ти си решаваш, защото явно бордера ти е слаб и не може да понесе трафика.

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Адрес на коментара
Сподели в други сайтове

:)  Сменяш порта и си слагаш access list за ssh и всички услуги, които смяташ, че не е необходимо друг да ги достъпва. Повече подробности тук

Адрес на коментара
Сподели в други сайтове

Ясно, благодаря за отговорите, ще пробвам да сменя порта.

Иначе доста портове са ми отворени, защото машината е уеб сървър.. Има mail, dns, ftp и доста други неща.

 

@Mihail, забелязвам, че това го има вписано..

/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32  
action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d
Адрес на коментара
Сподели в други сайтове

Микротик и ddos атаки, интересна тема... :)))

Може да не е DDoS не знам какво е но все още оправия няма. :)

Забраних правилата в nat-а за ssh и нещата продължават. Включи ли се машината, която е атакувана в мрежата, за 1 минута става страшно просто..

 

Забравих да кажа, че машината е с най-новата версия на CentOS, 7, което ме навежда на мисълта, че може да е измислена някоя простотия нова, която да го скапва. :)

Редактирано от muonplex
Адрес на коментара
Сподели в други сайтове

Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт...

Ако е лесно, не е интересно :)

Адрес на коментара
Сподели в други сайтове

Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт...

Няма как да проверя, защото докато стигна до статистиката и тя започне да се пълни borda ме disconnect-ва, защото вече се е претоварил от конекциите.

 

@Tsunami направено е това вече, отдавна трябваше да получа обаждане ама като гледам..

Адрес на коментара
Сподели в други сайтове

  • Администратор

Ъплоуда ако не ти е зле директно му редиректвай ;)

забрани ICMP протокола глобално

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

заради подобен проблем вече 22 се отваря само с чук-чук на определен порт.

Това отваря към почукващото ип 10 сек прозорец за логване.. и това е.

А какъв е смисъла да имаш микротик пред майл, веб и етк и  да форвардваш

вече е съвсем отделна тема ;)

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

Извадихме лог, прегледахме го и вече са блокирани няколко ip-ta, като положението за момента е нормализирано. Flood-а определено продължава и се забелязват логовете и в момента, но всичко е добре за сега.

Мисля да обърна доста внимание на този проблем, дори ако се налага и по-голяма инвестиция, защото това е ужас..

 

@111111, как може да се получи това с ICMP протокола?

 

@Mile, не мога да ти дам точен отговор, но например в някои случай, за да не използваш iptables на машината :)

Адрес на коментара
Сподели в други сайтове

Ако идеята е защита... то тази тема нямаше да съществува.

В случая дали само ще те напрягат за логване или ще ти задръстят

канала е все тая. С микротик-а само усложняваш постановката и

печелиш една трудно обяснима безмислица. Вероятно е забавно

да се залага кое ще падне първо или пък в каква последователност,

но полза не виждам.

 

Сега относно "нормализирането".. ми то е два часа нощеска ;)

Изчакай утре до към 6-7 вечерта и пак пиши как е. Никой няма да те

флуди, когато смисъла клони към нула.

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.