Forum Debian Users Gang

milik · 2013-08-27 14:34:50

Witam,

mam mały serwer VPS i zauważyłem duży ruch przychodzący w iftop oraz tcpdump z "czegoś" takiego:

Kod:

14:33:11.426819 IP ec2-23-21-97-32.compute-1.amazonaws.com.42101 > 37.252.121.159.58277: UDP, length 9216
14:33:11.427428 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427435 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427440 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427444 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427448 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427453 IP ec2-23-21-97-32.compute-1.amazonaws.com.46404 > 37.252.121.159.9373: UDP, length 9216
14:33:11.427458 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427462 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427464 IP ec2-23-21-97-32.compute-1.amazonaws.com.41041 > 37.252.121.159.54339: UDP, length 9216
14:33:11.427655 IP ec2-23-21-97-32.compute-1.amazonaws.com.51996 > 37.252.121.159.45129: UDP, length 9216
14:33:11.427661 IP ec2-23-21-97-32.compute-1.amazonaws.com.40490 > 37.252.121.159.53745: UDP, length 9216
14:33:11.427666 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427670 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427673 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427677 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.427680 IP ec2-23-21-97-32.compute-1.amazonaws.com.44548 > 37.252.121.159.2585: UDP, length 9216
14:33:11.429842 IP ec2-23-21-97-32.compute-1.amazonaws.com.42381 > 37.252.121.159.6204: UDP, length 9216
14:33:11.429853 IP ec2-23-21-97-32.compute-1.amazonaws.com.51924 > 37.252.121.159.33938: UDP, length 9216
14:33:11.429889 IP ec2-23-21-97-32.compute-1.amazonaws.com.35404 > 37.252.121.159.32760: UDP, length 9216
14:33:11.430142 IP ec2-23-21-97-32.compute-1.amazonaws.com > 37.252.121.159: udp
14:33:11.430148 IP ec2-23-21-97-32.compute-1.amazonaws.com.46723 > 37.252.121.159.24399: UDP, length 9216

to tylko mała część loga, ktoś wie co to może być i jak to wyłączyć bądź zablokować?

Jacekalex · 2013-08-27 18:26:39

Zablokować na FW, więcej nie wymyślisz.
To prawdopodobnie najzwyklejszy atak DOS/DDOS.
Swoją drogą, ciekawy zaszczyt, ktoś wynajmuje na godziny chmurkę EC2
od Amazona, żeby młócić testować Twój VPS?

Podpadłeś komuś?

Ewentualnie możesz próbować jakiegoś ABUSE Amazona zmusić do reakcji,
ale nie liczyłbym na to.

Ostatnio edytowany przez Jacekalex (2013-08-27 18:27:57)

milik · 2013-08-27 20:01:33

Raczej nie podpadłem, kumpel ma to też na swoim serwerze, dokładnie to samo. A co to jest ta chmurka EC2?

Jacekalex · 2013-08-27 20:03:17

milik napisał(-a):
Raczej nie podpadłem, kumpel ma to też na swoim serwerze, dokładnie to samo. A co to jest ta chmurka EC2?

Masz bana na wiki?
http://pl.wikipedia.org/wiki/Amazon_Elastic_Compute_Cloud
Na internet też?
http://aws.amazon.com/ec2/

To po prostu dowolnej wielkości, skalowalna, chmurka obliczeniowa do wynajęcia na godziny. :D

Ostatnio edytowany przez Jacekalex (2013-08-27 20:07:47)

milik · 2013-08-27 20:08:40

Nie, nie oczywiście, że nie ale wolałbym tak na "chłopski rozum". To jest emulacja wielu maszyn wykorzystywana do ataków ddos?

Jacekalex · 2013-08-27 20:11:02

Na chłopski rozum?
http://pl.wikipedia.org/wiki/Chmura_obliczeniowa

Amazon EC2 to komercyjna usługa chmury obliczeniowej, do wynajęcia na godziny.

milik · 2013-08-27 20:17:45

Rozumiem już, ale w dalszym ciągu nie mam pojęcia dlaczego to wali mi w serwer, i to na tyle nie skutecznie, że support tego nie wykrywa. Postaram się to jakoś przefiltrować.

Jacekalex · 2013-08-27 20:46:59

Co masz na tym serwerze? gry - np CSa czy Minecrafta?

Tu masz wyjaśnienie, co to jest chmurka, na bardziej chłopski rozum:
http://blog.tiger.com.pl/chmury-obliczeniowe/

Ostatnio edytowany przez Jacekalex (2013-08-27 20:57:33)

milik · 2013-08-28 07:51:33

Nie, to jest vps tylko do ircowania. Stoi tam jedna sesja i kilka botów. Nic więcej.

milik · 2013-08-28 14:57:41

Jeszcze pytanko, czy te pakiety przychodzące można odbić w jakiś sposób żeby wracały do hosta wysyłającego?

Jacekalex · 2013-08-28 15:35:48

milik napisał(-a):
Jeszcze pytanko, czy te pakiety przychodzące można odbić w jakiś sposób żeby wracały do hosta wysyłającego?

Można, ale nie ma to żadnego sensu, a wręcz jest idiotyzmem.
Wystarczy, że ktoś zacznie Ci młócić serwer spoofowanymi pakietami, żebyś przypadkowo został włączony np do ataku na ABW czy FBI.

Nawet, jak nikt Ci takiego numeru nie wywinie, to i tak odbijając powodujesz tylko dodatkowe zapychanie rurki do serwera, lepiej to po cichu utylizować celami DROP lub STEAL (xtables-addons).
Wtedy taki atak zajmuje możliwie najmniejszy procent pasma.

Natomiast atakować chmurę Amazon EC2 przy pomocy jednego VPSa możesz długo i szczęśliwie. Przyjemnej zabawy. :D

I zapamiętaj sobie raz na zawsze, że UDP, to jest protokół sieciowy bezpołączeniowy.
Można go spoofować do woli, a próby "wojny" między małym VPS a chmurą obliczeniową klasy EC2, to tak, jakbyś ubrał glany, żeby kopać konia w dooopę. :D

milik · 2013-08-28 15:50:12

Od wczoraj odfiltrowało mi 105 GB:

Kod:

root@Irin:/home/milik# iptables -L -v
Chain INPUT (policy ACCEPT 150K packets, 15M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  any    any     ec2-23-20-0-0.compute-1.amazonaws.com/24  anywhere            
  11M  105G DROP       all  --  any    any     ec2-23-21-97-32.compute-1.amazonaws.com  anywhere            
    0     0 DROP       all  --  any    any     ec2-23-21-97-32.compute-1.amazonaws.com  anywhere            

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 123K packets, 14M bytes)
 pkts bytes target     prot opt in     out     source               destination         
root@Irin:/home/milik#

Jacekalex · 2013-08-28 15:55:45

Czyli FW działa.

Popytaj u operatora, gdzie masz VPSa, może mogą coś doradzić.
Generalnie ataki UDP trzeba łapać najwcześniej, jak się da, najlepiej na routerze brzegowym dostawcy.

Taki atak przeważnie nie ma na celu zniszczyć serwera, tylko zablokować (zatkać) jego łącze internetowe.
I jeśli masz na VPS miesięczny limit transferu, to taki atak może go zżerać bardzo skutecznie.

Trochę tylko śmiesznie podchodzisz do tematu, blokując IP, jeśli ktoś spoofuje adresy, to z takich "zabezpieczeń" ma niezły ubaw.

Tu conieco u Amazona, może coś się uda załatwić, możesz spróbować.
http://portal.aws.amazon.com/gp/aws/html-forms-cont … ctus/AWSAbuse

Ostatnio edytowany przez Jacekalex (2013-08-28 16:15:13)

Forum Debian Users Gang

Ogłoszenie

#1 2013-08-27 14:34:50

milik - Użytkownik

Dziwne wpisy w iftop oraz tcpdump

Kod:

#2 2013-08-27 18:26:39

Jacekalex - Podobno człowiek...;)

Re: Dziwne wpisy w iftop oraz tcpdump

#3 2013-08-27 20:01:33

milik - Użytkownik

Re: Dziwne wpisy w iftop oraz tcpdump

#4 2013-08-27 20:03:17

Jacekalex - Podobno człowiek...;)

Re: Dziwne wpisy w iftop oraz tcpdump

milik napisał(-a):

#5 2013-08-27 20:08:40

milik - Użytkownik

Re: Dziwne wpisy w iftop oraz tcpdump

#6 2013-08-27 20:11:02

Jacekalex - Podobno człowiek...;)

Re: Dziwne wpisy w iftop oraz tcpdump

#7 2013-08-27 20:17:45

milik - Użytkownik

Re: Dziwne wpisy w iftop oraz tcpdump

#8 2013-08-27 20:46:59

Jacekalex - Podobno człowiek...;)

Re: Dziwne wpisy w iftop oraz tcpdump

#9 2013-08-28 07:51:33

milik - Użytkownik

Re: Dziwne wpisy w iftop oraz tcpdump

#10 2013-08-28 14:57:41

milik - Użytkownik

Re: Dziwne wpisy w iftop oraz tcpdump

#11 2013-08-28 15:35:48

Jacekalex - Podobno człowiek...;)

Re: Dziwne wpisy w iftop oraz tcpdump

milik napisał(-a):

#12 2013-08-28 15:50:12

milik - Użytkownik

Re: Dziwne wpisy w iftop oraz tcpdump

Kod:

#13 2013-08-28 15:55:45

Jacekalex - Podobno człowiek...;)

Re: Dziwne wpisy w iftop oraz tcpdump

Stopka forum