Forum Debian Users Gang

Mam juz od dawna iptables. ten gość co mnie DDoSuje ma tez proxy wiec nic nie dalo wyciecie jego ipkow.. :/
a ta ochrona DDoS na prawde dziala.
w kazdym razie wydaje mi sie ze jest sposob na tego DDoSera. wystarczy wyciac z firewalla glownego jego wszystkie IP ale firma OVH nie chce tego zrobic :/
wiec musze zrobic ten Tunel..

Proszę, pomóżcie..

To nie jest DDoS z proxy, to jest zwykły DoS, DDoS jest wtedy, jak atakuje równocześnie kllkaset, czy kilka tysięcy komputerów.

Co do OVH - to nie mogą wyciąć tego na routerze poza limitem połączeń z jednego adresu IP.
Chyba, że taka usługa wisi w cenniku jako ochrona firewall za 599 netto.
To samo zrobisz przez connlimit lub recent z iptables.

Ddos miałbyś wtedy, jakbym np spingowal ze sfałszowanego adresu (podając Twój IP jako źródłowy) kilkanaście tysięcy komputerów i adresów rozgłoszeniowych różnych sieci.
Wykonalne, chociaż większość wspólczesnych routerów powinno posiadać podstawowy filtr, który przepuszcza tylko pakiety z adresów źródłowych, jakie rzeczywiście ma w sieci.
Ale jak znam życie, za taki luksus trzeba firmie Ciso zapłacić pewnie ze  300% normalnej ceny, więc jest jak jest.

Nie mniej jednak, Admin, który pozwala, żeby do jego sieci szły pingi na adresy rozgłoszeniowe z internetu, to dupa nie Admin.

Co do proxy, to można w ten sposób atakować usługi typu http, ftp, poczta czy inne demony, wszystkie można zabezpieczyć na różne sposoby, ograniczając dostęp z jednego adresu IP, np do 24 nowych połączeń na godzinę.
Poza tym wszystkie serwery www mają rozwiązania zabezpieczające, ftp najlepiej w ogóle wyłączyć,  zostawić tylko solidnie zabezpieczone ssh, serwery poczty też się zabezpiecza na okoliczność DoS.
Dlatego stawianie Proxy na drugim dedyku mija się z celem, (pytasz głównie o  proxy).

A właściwie to jakie to demony (serwery, usługi) się atakuje atakiem DDoS prze proxy, gdy robi to jeden skrypciarz?
Bo coś tam jest chyba bardzo kiepsko skonfigurowane.

Ostatnio edytowany przez Jacekalex (2011-05-26 13:20:40)

Ale jak atakuje do cholery, to jest atak pingami, czy połączeniami do jakiegoś demona typu Apache, Postfix, Ssh, Vpn, czy coś innego, czy samo bombardowanie pakietami SYN, czy ACK, co to za atak.

Jeśli natomiast nie wiesz, co to za atak, to skąd wiesz że to atak?

150 adresów IP? pewwnie skrypciarz, który załadował trojana 150 osobom, i teraz korzysta z ich kompów, albo 150 serwerów Proxy, z czego w co najmniej polowie możesz wyciąć  ruch identyfikując działanie proxy, niewiele serwerów proxy jest anonimowych, większość przekazuje w zapytaniu informację o oryginalnym adresie pacjenta.

A jak nie wiesz, jak usługa jest atakowana, jaki program ją obsługuje, to w ogóle nie ma gadki, bo i o czym.

Jeśli nawet dasz sie nabrać na drugi serwer, to i tak będzie można go zaatakować, a żaden Admin nie będzie się martwił atakami na twój serwer.

Jezeli masz Apacha, to rev-proxy na serwerze (tym samym) przy pomocy Nginxa albo Lighttpd załatwi sprawę.
Bo zgaduję, ze to być może  będzie atak Slowloris, który potrafi zajechać Apacha.
Ale zgadywanie nie jest moim chobby, więc albo napisz konkretnie jakie usługi i programy i jaki serwer, albo nie ma w ogóle o czym gadać.

A najlepiej poszukaj sobie Adminstratora, który Ci skonfiguruje ten serwer na OVH, bo najwyraźniej na razie skonfigurowany nie jest, tylko w najlepszym razie spieprzony.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-05-25 22:24:47)

to zablokuj na firewallu ruch udp i icmp w czym problem ?

A Ty na swoim nie możesz użyć takiego magicznego programu jak iptables ?

Nie wycinaj jego  adresów IP tylko cały ruch przychodzący udp i icmp.
Jak potrzebujesz mieć otwarty port dla wybranych adresów to po zablokowaniu całości otwórz go dla wybranych IPków.
Do tego możesz jeszcze limitować ilość połączeń.

RTFM || Ask Google

Jest to mój pierwszy post więc witam wszystkich. Znam użytkownika brozdo, właśnie on teraz pokazał mi ten temat, dlatego chce napisać lekkie sprostowanie. Atak o którym mowa, to nie żadne syn flood czy tcp connection flood. Jest to zwyczajny klasyczny atak UDP Flood. Na serwerze ovh jest ładnie przyzbrojony iptables, ograniczenie liczby połączeń, oraz ograniczenie szybkości nawiązywania nowych połączeń oparte na module recent. Dodatkowo limitowane są pakiety ICMP, dropowane pakiety ICMP o wielkości większej niż zwykły domyślny windowsowy ping oraz Ograczone są pakiety UDP. Ale jak zapewne wiecie nic to nie da. Bo co z tego, że iptables dropuje pakiety skoro one i tak wysysają całę łącze. Serwer jest wpięty w link 100Mbps a atak jest silniejszy. Atakujący używa swojego mini botneta składającego się z około 150 komputerów zoombie. Komputery zoombie nie składają się głównie z domowych zwykłych użytkowników lecz w sieci jest kilka przejętych serwerów dedykowanych / vpsów z firm takich jak leaseweb. W takiej sytuacji administrator, nie może zrobić za wiele. Pierwsza próba to nagranie tcpdumpa i wysłanie logów na support do ovh. Mimo, że ta mała sieć ddos szantażuję sporą ilość klientów ovh i wyłudza od nich mega characz w kwocie 30zł xD to i tak ovh ma to w .....! Zasłaniają się tym, że ostatnio wprowadzali swoje magiczne zabezpieczenia przeciwko UDP Flood i nic nie zrobią. Ostatnio broniłem się przed tego typu atakiem w następujący sposób. Wykupiłem VPSA w firmie hosteam.pl która ma osłone przeciwko małym atakom DDoS. W zupełności się zgadzam, że nie istnieje ochrona DDoS jeśli ktoś wykona to porządnie i wie co robi. Ale ta firma radzi sobie z UDP floodem i ładnie wycina małe i średnie ataki UDP, ICMP. Pomiędzy firmą w polsce a OVH uruchomilem szyfrowany tunel OpenVPN i cały ruch kieruje przez poznań. Oczywiście ip w ovh zostało zmienione, żeby atakujący nie znał ip maszyny na której stoji ten serwer. Z powodu ograniczonego budżetu jest to rozwiązanie tymczasowe. Najlepiej wykupić Dedyka w tej firmie a nie forwardować cały ruch przez VPSa. Połączenie działa bardzo dobrze mimo tego, że przez tunel leci spora ilość danych. Nie zanotowaliśmy większych problemów / opóźnień  z tym związanych. A swoją drogą zgłaszanie takich spraw na policje jest dla mnie bezsensem. W dzisiejszych czasach gdy wszyscy mają wszystko głęboko w d.... Policja by zaraz umożyła sprawe z braku dowodów, OVH prędzej rozwiąże z Wami umowę niż coś bloknie na swoich firewallach, a wysyłanie zgłoszeń do ISP z których są ataki też jest stratą czasu. Ostatnio był taki przypadek, że atakowali mnie z serwerów netartu. Jako, że jest to polski hosting więc zadzwoniłem na support. Podałem im ip serwerów i miły Administrator dropował po koleji ich VPSy. Jednak sytuacja się powtarzała, ataki były z różnych VPSów a ja ciągle wisiałem na linii i zgłaszałem kolejne ipki. W końcu zaproponowałem rozwiązanie, zeby wycieli mnie na routerach brzegowych. Aby, żaden pakiet nie docierał do mojego serwera. Spotkałem się z odmową mojej prośby bo nie było tam jakiegoś ich czarodzieja od takich spraw xD. W sumie to nie wiem w ogóle po co był zaczynany ten temat. Sorry, że was zanudziłem.

A dołącze wam ipki komputerów atakujących. Nie które to przejęte VPSY z windowsem, może ktoś znajdzie coś ciekawego dla siebie:
http://www.speedyshare.com/files/28651454/atak.txt

Ostatnio edytowany przez j4k (2011-05-26 11:46:23)

Kolego sympatyczny nie wiem czy czytałeś mojego posta dość wnikliwie, lecz tutaj włąsnie jest taka sytuacja. Łącze jest całe zapchane więc dropowanie firewallem na maszynie docelowej nic nie da. Więc jak byś nas odesłał to na pewno ciepłych słów byś od nas nie otrzymał ;]. Pozdrawiam.

Za poprzednie posty nie odpowiadam, gdyż nie ja je pisałem lecz brozdo. Nawet nie wiedziałem o istnieniu tego wątku. Nie wiem czy miałeś doczynienia kiedykolwiek z supportem OVH ale tam jest masówka. Liczy się sztuka a nie klient. Znam takie przypadki, że w przypadku ataku po prostu odłączają klientowi serwer i tłumaczą się tym, że to jego wina gdyż to on na pewno sprowokował atak na siebie ;]. Chore ale prawdziwe. A tak jak mówisz wystarczyłoby trochę dobrej woli ze strony adminów. "Brozdo" aktualnie na tym dedyku trzyma serwer gry która wymaga mocnego procka  i ramu, natomiast wyjście / wejście na łączu nie przekracza 5Mbps. Więc wykupienie VPSa w hosteam oraz ustanowienie połączenia OpenVPN między tymi maszynami oraz puszczenie całego ruchu ovh przez Poznań jest dobrym pomysłem. Taki podwójny firewall. Konfigurowałem coś takiego dla jednego znajomego i sprawdza się to całkiem fajnie. Co prawda jeśli atakujący poznał by IP maszyny OVH to ominoł by VPS-a i atakował bezpośrednio. Lecz musiał by dobrze strzelać, gdyż IP w ovh jest ustawione na ipfailover i można je szybko zmienić.
Tak jak pisałem to rozwiązanie jest na szybko. Od taka prowizorka:

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.2  P-t-P:10.8.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:86983498 errors:0 dropped:0 overruns:0 frame:0
          TX packets:89963762 errors:0 dropped:3361 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:5209045679 (4.8 GiB)  TX bytes:19662884283 (18.3 GiB)

Wykupienie maszyny w innej serwerowni to dobry pomysł na przyszłość jak brozdo bedzie miał na to fundusze. Aktualnie takie coś musi wystarczyć. Można podjąć jeszcze raz próbę o limitowanie pakietów UDP, lecz znając życie oleją sprawę, bo przecież liczy się sztuka i kasa a nie klient.
Moje zdanie jest takie, że dedyki OVH jak najbardziej do torrentów i zabawy a na rozwiązania profesjonalne polecam szukać innej firmy.

W sumie to masz rację szyfrowanie tego co przyszło z internetu nie ma za dużego sensu. Ale jestem dość młodym administratorem i OpenVPN konfigurowałem pierwszy raz więc korzyść z tego taka, że przynajmniej się czegoś nauczyłem. No to widać, że im starszy hosting to każdy zaczyna zlewać obsługę klienta. Ja do home.pl i nazwa.pl dorzuce ze swojej strony jeszczę firmę superhost.pl i ich serwery dedykowane. Polecam firme hosteam.pl, support bardzo fajny i przyjazdy. Prosiłem na mailu o włączenie xt_connlimit oraz obsługę TUN / TAP do VPSa (openVZ) i już po 10, 20 minutach wszystko było pięknie ustawione. Ale pewnie dlatego, że to młoda firma i chcą się wybic. Ok to by było chyba na tyle.

Dzięki za rady i rozmowę na poziomie.