Jump to content

Уникално силна DDoS атака!

muonplex

От muonplex
в RouterBoard

 Сподели

Recommended Posts

muonplex Новак

muonplex

Публикувано
Публикувано

Здравейте от 2 часа насам имаме проблем в мрежата. Пробвано е около 9280 пъти да се пробие SSH паролата на една от машините.. от това ip: 183.136.216.6

Според мен е някакъв бот. Реших, че ако добавя drop правило за това ip нещата ще се оправят, но уви..

 

Атаките са толкова силни, че един от рутерите се рестартира заради CPU на 100%. Наложи се да спрем уебсървър-а, към който се регистрират атаките. След включването му в мрежата, атаките след първата минута са ненормални просто.

 

Има ли някаква оправия или да им пусна атомна бомба на китайците :)

Адрес на коментара
Сподели в други сайтове
  • Отговори 49
  • Created
  • Последен отговор

Top Posters In This Topic

  • muonplex

    15

  • vv1

    5

  • emc1000

    4

  • Mihail Peltekov

    3

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Mile
Mile

заради подобен проблем вече 22 се отваря само с чук-чук на определен порт. Това отваря към почукващото ип 10 сек прозорец за логване.. и това е. А какъв е смисъла да имаш микротик пред майл, веб и е

kokaracha
kokaracha

С тия блок правила само си товарите излишно сапунрките   *Hint   /ip route add dst-address=net/mask type=blackhole

Mupo neTkoB
Mupo neTkoB

Даже вече не логвам заявките дропвани от файеруоу-а

Posted Images

vv1 Изследовател

vv1

Отговорено
Отговорено

Има да - смени порта на ssh и махни правилото за drop.

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Адрес на коментара
Сподели в други сайтове
muonplex
Новак

muonplex

Отговорено
  • Автор
Отговорено

Има да - смени порта на ssh и махни правилото за drop.

Правилото за drop, към атакуващото ip ли? Също така забелязах в Connection's някакви съобщения: syn sent, syn reserved..

Адрес на коментара
Сподели в други сайтове
vv1 Изследовател

vv1

Отговорено
Отговорено

Да, освен да си товариш cpu-то към момента на рутера ти друго не правиш и реално той го отнася. Нали но ти си решаваш, защото явно бордера ти е слаб и не може да понесе трафика.

Операционни система за рутери и  суичове : Linux и FreeBSD.
OpenWRT - Open Wireless Router.
Всичко останало е просто търговско наименование.

Mikroshit.png

Адрес на коментара
Сподели в други сайтове
Mihail Peltekov Новак

Mihail Peltekov

Отговорено
Отговорено

:)  Сменяш порта и си слагаш access list за ssh и всички услуги, които смяташ, че не е необходимо друг да ги достъпва. Повече подробности тук

Адрес на коментара
Сподели в други сайтове
muonplex
Новак

muonplex

Отговорено
  • Автор
Отговорено

Ясно, благодаря за отговорите, ще пробвам да сменя порта.

Иначе доста портове са ми отворени, защото машината е уеб сървър.. Има mail, dns, ftp и доста други неща.

 

@Mihail, забелязвам, че това го има вписано..

/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32  
action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d
Адрес на коментара
Сподели в други сайтове
muonplex
Новак

muonplex

Отговорено
  • Автор
Отговорено (Редактирано)

Микротик и ddos атаки, интересна тема... :)))

Може да не е DDoS не знам какво е но все още оправия няма. :)

Забраних правилата в nat-а за ssh и нещата продължават. Включи ли се машината, която е атакувана в мрежата, за 1 минута става страшно просто..

 

Забравих да кажа, че машината е с най-новата версия на CentOS, 7, което ме навежда на мисълта, че може да е измислена някоя простотия нова, която да го скапва. :)

Редактирано от muonplex
Адрес на коментара
Сподели в други сайтове
SubmitBG Новак

SubmitBG

Отговорено
Отговорено

Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт...

Ако е лесно, не е интересно :)

Адрес на коментара
Сподели в други сайтове
muonplex
Новак

muonplex

Отговорено
  • Автор
Отговорено

Важно е да уточниш няколко неща - за колко пакета в секунда, мегабита става на въпрос, от един сорс IP адрес ли идва или от много, какъв протокол е, кой е атакувания порт...

Няма как да проверя, защото докато стигна до статистиката и тя започне да се пълни borda ме disconnect-ва, защото вече се е претоварил от конекциите.

 

@Tsunami направено е това вече, отдавна трябваше да получа обаждане ама като гледам..

Адрес на коментара
Сподели в други сайтове
  • Администратор
111111 Изгряваща звезда

111111

Отговорено
  • Администратор
Отговорено

Ъплоуда ако не ти е зле директно му редиректвай ;)

забрани ICMP протокола глобално

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове
Mile Новобранец

Mile

Отговорено
Отговорено

заради подобен проблем вече 22 се отваря само с чук-чук на определен порт.

Това отваря към почукващото ип 10 сек прозорец за логване.. и това е.

А какъв е смисъла да имаш микротик пред майл, веб и етк и  да форвардваш

вече е съвсем отделна тема ;)

  • Харесай 1
Адрес на коментара
Сподели в други сайтове
muonplex
Новак

muonplex

Отговорено
  • Автор
Отговорено

Извадихме лог, прегледахме го и вече са блокирани няколко ip-ta, като положението за момента е нормализирано. Flood-а определено продължава и се забелязват логовете и в момента, но всичко е добре за сега.

Мисля да обърна доста внимание на този проблем, дори ако се налага и по-голяма инвестиция, защото това е ужас..

 

@111111, как може да се получи това с ICMP протокола?

 

@Mile, не мога да ти дам точен отговор, но например в някои случай, за да не използваш iptables на машината :)

Адрес на коментара
Сподели в други сайтове
Mile Новобранец

Mile

Отговорено
Отговорено

Ако идеята е защита... то тази тема нямаше да съществува.

В случая дали само ще те напрягат за логване или ще ти задръстят

канала е все тая. С микротик-а само усложняваш постановката и

печелиш една трудно обяснима безмислица. Вероятно е забавно

да се залага кое ще падне първо или пък в каква последователност,

но полза не виждам.

 

Сега относно "нормализирането".. ми то е два часа нощеска ;)

Изчакай утре до към 6-7 вечерта и пак пиши как е. Никой няма да те

флуди, когато смисъла клони към нула.

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
 Сподели
Върнете се назад

  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.

  I accept