Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-03-31 13:39:21
djjanek - 
Użytkownik
DDOS
Mam serwer asterisk no i dzisiaj ktoś zaczął około 100 zapytań na sekundę próbować logować się do SIP, co w efekcie dało to że zablokował mi pasmo.
Dodałem te IP do iptables drop, dodałem te IP do hosts.deny ale i tak widzę że jest jeszcze duży ruch.
Zna ktoś jakieś inne jeszcze sposoby?
Offline
#2 2011-03-31 13:43:25
life - Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
Re: DDOS
firewall blokuje ale ruch dochodzi żeby zwolnić pasmo musisz poinformować o tym dostawce/serwerownie żeby wycinał to przed twoim serwerem.
Offline
#3 2011-03-31 16:20:38
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: DDOS
Iptables recent analogicznie do ssh, np po trzech nowych (NEW) połączeniach godzinka odpoczynku.
Do tego dorzuciłbym xtables-addons, recent puścił po zakresie kilkuset portów,
i zamiast celu DROP dla odrzucanych połączeń dał STEAL|TARPIT|DELUDE|CHAOS, żeby utrudnić skanowanie portów serwera.
Ewentualnie snort+{snortsam|guardian.pl} lub psad, ale to już więcej zabawy w konfiguracji, a i procek miałby więcej roboty.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2011-03-31 16:21:11)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#4 2011-03-31 18:29:17
life - Użytkownik
- life
- Użytkownik
- Zarejestrowany: 2009-10-30
Re: DDOS
tak ale to i tak nie zmieni faktu że ruch będzie przychodził (pomimo tego, że będzie się odbijał czy też "trafiał w nicość") aby odciąć ruch całkowicie trzeba uciąć go "wyżej" czyli np. na routerach DC
Offline
#5 2011-03-31 20:42:16
djjanek - Użytkownik
#6 2011-04-01 02:18:33
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: DDOS
Co nie zmienia faktu, że włamanie dotyczyło próby logowania do Asteriska.
Co do ISP, to czasem zrobią to lepiej, czasem gorzej, przeważnie byle jak.
Jak ze zwykłego skanowania portów wychodzą kwadratowe nieczytelne jaja,
to 95% skrypciarzy poszuka gdzie indziej.
W dodatku akcja STEAL, TARPIT czy DELUDE daje nieporównywalnie mniejsze obciążenie dla procka i łącza, niż błąd logowania w Asterisku.
A prawie każdy skrypciarz, dobiera się do serwera żeby go shakować w jeden wieczór, a nie certolić się 2 miesiące, żeby wyczaić, co w ogóle jest grane.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-04-01 02:18:49)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline